정보화정책 (Informatization Policy)

한국지능정보사회진흥원 (National Information Society Agency)
권호 표지
DOI QR코드

DOI QR Code

분석기법을 우회하는 악성코드를 분석하기 위한 프로세스 설계

A Novel Process Design for Analyzing Malicious Codes That Bypass Analysis Techniques

  • 이경률 (순천향대학교 보안안전융합기술사업화센터) ;
  • 이선영 (순천향대학교 정보보호학과) ;
  • 임강빈 (순천향대학교 정보보호학과)
  • 투고 : 2017.11.09
  • 심사 : 2017.12.08
  • 발행 : 2017.12.29
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

악성코드는 나날이 복잡해지고 다양화되어 단순한 정보유출에서부터 시스템에 대한 심각한 피해를 유발하는 실정에 이르렀다. 이러한 악성코드를 탐지하기 위해 코드분석에 역공학을 이용하는 많은 연구가 진행되었지만, 악성코드 개발자도 분석방법을 우회하는 다양한 기법을 활용함으로써 코드분석을 어렵게 하였다. 특히, 악성코드의 감염여부조차 판단하기 어려운 루트킷 기법들이 진화하고 있고, 악성코드가 이 기법들을 흡수함으로써 그 문제의 심각성은 더욱 커지고 있다. 따라서 본 논문에서는 분석기법들을 우회하는 악성코드에 재빠르게 대응하기 위한 분석 프로세스를 설계하였다. 설계된 프로세스를 통하여 악성코드의 탐지를 더욱 효율적으로 할 수 있을 것으로 사료된다.

Malicious codes are currently becoming more complex and diversified, causing various problems spanning from simple information exposure to financial or psychologically critical damages. Even though many researches have studied using reverse engineering to detect these malicious codes, malicious code developers also utilize bypassing techniques against the code analysis to cause obscurity in code understanding. Furthermore, rootkit techniques are evolving to utilize such bypassing techniques, making it even more difficult to detect infection. Therefore, in this paper, we design the analysis process as a more agile countermeasure to malicious codes that bypass analysis techniques. The proposed analysis process is expected to be able to detect these malicious codes more efficiently.

키워드

참고문헌

  1. 국가보안기술연구소 (2005). 코드 난독화를 이용한 악성 코드 분석 기법에 관한 연구. 대전: 국가보안기술연구소.
  2. 김정일.이은주 (2011). "제어 흐름 난독화를 효과적으로 수행하기 위한 전략." 한국컴퓨터정보학회 논문지, 16(6): 41-50.
  3. 김지연.이주리.박은지.장은영.김형종 (2009). "DDoS 공격 피해 규모 및 대응기법 비용분석을 위한 모델링 및 시뮬레이션 기술 연구.", 한국시뮬레이션학회논문지, 18(4): 39-47.
  4. 석재혁.김성훈.이동훈 (2013). "가상화 난독화 기법이 적용된 실행 파일 분석 및 자동화 분석 도구 구현.", 한국정보보호학회논문지, 23(4): 709-720.
  5. 안철수연구소 (2010). "해커스 드림 2010." http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?cmd=print&seq=17027&menu_dist=1 (Retrieved on November 9, 2017).
  6. 안철수연구소 (2017). "월간보안보고서." http://www.ahnlab.com/kr/site/securityinfo/asec/asecReportView.do?groupCode=VNI001 (Retrieved on November 9, 2017).
  7. 이경률.임강빈 (2012). "코드은닉을 이용한 역공학 방지 악성코드 분석방법 연구." 한국항행학회논문지, 16(3): 488-494. https://doi.org/10.12673/jkoni.2012.16.3.488
  8. 이경률.이선영.임강빈 (2017). "인터넷 뱅킹 서비스에서의 보안위협 분류 및 분석." 정보화정책 저널, 24(2): 20-42.
  9. 이동휘.이상호.김귀남 (2005). "허니닛 기반의 사이버위협 조기탐지기법 연구." 한국사이버테러정보전학회 정보보증논문지, 5(4): 67-72.
  10. 이승원 (2010a). "리버싱 관점에서 애플리케이션의 기능 추가 방법 : DLL Loading by PE Patch." 마이크로소프트웨어, 319: 204-211.
  11. 이승원 (2010b). "리버싱 관점에서 애플리케이션의 기능 추가 방법, 2 : Inline Code Patch." 마이크로소프트웨어, 320: 200-205.
  12. 이승원 (2010c). "리버싱 관점에서 애플리케이션의 기능 추가 방법, 3 : DLL Injection." 마이크로소프트웨어, 321: 200-207.
  13. 이재휘.한재혁.이민욱.최재문.백현우.이상진 (2017). "Themida의 API 난독화 분석과 복구방안 연구." 한국정보보호학회논문지, 27(1): 67-77.
  14. 이찬희.정윤식.조성제 (2013). "안드로이드 애플리케이션에 대한 역공학 방지 기법." 보안공학연구논문지, 10(1): 41-50.
  15. 이태헌 (2016). "텍스트 마이닝을 이용한 정보보호인식 분석 및 강화 방안 모색." 정보화정책, 23(4): 76- 94. https://doi.org/10.22693/NIAIP.2016.23.4.076
  16. 정진혁.이정현 (2013). "프로가드 난독화 도구 구조 및 기능 분석." 한국통신학회논문지, 38B(8): 654-662.
  17. 한국인터넷진흥원 (2009). 악성코드 유형에 따른 자동화 분석 방법론 연구. 서울: 한국인터넷진흥원.
  18. 한국인터넷진흥원 (2010). 분석기법 우회 악성코드 분석방법 연구. 서울: 한국인터넷진흥원.
  19. 홍수화 (2016). "Pin을 이용한 안티디버깅 우회 설계 및 구현" 인터넷정보학회논문지, 17(5): 33-42. https://doi.org/10.7472/jksii.2016.17.5.33
  20. Bayer, U., Habibi, I., Balzarotti, D., Kirda, E. & Kruegel, C. (2009). "A View on Current Malware Behaviors." Usenix Workshop on Large-scale Exploits and Emergent Threats(LEET), http://static.usenix.org/event/leet09/tech/full_papers/bayer/bayer_html/ (Retrieved on November 9, 2017).
  21. Balakrishnan, A. & Schulze C. (2005). "Code Obfuscation Literature Survey," http://pages.cs.wisc.edu/-arinib/writeup.pdf (Retrieved on November 9, 2017).
  22. CodeEngn (2017). "CodeEngn Conference.", http://www.codeengn.com (Retrieved on November 9, 2017).
  23. Gregio, A.R.A., Filho, D.S.F., Afonso, V.M., Santos, R.D.C., Jino, M. & de Geus, P.L. (2011). "Behavioral analysis of malicious code through network traffic and system call monitoring." Proceedings of the SPIE .
  24. Hoglund, G. & Butler, J. (2005). Rootkits: Subverting the Windows Kernel. Addison-Wesley Professional.
  25. Kim, S., Park, J., Lee, K., You, I. & Yim, K. (2012). "A Brief Survey on Rootkit Techniques in Malicious Codes." The journal of Internet Services and Information Security , 2(3/4): 134-147. https://doi.org/10.22667/JISIS.2012.11.31.134
  26. Lee, K., You, I. & Yim, K. (2010). "A Hint to the Analysis of the Packed Malicious Codes," Proceedings of the WISA .
  27. Russinovich, M. & Solomon, D. (2009). Windows Internals. Microsoft.
  28. Woei-Jiunn T., Yuh-Chen C. & Being-Yu T. (2009). "A New Windows Driver-Hidden Rootkit Based on Direct Kernel Object Manipulation." The journal of Lecture notes in computer science, 5574: 202-213.
  29. Yason, M. (2007). "The Art of Unpacking," https://www.blackhat.com/presentations/bh-usa-07/Yason/Whitepaper/bh-usa-07-yason-WP.pdf (Retrieved on November 9, 2017).
  30. You, I. & Yim, K. (2010). "Malware Obfuscation Techniques: A Brief Survey," International Conference on Broadband Wireless Computing, Communication and Applications, 297-300.
  31. Yu, S., Zhou, W., Doss, R. & Jia, W. (2011). "Traceback of DDoS Attacks Using Entropy Variations." IEEE transactions on parallel and distributed systems; a publication of the IEEE Computer Society, 22(3): 412-425. https://doi.org/10.1109/TPDS.2010.97