• 한국정보과학회논문지:시스템및이론
• /
• 제37권5호
• /
• pp.304-313
• /
• 2010

악성코드를 분석하기 위한 기법에는 다양한 방법들이 존재한다. 하지만 기존의 악성코드 분석 기법으로는 악성코드들의 동작들을 정확하게 분석하는 것이 점점 어려워지고 있다. 특히, 분석 시스템들이 악성코드의 안티-디버깅 기술에 의해 감지되기 쉽고, 실행속도 등 여러 가지 한계점을 보임에 따라 이를 해결할 수 있는 분석 기법이 요구되고 있다. 본 논문에서는 동적 코드 분석을 위한 기본 요구사항인 명령어 단위 분석 및 메모리 접근 추적 기능을 제공하는 동적 코드 분석 시스템을 설계 및 구현한다. 그리고 DLL 로딩 추적을 통한 API 호출 정보를 추출하여, 다양한 실행 코드들을 분석 할 수 있는 기반 환경을 구축한다. 제안 시스템은 Intel의 VT 기술을 이용하여 Xen 기반으로 전가상화 환경을 구축하였으며, 게스트에서는 윈도우즈 XP가 동작할 수 있도록 하였다. 제안 시스템을 이용하여 대표적인 악성코드들을 분석해 봄으로써 제안 시스템 각각의 기능들의 활용을 살펴보고, 제안 시스템이 악성코드들을 정확하게 분석 및 탐지함을 보여준다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2021년도 춘계학술발표대회
• /
• pp.181-182
• /
• 2021

악성코드 분석방법의 발전에 따라 악성코드의 분석우회기법도 나날이 발전하여 대량의 악성코드분석이 다양한 이유로 수행되지 않고 있다. 대부분의 악성코드는 소스코드가 없는 바이너리로 동적 분석이 동작하지 않는 원인을 파악하기 어렵다. 동적 분석이 실행되지 않는 악성코드들은 입력 값에 따라 악성코드가 동작하거나, 특정 시간대를 일치하는 등 다양한 트리거가 존재한다. 본 논문에서는 트리거가 필요한 악성코드에 대해 바이너리 리프팅(lifting) 기술을 활용한 새로운 동적 분석방법을 제안한다. 바이너리 리프팅 기술은 소스코드가 없는 바이너리를 LLVM IR 로 변환시키는 기술로서 이를 활용해 입력 값 유무에 따른 악성코드를 판별하고자 한다. 전달인자를 사용하는 코드와 사용하지 않는 코드간 LLVM IR 을 비교분석하여 전달인자에 따른 악성코드 동작 여부를 판별해 대량의 악성코드 동적 분석시스템의 분석률을 높이는 방안을 제안하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2023년도 춘계학술발표대회
• /
• pp.131-133
• /
• 2023

악성코드를 유포할 때 프로그램 코드만으로 악성코드의 유무를 확인할 수 없도록 조치하여 분석을 지연시키는 방식을 사용하는 방향으로 발전하고 있다. 악성코드를 실행하지 않고 코드와 구조만으로 분석하는 정적 분석으로는 악성코드를 판별할 수 없어 코드를 직접 실행해 분석하는 동적 분석을 이용해야 한다. 본 논문에서는 난독화된 비정상적인 코드를 직접 실행한 동적 분석데이터와 일반적이지 않은 섹션들의 정보를 추출한 정적 분석데이터를 이용해 동적-정적 분석 데이터와 딥러닝 모델을 통해 난독화 및 패킹된 악성코드를 탐지하는 기법을 제안한다.

• 정보보호학회논문지
• /
• 제29권3호
• /
• pp.519-529
• /
• 2019

지능화된 안드로이드 악성코드는 안티바이러스가 탐지하기 어렵도록 악성행위를 숨기기 위하여 다양한 분석 회피 기법을 적용하고 있다. 악성코드는 악성행위를 숨기기 위하여 백그라운드에서 동작하는 컴포넌트를 주로 활용하고, 자동화된 스크립트로 악성 앱을 실행할 수 없도록 activity-alias 기능으로 실행을 방해하고, 악성행위가 발견되는 것을 막기 위해 logcat의 로그를 삭제하는 등 지능화되어간다. 악성코드의 숨겨진 컴포넌트는 기존 정적 분석 도구로 추출하기 어려우며, 기존 동적 분석을 통한 연구는 컴포넌트를 일부만 실행하기 때문에 분석 결과를 충분히 제공하지 못한다는 문제점을 지닌다. 본 논문에서는 이러한 지능화된 악성코드의 동적 분석 성공률을 증가시키기 위한 시스템을 설계하고 구현하였다. 제안하는 분석 시스템은 악성코드에서 숨겨진 컴포넌트를 추출하고, 서비스와 같은 백그라운드 컴포넌트인 실행시키며, 앱의 모든 인텐트 이벤트를 브로드캐스트한다. 또한, 분석 시스템의 로그를 앱이 삭제할 수 없도록 logcat을 수정하고 이를 이용한 로깅 시스템을 구현하였다. 실험 결과 본 논문에서 제안한 시스템을 기존의 컨테이너 기반 동적 분석 플랫폼과 비교하였을 때, 악성코드 구동률이 70.9%에서 89.6%로 향상된 기능을 보였다.

• 융합보안논문지
• /
• 제19권3호
• /
• pp.37-41
• /
• 2019

최근 다양한 형태의 악성코드 등장으로 인해 기존의 정적 분석은 많은 한계를 노출하고 있다. 정적분석은 (악성)코드를 실제로 실행하지 않고 원시 코드나 목적 코드를 가지고 코드나 프로그램의 구조를 분석하는 것을 의미한다. 한편 정보보안 분야에서의 동적 분석이란 일반적으로 (악성)코드를 직접 실행하여 분석하는 형태로 프로그램의 실행 플로우를 파악하기 위해 (악성)코드의 실행 전후 상태를 비교·조사하여 분석하는 형태를 의미한다. 그러나 동적 분석을 위해서는 막대한 양의 데이터와 로그를 분석해야 하며 모든 실행 플로우를 실제로 저장하기도 어려웠다. 본 논문에서는 윈도우 환경(윈도우 10 R5 이상)에서 2세대 PT를 기반으로 악성코드 탐지 및 실시간 다중 동적 분석을 수행하는 시스템의 전처리기 구조를 제안하였고 이를 구현하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2001년도 추계학술발표논문집 (상)
• /
• pp.359-362
• /
• 2001

본 논문은 순환공학 환경에서의 실시간 시스템 개발 및 검증을 위한 코드 생성기 구현과정에서 실시간 시스템에 대한 ATM(Abstract Timed Machine) 명세로부터 생성된 SRL(Software Representation Language) 중간코드로부터 Ada 실행코드 생성방법을 제시한다. 실시간 시스템을 명세, 분석, 검증하기 위한 정형기법인 ATM은 기존의 정형기법과는 달리 순환공학 환경에서의 실시간 시스템이 갖는 정적 및 동적 속성은 물론 특정 환경에서의 동적행위도 표현이 가능하므로, DoME/ATM 그래픽 명세 표기와 중간코드로부터 실행코드를 자동 생성함으로써 순환공학 환경에서의 실시간 시스템 개발 및 검증을 가능하게 한다. 따라서, 실행코드 자동 생성기를 구현하기 위하여 본 논문에서는 선행연구에 의한 DoME/ATM으로부터 변환된 SRL/ATM 코드로부터 Ada 실행코드를 생성하기 위하여 SRL/ATM과 Ada의 관계를 분석하고 실행코드 생성을 위한 기본 규칙들을 정의하여, Ada 실행코드 생성기를 설계한다. 실행코드 생성기는 SRL 파스트리 생성기를 이용하여 구문분석을 통해 구문노드와 수식노드, 단말노드 둥과 같은 구문적 요소들을 추출하여 어휘분석을 통해 얻어진 정보들과 추출된 구문 정보들을 기반으로 실제 Ada 실행코드를 생성한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2012년도 한국컴퓨터종합학술대회논문집 Vol.39 No.1(C)
• /
• pp.289-291
• /
• 2012

최근 신종/변종 악성코드 유포가 급증하고 있어 대량의 악성코드 수집/분석 및 경유/유포지 탐지를 위한 자동화 기술 연구가 활발하다. 대표적인 연구로서 웹과 SNS를 통해 유포되는 악성코드에 대한 자동수집 시스템, 대량의 악성코드에 대한 자동 동적/정적 분석 시스템, 시그니처 기반 악성코드 경유/유포지 탐지 시스템이 있다. 이들 연구에서 개발된 시스템들은 상호 독립적으로 관리가 가능하지만 악성코드에 대한 체계적이고 종합적인 분석 및 현황 파악을 위해서는 악성코드 정보를 통합 관리할 수 있는 시스템이 요구된다. 본 논문에서는 기존 연구에서 개발된 악성코드 자동 수집 시스템, 악성코드 자동 분석 시스템, 악성코드 경유/유포지 탐지 시스템에서 생성된 악성코드 정보를 통합 관리할 수 있는 악성코드 통합 관리 시스템을 제안한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2002년도 봄 학술발표논문집 Vol.29 No.1 (A)
• /
• pp.235-237
• /
• 2002

본 논문에서는 전용 코드 방식의 CDMA 슬롯 ALOHA 시스템에서 패킷 전송 확률을 동적으로 제어하는 알고리즘을 제안한다. 전용 코드 방식의 CDMA 슬롯 ALOHA 시스템에서는 고유의 확산코드론 이용하여 패킷을 전송하므로 패킷 충돌로 인한 전송 실패는 없는 반면, 다원 접속 간섭에 의한 비트 오류가 패킷 전송의 실패 요인 된다. 제안한 알고리즘에서는 기지국이 망의 부하에 따라 단말기들의 패킷 전송 확률을 계산하여 방송하고, 단말기에서는 이를 기반으로 패킷 전송을 시도한다. 성능 분석의 결과, 제안한 알고리즘은 망의 부하에 따라 적응적으로 전송 확률을 제어함으로써 동시에 전송되는 패킷의 수를 일정하게 유지시킬 수 있었으며, 이로 인하여 시스템 성능이 향상됨을 알 수 있었다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 추계학술발표대회
• /
• pp.490-491
• /
• 2014

쿠쿠 샌드박스(Cuckoo Sandbox)는 가상머신을 이용해 악성코드를 자동으로 동적 분석할 수 있는 도구이다. 우선 악성코드의 MD5값을 이용하여 VirusTotal을 이용해 종류를 분류하고, 쿠쿠 샌드박스로 악성코드 동적을 분석하여 결과파일을 이용해 악성코드에서 호출한 API들에 대한 정보를 추출하고, 다양한 종류별 악성코드 그룹에 대해서 API빈도를 종합하고, 또한 다른 종류군의 악성코드 그룹과 API 빈도를 비교해 특정 종류의 악성코드 그룹에 대한 특징적인 API를 찾아내어 향후 이런 특징 API들을 이용해 악성코드의 종류를 자동으로 판정하기 위한 방법을 제시한다.

• 인터넷정보학회논문지
• /
• 제12권5호
• /
• pp.63-72
• /
• 2011

코드변환 기법은 특정 명령어 집합 구조에서 작성된 프로그램 코드를 다른 구조에서 실행할 수 있도록 변환하는 일종의 에뮬레이션 기법이다. 이 기법은 주로 구형 시스템에서 동작하는 응용프로그램을 새로운 시스템에서 동작시키기 위해 사용되었다. 코드를 변환하는 과정에서 동적으로 코드를 삽입하는 것이 가능하기 때문에 소스코드의 수정 없이 기존 응용프로그램을 계측할 수 있다. 이미 응용프로그램 분야에서는 동적코드분석과 가상머신에서 이러한 기법이 널리 활용되고 있다. 반면에 운영체제의 커널은 일반적인 유저 수준의 응용프로그램과는 다른 특성을 지니기 때문에 커널 수준에서 이러한 코드변환 기법을 사용하려면 시스템 성능, 메모리 관리, 특권 명령어 처리 및 동기화와 관련된 문제가 다루어져야 한다. 본 논문에서는 커널 수준의 동적코드변환 기법을 설계하고 코드삽입을 통한 소프트웨어 계측을 제안한다. 제안기법을 리눅스 커널에 적용하여 실험을 수행하고 그 결과를 통해 본 제안기법이 커널수준에서 소프트웨어 계측에 적은 성능 부하만을 야기함을 확인하였다.