스마트미디어저널 (Smart Media Journal)

  • 제8권1호
  • /
  • Pages.19-26
  • /
  • 2019
  • /
  • 2287-1322(pISSN)
  • /
  • 2288-9671(eISSN)
한국스마트미디어학회 (THE KOREAN INSTITUTE OF SMART MEDIA)
권호 표지
DOI QR코드

DOI QR Code

인 메모리 악성코드 인젝션 기술의 언 패킹기법

Unpacking Technique for In-memory malware injection technique

  • 배성일 (한양대학교 컴퓨터 소프트웨어 학과) ;
  • 임을규 (한양대학교 컴퓨터 소프트웨어 학부)
  • 투고 : 2018.09.19
  • 심사 : 2019.01.18
  • 발행 : 2019.03.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

2018년 평창 동계 올림픽 개막식에서 출처를 알 수 없는 사이버공격이 발생하였다. 해당 공격에서 사용된 악성코드는 인 메모리 악성코드로 기존 악성코드와 은닉하는 장소가 다르며, 140개 이상의 은행, 통신, 정부 기관에서 발견될 정도로 빠르게 확산되고 있다. 인 메모리 악성코드는 전체 악성코드의 15%이상을 차지하며 매우 심각한 피해를 주고 있다. 비휘발성 저장장치로 알려진 하드디스크에 자신의 정보를 저장하는 것이 아닌 휘발성 저장장치 인 램의 특정 메모리영역인 프로세스에 삽입하여 악성행위를 일으키는 악성코드를 인 메모리 악성코드라고 지칭한다. 결과적으로 자신의 정보를 남기지 않아 메모리 탐지 도구를 우회하여 악성코드 분석가들의 분석을 어렵게 한다. 또한 현대 메모리는 갈수록 크기가 증가해 메모리 탐지 도구를 사용하여 메모리전체를 보기 힘들다. 따라서 본 논문에서는 인 메모리 악성코드인 Dorkbot과 Erger를 대상으로 IDA Pro 디버거를 통해 인젝션을 언 패킹하여 효율적으로 페이로드를 산출하는 방법을 제안한다.

At the opening ceremony of 2018 Winter Olympics in PyeongChang, an unknown cyber-attack occurred. The malicious code used in the attack is based on in-memory malware, which differs from other malicious code in its concealed location and is spreading rapidly to be found in more than 140 banks, telecommunications and government agencies. In-memory malware accounts for more than 15% of all malicious codes, and it does not store its own information in a non-volatile storage device such as a disk but resides in a RAM, a volatile storage device and penetrates into well-known processes (explorer.exe, iexplore.exe, javaw.exe). Such characteristics make it difficult to analyze it. The most recently released in-memory malicious code bypasses the endpoint protection and detection tools and hides from the user recognition. In this paper, we propose a method to efficiently extract the payload by unpacking injection through IDA Pro debugger for Dorkbot and Erger, which are in-memory malicious codes.

키워드

참고문헌

  1. "AhnLab Security Emergency response Center Report, 2017 Q4 Cyber Threat Trend Report", (Jan, 2018), https://www.ahnlab.com/kr/site/securityinfo/asec/asecView.do?groupCode=VNI001&seq=27109, (Sep/18/2018).
  2. Jesse Smelcer. "The rise of Fileless malware". in Partial Fulfillment of the Requirements for the Degree of Master of Science in Cybersecurity, December 2017.
  3. David Patten. "The Evolution to Fileless Malware". East Carolina University, 2017.
  4. Liam O' Murchu and Fred P. Gutierrez. "The evolution of the fileless click-fraud malware Poweliks", Symantec Security Response, June 9, 2015.
  5. Yang-seo Choi, Ik-kyun Kim, Jin-tae Oh and Jae-cheol Ryou. PE File Header Analysis-Based Packed PE File Detection Technique (PHAD), Computer Science and its Applications, International Symposium on, pp. 28-31, Oct. 13, 2008.
  6. Kris, Kendall and McMillan, Chad.Practical "Malware Analysis". Black Hat Conference, USA ,p. 10, 2007.
  7. You, Ilsun and Yim, Kangbin. "Malware obfuscation techniques: A brief survey". Broadband, Wireless Computing, Communication and Applications (BWCCA), 2010 International Conference on, IEEE, pp. 297-300, 2010.
  8. Sikorski, Michael and Honig, Andrew. "Practical malware analysis: the hands-on guide to dissecting malicious software", Published by nostarch press, 2012.
  9. Nasi and Emeric. "PE Injection Explained Advanced memory code injection technique". Creative Commons Attribution-NonCommercial-NoDerivs, volume 3, 2014.
  10. Willems, Carsten and Holz. "Toward automated dynamic malware analysis using cwsandbox. IEEE Security & Privacy", IEEE, volume 5, Issue 2, pages 32-39, 2007. https://doi.org/10.1109/MSP.2007.45
  11. Seong Il Bae and Eul Gyu Im. "Unpacking Technique for Process Injection Malware", 2018 Workshop on Dependable and Secure Computation, Aug, 16, 2018.