악성코드 탐지를 위한 물리 메모리 분석 기술

  • 발행 : 2014.02.28

초록

악성코드는 다양해진 감염 경로를 통해 쉽게 노출될 수 있으며, 개인정보의 유출뿐만 아니라 봇넷을 이용한 DDoS 공격과 지능화된 APT 공격 등을 통해 심각한 보안 위협을 발생시키고 있다. 최근 악성코드들은 실행 후에는 메모리에서만 동작하는 방식으로 파일로 존재하지 않기 때문에 기존의 악성코드 탐지 기법으로 이를 찾기가 쉽지 않다. 이를 극복하고자 최근에는 물리 메모리 덤프를 포함하여 악성코드 분석 및 탐지 연구가 활발하게 진행되고 있다. 본 논문에서는 윈도우 시스템의 물리 메인 메모리에서 악성코드 탐지 기술에 대해 설명하고, 기존 개발된 물리 메모리 악성코드 탐지 도구에 대한 분석을 수행하여 도구별 악성코드 탐지 기능에 대한 특징을 설명한다. 물리 메모리 악성코드 탐지 도구의 분석 결과를 통해 기존 물리 메모리 악성코드 탐지 기술의 한계점을 제시하고, 향후 정확하고 효율적인 물리 메모리 악성코드 탐지의 기반 연구로 활용하고자 한다.

키워드

참고문헌

  1. Michael Hale Ligh, Steven Adair, Blake Hartstein, Mathew Richard, "Malware Analyst's Cookbook and DVD", 에이콘 출판사, pp.715-749, May 2012.
  2. Mariusz Burdach, "Finding Digital Evidence In Physical Memory", Black Hat USA, Feb 2006.
  3. Volatility, https://code.google.com/p/volatility/wiki /CommandReference23#kdbgscan, 2013.
  4. James Okolica, Gilbert L. Peterson, "Windows operating systems agnostic memory analysis", DIGITAL INVESTIGATION 7, pp.48-56, May 2010. https://doi.org/10.1016/j.diin.2010.01.003
  5. Brendan Dolan-Gavitt, "The VAD tree: A process- eye view of physical memory", DIGITAL INVESTIGATION S4, pp.62-64, Jun 2007.
  6. Raashid Bhat, "Code Injectin on Window", Strudent Computer Security 2BE, Sep 2011.
  7. Elia Floio, "When Malware Meets Rootkits", Symantect Security Response, 2005.
  8. Muteb Alzaidi, Ahmed Alasiri, "The Study of SSDT Hook through Comparative Analysis between Live Response and Memory Image", Master of Information Systems Security Research 2012 Convocation, 2013.
  9. Volatility, https://code.google.com/p/volatility/, 2013.
  10. HBGary, http://hbgary.com/products/responder_pro, 2013.
  11. MANDIANT Redline, http://www.mandiant.com/ resources/download/redline, 2013.
  12. MANDIANT Redline, "Redline User Guide", MANDIANT, 2012.
  13. Michael J. Graven, "Finding Evil In Memory", Ninjacon 11, Jun 2011.