• Review of KIISC
• /
• v.27 no.3
• /
• pp.48-53
• /
• 2017

최근 많은 사용자가 인터넷을 통해 수많은 웹페이지에 접속하고 정보를 수집하면서 인터넷의 사용량이 증가한 만큼 악성코드에 감염될 확률은 증가하고 있다. 공격자들은 웹을 통해 사용자들의 정보탈취를 목적으로 악성코드를 유포하는데 그 중 파밍 (pharming) 악성코드를 통해 금융정보 탈취를 하고 있다. 파밍 악성코드에 감염된 사용자들은 웹페이지에 접속시 원래 페이지가 아닌 공격자가 만든 파밍 페이지로 유도되어 금융정보 및 공인인증서가 유출된다. 유출된 금융정보를 통해 사용자들은 심각한 금전적인 피해가 발생할 수 있다. 본 논문에서는 최근 파밍 악성코드를 통해 금융정보를 유출하는 방법에 대해 분석하고 대응방안을 제시한다.

• Review of KIISC
• /
• v.31 no.3
• /
• pp.81-87
• /
• 2021

공격자는 공격을 성공적으로 수행하기 위해 악성코드를 주로 사용하며, 방어자는 공격자의 공격이 완성되는 최종 단계 이전에 악성코드를 탐지하여 무력화 할 수 있도록 노력하는 것이 매우 중요하다. 그래서 이를 선제적으로 식별하고 대응하기 위해 인공지능 분석, 연관분석, 프로파일링 등 다양한 분석 기법이 연구되어지고 있다. 이러한 분석 기법들은 사전에 악성코드의 특징을 파악하고 어떤 악성코드 특징정보를 분석할지 선택하는 것이 가장 중요하다. 본 연구에서는 악성코드 특징정보의 종류와 실제 시스템에 적용한 사례에 대해서 살펴보고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06a
• /
• pp.428-430
• /
• 2012

악성코드의 위협이 점차 증가하고 있다. 악성코드를 보다 잘 탐지하기 위해 의미 구조를 기반으로 탐지하는 안티바이러스 프로그램이 필요하게 되었다. 의미구조를 기반으로 악성코드를 검출하기 위해서는 프로그램의 어떤 행동이 나쁜 행동인지를 구체적으로 서술하는 것이 필요하다. 이 논문에서는 악성코드의 행동을 형식적으로 나타내는 기술 언어를 만들고 그것이 얼마나 표현가능한지를 악성코드의 행동을 직접 표현해 봄으로써 구체적으로 설명한다. 이 기술 언어를 사용하여 특정 프로그램과 기술 언어를 입력으로 받아 악성코드인지 여부를 알아내는 정적 분석기를 만들 수 있을 것이다. 여기서 제시하는 행동 기술 언어는 프로그램의 행동을 구체적으로 고차원으로 표현할 수 있고, 악성코드의 대표적인 행동들을 충분히 담을 수 있을 만큼 강력하다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2024.01a
• /
• pp.99-100
• /
• 2024

다양한 변종들의 존재와 잘 알려지지 않은 취약점을 이용한 공격은 악성코드 수집을 어렵게 하는 요인들이다. 부족한 악성코드 수를 보완하고자 생성 모델을 활용한 이미지 기반의 악성코드 데이터를 증강한 연구들도 존재하였다. 하지만 생성 모델이 실제 악성코드를 생성할 수 있는지에 대한 분석은 진행되지 않았다. 본 연구는 VGG-11 모델을 활용해 실제 악성코드와 생성된 악성코드 이미지의 이진 분류하였다. 실험 결과 VGG-11 모델은 99.9%의 정확도로 두 영상을 다르게 판단한다

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.05a
• /
• pp.131-133
• /
• 2023

악성코드를 유포할 때 프로그램 코드만으로 악성코드의 유무를 확인할 수 없도록 조치하여 분석을 지연시키는 방식을 사용하는 방향으로 발전하고 있다. 악성코드를 실행하지 않고 코드와 구조만으로 분석하는 정적 분석으로는 악성코드를 판별할 수 없어 코드를 직접 실행해 분석하는 동적 분석을 이용해야 한다. 본 논문에서는 난독화된 비정상적인 코드를 직접 실행한 동적 분석데이터와 일반적이지 않은 섹션들의 정보를 추출한 정적 분석데이터를 이용해 동적-정적 분석 데이터와 딥러닝 모델을 통해 난독화 및 패킹된 악성코드를 탐지하는 기법을 제안한다.

• Review of KIISC
• /
• v.27 no.3
• /
• pp.20-26
• /
• 2017

인터넷의 발달로 인류가 많은 유익을 얻었지만 동시에 악성코드와 같은 또다른 문제를 겪고 있다. 이러한 악성코드를 막기 위해 시그니처 기반의 안티바이러스 프로그램이 많이 사용되고 있지만 악성코드의 변종이나 제로데이 악성코드를 막는데 한계를 가지고 있다. 이러한 문제를 해결하기 위하여 본 논문에서는 딥러닝을 이용하여 악성코드를 탐지하고 분류하는 연구동향에 대해 소개한다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2016.07a
• /
• pp.305-306
• /
• 2016

최근에 게임 플레이어들을 노리는 악성코드가 발견돼 사용자들의 주의가 필요하다. 게임 플레이어를 노리는 악성코드는 이전부터 존재해왔지만 이번에 발견된 악성코드는 게임 콘텐츠로 위장한 사례로, 직.간접적으로 게임을 즐기는 불특정 다수를 대상으로 하고 있다. 본 논문에서는 게임 콘텐츠를 위장하여 악성코드를 이용한 사이버 공격에 대한 사전 차단을 위하여 악성코드 탐지엔진에서 수집된 트래픽 정보로부터 악성링크를 판단할 수 있는 실시간 악성링크 탐지 기능을 제안한다.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.24 no.4
• /
• pp.522-528
• /
• 2020

Rapidly spreading malware, such as ransomware, trojans and Internet worms, have become one of the new major threats of the Internet recently. In order to resist against their malicious behaviors, it is essential to comprehend how malware propagate and how main factors affect spreads of them. In this paper, we aim to develop a spread prediction tool based on the modeling of malware epidemics. So we surveyed the related studies, and described the system design and implementation. In addition, we experimented on the spread of malware with major factors of malware using the developed spread prediction tool. If you make good use of the proposed prediction tool, it is possible to predict the malware spread at major factors and explore under various responses from a macro perspective with only basic knowledge of the recently wormable malware.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.22 no.6
• /
• pp.1325-1336
• /
• 2012

In the past about 10 different kinds of malicious code were found in one day on the average. However, the number of malicious codes that are found has rapidly increased reachingover 55,000 during the last 10 year. A large number of malicious codes, however, are not new kinds of malicious codes but most of them are new variants of the existing malicious codes as same functions are newly added into the existing malicious codes, or the existing malicious codes are modified to evade anti-virus detection. To deal with a lot of malicious codes including new malicious codes and variants of the existing malicious codes, we need to compare the malicious codes in the past and the similarity and classify the new malicious codes and the variants of the existing malicious codes. A former calculation method of the similarity on the existing malicious codes compare external factors of IPs, URLs, API, Strings, etc or source code levels. The former calculation method of the similarity takes time due to the number of malicious codes and comparable factors on the increase, and it leads to employing fuzzy hashing to reduce the amount of calculation. The existing fuzzy hashing, however, has some limitations, and it causes come problems to the former calculation of the similarity. Therefore, this research paper has suggested a new comparison method for malicious codes to improve performance of the calculation of the similarity using fuzzy hashing and also a classification method employing the new comparison method.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.10a
• /
• pp.193-195
• /
• 2016

오늘날의 백신은 일반적으로 시그니처 기반 탐지법을 이용한다. 시그니처 탐지기법은 악성코드의 특정한 패턴을 비교하여 효율적이고 오탐율이 낮은 기법이다. 하지만 알려지지 않은 악성코드와 난독화 기법이 적용된 악성코드를 분석하는데 한계가 있다. 악성코드를 실행하여 나타나는 행위를 분석하는 동적분석 방법은 특정한 조건에서만 악성행위를 나타내는 은닉형 악성코드(Evasive Malware)를 탐지하는 데 한계를 지닌다. 본 논문에서는 은닉형 악성코드에 적용된 기법에 관하여 소개하고 나아가 이를 탐지하기 위한 방법에 관한 기술동향을 소개한다.