KIPS Transactions on Computer and Communication Systems (정보처리학회논문지:컴퓨터 및 통신 시스템)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

A Research of Anomaly Detection Method in MS Office Document

MS 오피스 문서 파일 내 비정상 요소 탐지 기법 연구

  • 조성혜 (고려대학교 정보보호대학원 정보보호학과) ;
  • 이상진 (고려대학교 정보보호대학원)
  • Received : 2016.11.01
  • Accepted : 2016.11.23
  • Published : 2017.02.28
Download PDF
⟨ Previous Next ⟩

Abstract

Microsoft Office is an office suite of applications developed by Microsoft. Recently users with malicious intent customize Office files as a container of the Malware because MS Office is most commonly used word processing program. To attack target system, many of malicious office files using a variety of skills and techniques like macro function, hiding shell code inside unused area, etc. And, people usually use two techniques to detect these kinds of malware. These are Signature-based detection and Sandbox. However, there is some limits to what it can afford because of the increasing complexity of malwares. Therefore, this paper propose methods to detect malicious MS office files in Computer forensics' way. We checked Macros and potential problem area with structural analysis of the MS Office file for this purpose.

최근 각종 공문서와 증빙 서류를 비롯하여 대부분의 문서가 디지털 데이터의 형태로 사용되고 있다. 특히 MS 오피스는 전 세계적으로 공공기관, 기업, 학교, 가정 등 다양한 곳에서 가장 많이 사용하고 있는 문서 편집 소프트웨어로써 악의적인 목적을 가진 사용자들이 해당 문서 프로그램의 범용성을 이용하여 MS 오피스 문서 파일을 악성 행위를 위한 매개체로 사용하고 있으며, 최근에는 단순한 사용자뿐만 아니라 국내외 정부 기관과 주요기업을 비롯하여 기반시설에서도 MS 오피스 문서 파일 형태의 악성코드가 유입되고 있다. MS 오피스 문서에 악성 코드를 삽입하는 방법은 단순히 미할당 영역에 은닉하는 방법을 사용할 뿐만 아니라 매크로 기능을 이용하는 등 다양한 방법을 통해 점점 정교한 형태로 진화되고 있다. 이러한 악성 코드들을 탐지하기 위해서 시그니처를 이용하거나 샌드박스를 이용한 탐지방법이 존재하지만, 유동적이고 복잡해지는 악성 코드들을 탐지하기에는 한계가 있다. 따라서 본 논문에서는 디지털 포렌식 관점에서 MS 오피스 문서 분석에 필요한 주요 메타데이터와 파일 포맷 구조 분석을 통해 매크로 영역과 그 외 악성 코드가 삽입될 가능성이 존재하는 영역들을 확인함으로써 MS 오피스 문서 파일 내 비정상 요소를 탐지하는 기법을 제안한다.

Keywords

References

  1. Graham Chantry, New developments in Microsoft Office malware [Internet], https://nakedsecurity.sophos.com/2015/03/06/from-the-labs-new-developments-in-microsoft-office-malware/.
  2. Foetron, MS Office is Still The Productivity Suite Leader [Internet], http://www.foetron.com/microsoft-office-is-stillthe-productivity-suite-leader/.
  3. N. Idika and A. P. Mathur, "A Survey of Malware Detection Techniques," Purdue University, 2007.
  4. Simon Byers, "Information leakage caused by hidden data in published documents," IEEE Security Privacy, Vol. 2, No. 2, pp. 23-27, Apr., 2004. https://doi.org/10.1109/MSECP.2004.1281241
  5. A. Castiglione, De Santis, and C. Soriente, "Taking advantages of a disadvantage: Digital forensics and steganography using document metadata," The Journal of Systems and Software, Vol. 80, Iss.5, pp. 750-764, 2007. https://doi.org/10.1016/j.jss.2006.07.006
  6. J. H. Park, Bora Park, S. J. Lee, S. H. Hong, and J. H. Park, "Extraction of Residual Information in the Microsoft PowerPoint file from the Viewpoint of Digital Forensics considering PerCom Environment," in Pervasive Computing and Communications, 2008. PerCom 2008. Sixth Annual IEEE International Conference on. IEEE, p.584-589, 2008.
  7. J. H. Park and S. J. Lee, "Forensic Investigation of MS Office Files," Graduate School of Information Security, Korea University, Feb., 2009.
  8. B. Y. Yoo and S. J. Lee, "Documents Filter Tool Development for Forensic Investigation," Graduate School of Information Security, Korea University, Feb., 2011.
  9. KISA, "A Study on Analyzing the Current Malware Detection Technologies and Planning for the Development Model of Detection & Response System," Research Report, Feb., 2016.
  10. C. Y. Lee, H. G. Kang, T. J. Lee, H. C. Jeong, and Y. J. Won, "A Behavior based Analysis & Detection for Docuent Malicious Code," The Korea Society of Management Information Systems, pp. 532-537, 2012.
  11. J. W. Park, S. T. Moon, G. W. Son, I. K. Kim, K. S. Han, E. G. Im, and I. G. Kim, "An Automatic Malware Classfication System using String List and APIs," Journal of Security Engineering, Vol. 8, No. 5, pp. 611-626, 2011.
  12. Nurilab, HwpScan2 [Internet], http://www.nurilab.net/hwpscan2.
  13. Microsoft Corporation, "Compound Binary File Format Structure Specification," Microsoft Corporation, 2010.
  14. Microsoft Corporation, "Word Binary File Format(.doc) Structure Specification," Microsoft Corporation, 2013.
  15. Microsoft Corporation, "PowerPoint Binary File Format(.ppt) Structure Specification," Microsoft Corporation, 2013.
  16. Microsoft Corporation, "Excel Binary File Format(.xls) Structure Specification," Microsoft Corporation, 2013.
  17. Scott Driza, Learn Word 2000 VBA Document Automation, Wordware Publishing Inc., 2000.