• 제목/요약/키워드: 랜섬웨어

검색결과 101건 처리시간 0.02초

랜섬웨어 Cryptolocker에 대한 분석과 대응방안 (Analysis and Countermeasures for the Ransomware Cryptolocker)

  • 김용기;함동균;주영환;이근호
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2016년도 춘계학술발표대회
    • /
    • pp.292-293
    • /
    • 2016
  • 랜섬웨어는 현재 보안 문제 중 가장 뜨거운 이슈로 떠오르고 있다. 러시아에서 처음으로 등장한 랜섬웨어 공격은 거의 4,000가지 유형을 가지고 있으며, 전 세계 3억7천만 원의 피해를 가져왔다. 또한, 기존의 공격보다 더 발달 된 기술은 계속해서 등장하고 있다. 본 논문에서는 랜섬웨어의 Cryptolocker 공격 방법을 분석했다. 전체 시나리오에 대한 이해와 분석은 대책을 위한 새로운 계획을 위해 제안하고자 한다.

계층화된 쓰레드 생성을 이용한 DLL 삽입 탐지기술 우회 공격 기법 (Hierarchical Threads Generation-based Bypassing Attack on DLL Injection Monitoring System)

  • 김대엽
    • 전기전자학회논문지
    • /
    • 제27권3호
    • /
    • pp.239-245
    • /
    • 2023
  • 화이트리스트 기반 랜섬웨어 솔루션이 DLL 삽입공격을 활용한 사칭공격에 취약한 것으로 알려진 후, 이러한 문제점을 개선하기 위하여 DLL 삽입 공격을 활용한 사칭공격을 탐지하고, 랜섬웨어 탐지 및 대응 기술과 연동하는 기술이 제안되었다. 본 논문에서는 공격자가 이러한 탐지기술을 우회하여 불법적으로 공격 대상의 파일에 접근할 수 있음을 보여준다. 이는 화이트리스트 기반 랜섬웨어 솔루션이 여전히 DLL 삽입 공격에 취약함을 의미한다. 특히, 본 논문에서는 랜섬웨어 솔루션을 대상으로 실제 공격을 수행하여, 그 가능성을 증명하였다.

다이나믹 API 호출 흐름 그래프를 이용한 오프라인 기반 랜섬웨어 탐지 및 분석 기술 개발 (Offline Based Ransomware Detection and Analysis Method using Dynamic API Calls Flow Graph)

  • 강호석;김성열
    • 디지털콘텐츠학회 논문지
    • /
    • 제19권2호
    • /
    • pp.363-370
    • /
    • 2018
  • 최근 랜섬웨어 탐지는 디지털 콘텐츠 보호를 위한 컴퓨터 보안 분야에서 중요한 주요한 이슈가 되고 있다. 그러나 불행하게도 현재 시그니쳐 기반이나 정적 탐지 모델의 경우 압축 및 암호화 등의 기법을 이용하여 탐지를 피해갈 수 있다. 이를 극복하기 위해 본 논문에서는 RF, SVM, SL, NB 알고리즘 같은 데이터 마이닝 기법을 이용한 다이나믹 랜섬웨어 탐지 시스템을 제안하였다. 이 기법은 실제 소프트웨어를 구동 시켜 동작 행위를 추출해 API 호출 흐름 그래프를 만들고 그 특징을 분석에 이용하였다. 그 후 데이터 정규화, 특징 선택 작업을 진행하였다. 우리는 이러한 분석과정을 더욱더 개선 시켰다. 마지막으로 데이터 마이닝 알고리즘을 적용시켜 랜섬웨어인지를 판별하였다. 제안한 알고리즘의 성능 측정을 위해 더 적합한 추가 샘플 랜섬웨어 데이터를 수집하여 실험하였고 탐지성능이 향상되었음을 보여주었다.

랜섬웨어 분석과 피해 최소화 방안 (Ransomware Analysis and Method for Minimize the Damage)

  • 문재연;장영현
    • 문화기술의 융합
    • /
    • 제2권1호
    • /
    • pp.79-85
    • /
    • 2016
  • 랜섬웨어는 미국을 중심으로 활동하는 악성코드였으나 기하급수적인 컴퓨터 보급과 사용자의 증가를 매개체로 하여 전 세계적으로 급속하게 유포되었으며 최근에는 국내에서도 출현하었다. 초기 랜섬웨어는 E-Mail을 공격매개체로 사용하였으며 스팸메일을 통해 파일을 클릭하도록 유도하는 방식이 가장 일반적이나 SNS나 스마트폰 메시지를 통해서도 유포되고 있다. 현재는 한글 버전으로 국내 대형 커뮤니티 사이트들을 공격하는 등 국내에서도 많은 피해가 증가하는 추세이다. 랜섬웨어는 파일을 암호화하여 사용자에게 경고 메시지를 출력하며, 추적상태를 유추하기 어려운 비트코인 가상 화폐를 통한 결제를 요구하면서 금전적인 피해를 유도한다. 본 논문에서는 랜섬웨어로 인한 피해 사례 분석과 해결방안을 제시한다.

블룸 필터와 최적화를 이용한 SSD-Insider 알고리즘의 탐지 성능 향상 (AdvanSSD-Insider: Performance Improvement of SSD-Insider using BloomFilter with Optimization)

  • 김정현;정창훈;양대헌;이경희
    • 한국차세대컴퓨팅학회논문지
    • /
    • 제15권5호
    • /
    • pp.7-19
    • /
    • 2019
  • 랜섬웨어(ransomware)는 사용자 데스크톱의 파일들을 암호화한 뒤, 복호화 비용을 요구하는 악성 프로그램이다. 랜섬웨어 공격의 빈도와 피해금액은 매년 증가하고 있기 때문에 랜섬웨어 예방과 탐지 및 복구 시스템이 필요하다. 본 논문에서는 Baek 등이 제안한 랜섬웨어 탐지 알고리즘인 SSD-Insider가 덮어쓰기 검사를 위해 사용하는 해시테이블을 블룸 필터로 교체한 AdvanSSD-Insider 알고리즘을 제안한다. 실험 결과 AdvanSSD-Insider 알고리즘은 SSD-Insider 알고리즘에 비해 메모리 사용량이 최대 90%, 수행시간이 최대 77% 감소하였고 동일한 탐지 정확도를 얻었다. 또한 SSD-Insider 알고리즘과 동일한 조건의 메모리 사용량으로 AdvanSSD-Insider 알고리즘은 10배 더 긴 시간을 관찰할 수 있으며, 이를 통해 기존에 탐지하기 어려웠던 랜섬웨어에 대해 탐지 정확도가 증가하는 결과를 얻었다.

악성 랜섬웨어 SW에 사용된 암호화 모듈에 대한 탐지 및 식별 메커니즘 (Cryptography Module Detection and Identification Mechanism on Malicious Ransomware Software)

  • 이형우
    • 사물인터넷융복합논문지
    • /
    • 제9권1호
    • /
    • pp.1-7
    • /
    • 2023
  • 랜섬웨어에 의해 개인용 단말 또는 서버 등이 감염되는 사례가 급증하고 있다. 랜섬웨어는 자체 개발한 암호화 모듈을 이용하거나 기존의 대칭키/공개 키 암호화 모듈을 결합하여 공격자만이 알고 있는 키를 이용하여 피해 시스템 내에 저장된 파일을 불법적으로 암호화 하게 된다. 따라서 이를 복호화 하기 위해서는 사용된 키 값을 알아야만 하며, 복호화 키를 찾는 과정에 많은 시간이 걸리므로 결국 금전적인 비용을 지불하게 된다. 이때 랜섬웨어 악성코드는 대부분 바이너리 파일 내에 은닉된 형태로 포함되어 있어 프로그램 실행시 사용자도 모르게 악성코드에 감염된다. 그러므로 바이너리 파일 형태의 랜섬웨어 공격에 대응하기 위해서는 사용된 암호화 모듈에 대한 식별 과정이 필요하다. 이에 본 연구에서는 바이너리 파일 내 은닉된 악성코드에 적용 된 암호화 모듈을 역분석하여 탐지하고 식별할 수 있는 메커니즘을 연구하였다.

Opcode와 API의 빈도수와 상관계수를 활용한 Cerber형 랜섬웨어 탐지모델에 관한 연구 (A Study on the Cerber-Type Ransomware Detection Model Using Opcode and API Frequency and Correlation Coefficient)

  • 이계혁;황민채;현동엽;구영인;유동영
    • 정보처리학회논문지:컴퓨터 및 통신 시스템
    • /
    • 제11권10호
    • /
    • pp.363-372
    • /
    • 2022
  • 최근 코로나 19 팬더믹 이후 원격근무의 확대와 더불어 랜섬웨어 팬더믹이 심화하고 있다. 현재 안티바이러스 백신 업체들이 랜섬웨어에 대응하고자 노력하고 있지만, 기존의 파일 시그니처 기반 정적 분석은 패킹의 다양화, 난독화, 변종 혹은 신종 랜섬웨어의 등장 앞에 무력화될 수 있다. 이러한 랜섬웨어 탐지를 위한 다양한 연구가 진행되고 있으며, 시그니처 기반 정적 분석의 탐지 방법과 행위기반의 동적 분석을 이용한 탐지 연구가 현재 주된 연구유형이라고 볼 수 있다. 본 논문에서는 단일 분석만을 이용하여 탐지모델에 적용하는 것이 아닌 ".text Section" Opcode와 실제 사용하는 Native API의 빈도수를 추출하고 K-means Clustering 알고리즘, 코사인 유사도, 피어슨 상관계수를 이용하여 선정한 특징정보들 사이의 연관성을 분석하였다. 또한, 타 악성코드 유형 중 웜과 Cerber형 랜섬웨어를 분류, 탐지하는 실험을 통해, 선정한 특징정보가 특정 랜섬웨어(Cerber)를 탐지하는 데 특화된 정보임을 검증하였다. 위와 같은 검증을 통해 최종 선정된 특징정보들을 결합하여 기계학습에 적용하여, 최적화 이후 정확도 93.3% 등의 탐지율을 나타내었다.

랜섬웨어 탐지율을 높이기 위한 블록암호 알고리즘 식별 방법에 관한 연구 (A Study on a Method of Identifying a Block Cipher Algorithm to Increase Ransomware Detection Rate)

  • 윤세원;전문석
    • 정보보호학회논문지
    • /
    • 제28권2호
    • /
    • pp.347-355
    • /
    • 2018
  • 랜섬웨어는 블록암호와 같은 대칭키 알고리즘을 사용해서 사용자의 파일을 불법적으로 암호화한다. 만약 특정 프로그램에서 블록암호의 흔적을 사전에 발견할 수 있다면, 랜섬웨어 탐지율을 높일 수 있을 것이다. 블록암호가 포함되어 있다는 것은 잠재적으로 암호화 기능을 수행할 것이라고 볼 수 있기 때문이다. 이 논문은 특정 프로그램에 블록암호가 포함되었는지 판단하는 방법을 제시한다. 대부분의 랜섬웨어가 사용하는 AES 뿐만 아니라 향후 사용될 수 있는 다양한 블록암호의 구현 특성을 살펴보는데, 그 특성을 기반으로 특정 프로그램에 해당 알고리즘이 포함되어 있는지 알 수 있다. 이 논문에서 제시하는 방법은 기존 탐지방법을 보완해서 더욱 높은 확률로 랜섬웨어를 탐지할 수 있을 것이다.

랜섬웨어의 동작 원리와 예방 대책 (Operating principle and preventive measures of Ransomware)

  • 조영주;김진혁;오지훈;소윤정;선아영
    • 한국콘텐츠학회:학술대회논문집
    • /
    • 한국콘텐츠학회 2017년도 춘계 종합학술대회 논문집
    • /
    • pp.91-92
    • /
    • 2017
  • 발전하는 IoT시대에 컴퓨터의 사용은 현대인들과 밀접한 관계가 되어 있다. 이로 인해, 우리는 다양한 문서들을 직접 종이에 일일이 적는 불편함을 컴퓨터를 통해 편하게 문서화를 할 수 있게 되었다. 그러나 모든 문서가 컴퓨터에 저장이 되어 있다 보니 이를 악용한 바이러스가 바로 랜섬웨어이다. 본 논문에서는 랜섬웨어의 의미와 동작원리에 대해 알아보고, 예방 대책을 제안하고자 한다.

  • PDF

소셜 네트워크 서비스 기반 마이닝을 이용한 실시간 랜섬웨어 위험도 분석 시스템 설계 (Design of a Real-time Risk Analysis System for Ransomware Using Mining based on Social Network Service)

  • 나재호;김미희
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2017년도 추계학술발표대회
    • /
    • pp.254-256
    • /
    • 2017
  • 본 논문에서는 소셜 네트워크 서비스 중 트위터를 마이닝하여 실시간으로 랜섬웨어 위험도 분석을 하는 시스템을 설계한다. 이를 위해 2017년 5월 12일에 가장 피해가 컸던 워너크라이 랜섬웨어를 중심으로 5월 10일에서 20일 사이의 트윗 데이터를 마이닝하고, 기존 시스템인 구글 트렌드와의 유사성을 비교 실험하여 트윗 데이터의 가치를 확인한다. 마지막으로 제안하는 시스템에 대한 향후 연구주제를 제시한다.