• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.11a
• /
• pp.872-875
• /
• 2011

악성코드 개체 수의 급격한 증가와 정형화되지 않은 악성코드 분류 기준 때문에 업체별, 연구기관별 악성코드 분류 방식이 서로 상이하다. 이 때문에 악성코드를 분석하는 분석가들은 모호한 악성코드 분류 방식 때문에 업무에 불필요한 시간이 소요되고 있다. 또한 안티 바이러스 제품을 사용하는 최종 사용자로 하여금 혼란을 유발하고, 악성코드에 대응하기 위해 진행되는 연구에서 악성코드에 대한 정확한 분류 지표가 없어, 연구에 혼선을 빚고 있다. 본 논문에서는 악성코드의 정확한 분류와 새로운 악성코드가 발견되고, 새로운 매체가 출현하여도 이에 유기적으로 대응할 수 있도록 악성코드의 목적행위에 따라서 총 7개 그룹으로 나누었다. 제안 분류 방식을 사용할 경우 분류된 악성코드에 대하여 보다 정확한 정보를 얻을 수 있을 것으로 기대한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.19 no.2
• /
• pp.83-92
• /
• 2009

As the innovative internet technologies and multimedia are being rapidly developed, malicious codes are a remarkable new growth part and supplied by various channel. This project presents a classification methodology for malicious codes in Windows OS (Operating System) environment, develops a test classification system. Thousands of malicious codes are brought in every day. In a result, classification system is needed to analyzers for supporting information which newly brought malicious codes are a new species or a variety. This system provides the similarity for analyzers to judge how much a new species or a variety is different to the known malicious code. It provides to save time and effort, to less a faulty analysis. This research includes the design of classification system and test system. We classify the malicious codes to 9 groups and then 9 groups divide the clusters according to the each property.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2018.10a
• /
• pp.218-221
• /
• 2018

최근 악성코드의 수가 급격하게 증가하고 있으며 단순히 악성 행위를 하는 것 뿐 아니라 안티디버깅과 같은 다양한 분석 방지 기능을 탑재하여 악성코드의 분석을 어렵게 한다. 역공학 방지 기법이 적용된 지능형 악성코드를 기존 분석 도구를 사용하여 분석하면 악성행위를 하지 않거나 임의로 자기 자신을 종료시키는 방식으로 분석이 용이하지 않다. 이러한 지능형 악성코드들은 분석하기 어려울 뿐만아니라 기존 백신의 탐지 기능에 전혀 제약을 받지 않는다. 본 논문은 이와 같은 최신 지능형 악성코드에 보다 빠르게 대처하기 위해 역공학 방지 기법이 적용된 악성코드들이 메모리상에서 종료되지 않고 정상 동작하여 악성행위를 자동으로 파악할 수 있는 동적 코드 계측 프레임워크를 제안한다. 또한, 제안한 프레임워크를 개념 검증하기 위해 프로토타입을 설계 및 구현하고, 실험을 통해 그 유효성을 확인한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.11a
• /
• pp.982-983
• /
• 2011

악성코드의 수가 급격히 늘어나면서, 최근에는 하루에도 수 만개의 신 변종 악성코드가 쏟아져 나온다. 악성코드로 인한 국내 피해를 줄이기 위해 한국인터넷진흥원에서는 신 변종 악성코드를 즉각적으로 분석하고 분석 결과를 공유하기 위해 노력하고 있다. 하지만 악성코드를 정의하고 분류하는 방침에 있어서 표준화된 규칙이 없어 악성 코드 분석 결과를 공유하는 대에 어려움이 따른다. 본 논문에서는 현재의 악성코드 정의 및 분류 방안에 대한 한계점을 개선하기 위해 악성-속성을 규정하고 이를 이용한 악성 코드 정의 및 분류 방안에 대해 제시한다.

• Journal of KIISE:Computer Systems and Theory
• /
• v.37 no.5
• /
• pp.304-313
• /
• 2010

There are several methods for malware analyses. However, it is difficult to detect malware exactly with existing detection methods. Especially, malware with strong anti-debugging facilities can detect analyzer and disturb their analyses. Furthermore, it takes too much time to analyze malware. In order to resolve these problems of current analyzers, more improved analysis scheme is required. This paper suggests a dynamic binary instrumentation which supports the instruction analysis and the memory access tracing. Additionally, by supporting the API call tracing with the DLL loading analysis, our system establishes the foundation for analyzing various executable codes. Based on Xen, full-virtualization environment is built using Intel's VT technology. Windows XP can be used as a guest. We analyze representative malware using several functions of our system, and show the accuracy and efficiency enhancements in binary analyses capability of our system.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.23 no.4
• /
• pp.679-694
• /
• 2013

According to the national information security white paper 2013, the number of hacking attempt in 2012 is 17,570 which is increased by 67.4% than in 2011, and it has been increasing year after year. The cause of this increase is considered as pursuit of monetary profit and diversification techniques of infection. However, because the development of malicious code faster than the increase in the number of experts to analyze and respond the malware, it is difficult to respond to security threats due to malicious code. So, the interest on automatic analysis tools is increasing. In this paper, we proposed the method of malware classification by similarity using malware DNA. It helps the experts to reduce the analysis time, to increase the correctness. The proposed method generates 'Malware DNA' from extracted features, and then calculates similarity to classify the malwares.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.04a
• /
• pp.501-503
• /
• 2015

Malicious(악의적인) + Code 즉, 악의적인코드를 포함한 소프트웨어라는 의미로 줄여 Malware(Malicious + Software) 라고 불리는 악성코드는 최근 네트워크와 컴퓨터의 급속한 발전에 따라 기하급수적으로 증가하고 있는 추세이다. 폭발적인 증가율 추세를 보이고 있는 악성코드의 위협을 대비하기 위해 악성코드에 대한 분석이 필요한데 그 분석의 종류로는 초기분석, 동적 분석, 정적분석으로 나누고 장, 단점을 정리하였다. 또한 악성코드 대량화에 따른 효율적인 분석과 빠른 의사결정을 위한 악성코드 유사도에 대한 연구를 소개하고 API Call Sequence와 분류된 API를 이용한 악성행위 유사도 판별법을 제시하고 실험하였다.

• Review of KIISC
• /
• v.24 no.1
• /
• pp.32-38
• /
• 2014

본 논문은 수년간 급격하게 증가되어 많은 피해를 초래하고 있는 악성코드를 탐지하기 위한 기법을 제안한다. 악성코드 제작자로부터 생산되고 인터넷에 유포되는 대부분의 악성코드는 처음 개발된 제로-데이 악성코드의 코드 일부를 그래도 재사용하는 경우가 많다. 이러한 특징에 의해 악성코드 변종들 사이에는 악의적 행위를 위해 사용되는 함수들 중 공통으로 포함되는 코드들이 존재하게 된다. 논문에 저자는 이점에 착안하여 코드 재사용 검사 여부를 통한 악성코드 변종 탐지 기법을 제안하고 있다. 그리고 변종 샘플을 이용한 변종 탐지의 가능성을 증명하는 실험과 실제 공통으로 존재하는 재사용 코드 일부(함수) 추출 정확성을 알아보는 실험을 수행하여 주장을 뒷받침한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.04a
• /
• pp.533-536
• /
• 2012

인터넷의 급격한 성장과 함께 컴퓨터 통신 이용률이 폭발적으로 증가함에 따라 여러 악성코드가 등장하게 되었다. 이러한 악성코드는 시스템의 비정상 동작 유발, 네트워크 성능 저하, 개인정보유출의 문제를 발생시킨다. 현재의 악성코드 분석은 Signature 분석이 대부분이며, Signature 분석은 특정 패턴의 악성코드는 빠르게 탐지하나, 변조된 코드는 탐지하지 못하며, 이미 피해가 널리 퍼진 뒤 분석 및 차단이 가능하다는 단점을 가진다. 따라서 본 논문은 NDIS(Network Driver Interface Specification)를 이용하여 악성코드에 대해 수동적인 Signature 분석의 단점을 보완 하는 시스템 및 네트워크 상태 분석모델을 제시 하여 보다 능동적인 탐지 및 차단 프로세스를 정의하고, 모델 구현을 위한 방법을 제시한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.10a
• /
• pp.193-195
• /
• 2016

오늘날의 백신은 일반적으로 시그니처 기반 탐지법을 이용한다. 시그니처 탐지기법은 악성코드의 특정한 패턴을 비교하여 효율적이고 오탐율이 낮은 기법이다. 하지만 알려지지 않은 악성코드와 난독화 기법이 적용된 악성코드를 분석하는데 한계가 있다. 악성코드를 실행하여 나타나는 행위를 분석하는 동적분석 방법은 특정한 조건에서만 악성행위를 나타내는 은닉형 악성코드(Evasive Malware)를 탐지하는 데 한계를 지닌다. 본 논문에서는 은닉형 악성코드에 적용된 기법에 관하여 소개하고 나아가 이를 탐지하기 위한 방법에 관한 기술동향을 소개한다.