KIISE Transactions on Computing Practices (정보과학회 컴퓨팅의 실제 논문지)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지
DOI QR코드

DOI QR Code

Method of Signature Extraction and Selection for Ransomware Dynamic Analysis

랜섬웨어 동적 분석을 위한 시그니처 추출 및 선정 방법

  • 이규빈 (한양대학교 컴퓨터소프트웨어학과) ;
  • 옥정윤 (한양대학교 정보보안학과) ;
  • 임을규 (한양대학교 컴퓨터소프트웨어학부)
  • Received : 2017.10.23
  • Accepted : 2017.12.14
  • Published : 2018.02.15
⟨ Previous Next ⟩

Abstract

Recently, there are increasing damages by ransomware in the world. Ransomware is a malicious software that infects computer systems and restricts user's access to them by locking the system or encrypting user's files saved in the hard drive. Victims are forced to pay the 'ransom' to recover from the damage and regain access to their personal files. Strong countermeasure is needed due to the extremely vicious way of attack with enormous damage. Malware analysis method can be divided into two approaches: static analysis and dynamic analysis. Recent malwares are usually equipped with elaborate packing techniques which are main obstacles for static analysis of malware. Therefore, this paper suggests a dynamic analysis method to monitor activities of ransomware. The proposed method can analyze ransomwares more accurately. The suggested method is comprised of extracting signatures of benign program, malware, and ransomware, and selecting the most appropriate signatures for ransomware detection.

최근 랜섬웨어에 의한 피해가 전 세계적으로 급증하고 있으며, 국가 기관, 기업, 민간 등 사회전반에 막대한 피해를 입히고 있다. 랜섬웨어는 컴퓨터 시스템을 감염시켜 사용자의 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어이다. 컴퓨터 시스템 자체를 잠그거나 하드 디스크에 존재하는 파일들을 암호화하여 사용자가 컴퓨터를 정상적으로 이용할 수 없게 만들고, 컴퓨터의 정상 복구를 위해 사용자들은 공격자로부터 몸값(Ransom) 지불을 요구받는다. 기존의 기타 악성코드들에 비해 공격수법이 매우 악랄하고 피해규모가 막대하므로 확실한 해결책이 필요하다. 악성코드 분석 방식은 크게 정적 분석, 동적 분석 두 가지로 나뉜다. 최신 악성코드들은 정교한 패킹 기술이 도입된 경우가 많아 정적분석은 분석에 한계가 있다. 따라서 본 논문에서는 랜섬웨어의 활동 모니터링 및 보다 정밀한 분석을 위해 동적 분석 방법을 제안한다. 정상파일, 랜섬웨어, 기타 악성코드의 시그니처를 추출하는 방법과 랜섬웨어 탐지에 가장 적절한 시그니처를 선정하는 방법을 제안한다.

Keywords

Acknowledgement

Grant : 랜섬웨어 대응 기술 개발

Supported by : 정보통신기술진흥센터

References

  1. B. J. Kang, K. S. Han, B. H. Kang, and E. G. Im, "Malware Categorization Using Dynamic Mnemonic Frequency Analysis with Redundancy Filtering," Digital Investigation, Vol. 11, No. 4, pp. 323-335, Dec. 2014. https://doi.org/10.1016/j.diin.2014.06.003
  2. D. Sgandurra (2016, Sep 10). Automated Dynamic Analysis of Ransomware: Benefits, Limitations and Use for Detection [Online]. Available: https://arxiv.org (downloaded 2017, July. 12)
  3. Monika, P. Zavarsky, and D. Lindskog, "Experimental Analysis of Ransomware on Windows and Android Platforms: Evolution and Characterization," Procedia Computer Science, Vol. 94, No. 1, pp. 465-472, Aug. 2016. https://doi.org/10.1016/j.procs.2016.08.072
  4. M. Zhang, Y. Duan, H. Yin, and Z. Zhao, "Semantics-Aware Android Malware Classification Using Weighted Contextual API Dependency Graphs," Proc. of the 2014 ACM SIGSAC Conference on Computer and Communications Security, pp. 1105-1116, 2014.
  5. Y. Park, D. Reeves, V. Mulukulta, and B. Sundaravel, "Fast Malware Classification by Automated Behavioral Graph Matching," Proc. of the Sixth Annual Workshop on Cyber Security and Information Intelligence Research, pp. 1-4, 2010.
  6. L. Nataraj, S. Karthikeyan, G. Jacob, and B. S. Manjunath, "Malware Images: Visualization and Automatic Classification," Proc. of the 8th International Symposium on Visualization for Cyber Security, pp. 1-7, 2011.
  7. J. Kinable, and O. Kostakis, "Malware classification based on call graph clustering," Journal in Computer Virology, Vol. 7, No. 4, pp. 233-245, Nov. 2011. https://doi.org/10.1007/s11416-011-0151-y
  8. B. J. Kang, T. G. Kim, H. J. Kwon, Y. S. Choi, and E. G. Im, "Malware classification method via binary content comparison," Proc. of the 2012 ACM Research in Applied Computation Symposium, pp. 316-321, 2012.
  9. P. O'Kane, S. Sezer, K. McLaughlin, and E. G. Im, "SVM Training Phase Reduction Using Dataset Feature Filtering for Malware Detection," IEEE Transactions on Information Forensics and Security, Vol. 8, No. 3, pp. 500-509, Mar. 2013. https://doi.org/10.1109/TIFS.2013.2242890