• Journal of KIISE
• /
• v.45 no.1
• /
• pp.1-8
• /
• 2018

Recently, distribution of malicious codes using the Internet has been one of the most serious cyber threats. Technology of malicious code distribution with detection bypass techniques has been also developing and the research has focused on how to detect and analyze them. However, obfuscated malicious JavaScript is almost impossible to detect, because the existing malicious code distributed web page detection system is based on signature and another limitation is that it requires constant updates of the detection patterns. We propose to overcome these limitations by means of an intelligent malicious code distributed web page detection system using a real browser that can analyze and detect intelligent malicious code distributed web sites effectively.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.366-367
• /
• 2015

최근 악성코드의 유포 동향을 살펴보면 APT 공격이 많다. 본 논문에서는 악성코드 은닉사이트를 통하여 악성코드가 유포되는 과정과 그 과정에서 공격자가 침투하는 경로나 대표적인 취약점들에 대하여 설명하고 그에 대한 대응책에 대하여 논하고자 한다.

• Journal of Internet Computing and Services
• /
• v.21 no.3
• /
• pp.29-39
• /
• 2020

Online communities, such as Internet portal sites and social media, have become popular since they allow users to share opinions and to obtain information anytime, anywhere. Accordingly, an increasing number of opinions are manipulated to the advantage of particular groups or individuals, and these opinions include falsified product reviews and political propaganda. Existing detection systems are built upon the characteristics of manipulated opinions for one particular time period. However, manipulation tactics change over time to evade detection systems and to more efficiently spread information, so detection systems should also evolve according to the changes. We therefore propose a system that helps observe and trace changes in manipulation tactics. This system classifies opinions into clusters that represent different tactics, and changes in these clusters reveal evolving tactics. We evaluated the system with over a million opinions collected during three election campaigns and found various changes in (i) the times when manipulations frequently occur, (ii) the methods to manipulate recommendation counts, and (iii) the use of multiple user IDs. We suggest that the operators of online communities perform regular audits with the proposed system to identify evolutions and to adjust detection systems.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.11a
• /
• pp.173-174
• /
• 2023

이 논문은 북한 해킹 그룹이 최근 유포하고 있는 악성코드 CHM 과 RokRAT 에 대해 연구하고 대응하는 목적으로 작성되었다. 악성코드 CHM 은 chm 파일 실행 시 도움말 창을 생성하여 내부 악성 스크립트가 동작하는 방식이다. 악성코드 RokRAT 은 윈도우에 기본 탑재된 lnk 파일을 pdf 아이콘으로 위장하여 사람들에게 유포하는 방식을 사용하였다. 이는 다양한 형식의 파일을 통해 유포되는 만큼 사용자가 보안 위협에 대한 경각심을 가지고 스스로 예방하고 대처할 수 있어야 한다는 결론을 내리고 있다.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2012.05a
• /
• pp.389-391
• /
• 2012

사이버 테러 형 범죄인 DDoS를 줄이기 위해 ISP에서 이용하는 방법은 제한적이며, 악성코드의 근본적인 원인에 대하여 연구하고 유포지를 수집하여 원인을 규명하기 위한 사례는 찾아보기 어렵다. 이를 해결하기 위해 본 논문은 DDoS 공격에 대한 악성코드의 근원과 누가 유포하였는지에 대한 조사를 지원하는 악성코드 유포지 수집(MCSP) 시스템을 개발하였다. 감염된 좀비 PC의 자료나 파일을 수집하여 악성코드 유포지에 대한 조사에 도움을 주는 스크립트에 대하여 MCSP 시스템을 사용하는 것은 감염된 PC의 근원적인 정보를 확인하는데 도움을 줄 것이다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.23 no.6
• /
• pp.1121-1129
• /
• 2013

Recent malware distribution causes severe and nation-wide problems such as 3 20 cyber attack in Korea. In particular, Drive-by download attack, which is one of attack types to distribute malware through the web, becomes the most prevalent and serious threat. To prevent Drive-by download attacks, it is necessary to analyze MDN(Malware Distribution Networks) of Drive-by download attacks. Effective analysis of MDN requires a detection of obfuscated and/or encapsulated JavaScript in a web page. In this paper, we propose the scheme called Multi-level emulation to analyze the process of malware distribution. The proposed scheme analyzes web links used for malware distribution to support the efficient analysis of MDN.

• Journal of the Korea Society of Computer and Information
• /
• v.14 no.9
• /
• pp.47-54
• /
• 2009

Malicious codes, which are spread through WWW are now evolved with various hacking technologies However, detecting technologies for them are seemingly not able to keep up with the improvement of hacking and newly generated malicious codes. In this paper, we define the requirements of detecting systems based on the analysis of malicious codes and their spreading characteristics, and propose an improved detection scheme which monitors HTTP Outbound traffic and detects spreading malicious codes in real time. Our proposed scheme sets up signatures in IDS with confirmed HTML tags and Java scripts which spread malicious codes. Through the verification analysis under the real-attacked environment, we show that our scheme is superior to the existing schemes in satisfying the defined requirements and has a higher detection rate for malicious codes.

• Journal of the Korea Society of Computer and Information
• /
• v.25 no.11
• /
• pp.123-129
• /
• 2020

Recently, cybercrime has become increasingly difficult to track by applying new technologies such as virtualization technology and distribution tracking avoidance. etc. Therefore, there is a limit to the technology of tracking distributors based on malicious code information through static and dynamic analysis methods. In addition, in the field of cyber investigation, it is more important to track down malicious code distributors than to analyze malicious codes themselves. Accordingly, in this paper, we propose a next-generation malicious code information collection architecture to efficiently track down malicious code distributors by converging traditional analysis methods and recent information collection methods such as OSINT and Intelligence. The architecture we propose in this paper is based on the differences between the existing malicious code analysis system and the investigation point's analysis system, which relates the necessary elemental technologies from the perspective of cybercrime. Thus, the proposed architecture could be a key approach to tracking distributors in cyber criminal investigations.

• Proceedings of the Korean Institute of Intelligent Systems Conference
• /
• 2006.05a
• /
• pp.327-330
• /
• 2006

P2P 파일 공유 시스템은 중앙 서버를 거치지 않고 피어 컴퓨터들 간의 직접적인 자원 공유로 특징지워지는 P2P 기술의 대표적인 응용으로, 사용자는 인터넷을 통해 원하는 파일을 쉽게 검색, 획득, 유포할 수 있다. 그러나 악의적인 사용자가 허위 파일이나 바이러스를 유포할 수 있어, 허위파일로 인한 재전송이 빈번해짐으로써 네트워크 트래픽이 증가하고, 바이러스로 인한 피해가 발행할 수 있다. 또한, 자신의 파일에 대한 공유없이 다른 사용자들의 공유 파일만 다운로드하는 free riding 문제가 발생할 수 있다. 이 논문에서는 사용자의 파일 공유 트랜잭션 정보에 기반한 신뢰 정보를 이용하여 P2P 파일 공유 시스템의 문제점을 보완할 수 있는 시스템을 제안한다. 제안한 시스템에서 중앙 서버는 사용자의 파일 공유 트랜잭션 피드백을 이용하여 사용자 신뢰도를 구하여 허위파일이나 바이러스를 유포하는 악의적인 사용자나 free rider에 대해 시스템 사용을 제한한다. 사용자는 파일 다운로드 시에 중앙 서버로부터 사용자 메타데이터를 수신하여 자신의 선호도를 반영한 파일 신뢰도를 이용함으로써 허위파일이나 바이러스를 다운로드할 위험을 줄인다.

• Review of KIISC
• /
• v.29 no.6
• /
• pp.39-48
• /
• 2019

랜섬웨어(Ransomware)는 몸값(Ransom)과 소프트웨어(Software)의 합성어로 사용자 시스템을 장악하여 중요 문서 및 파일을 암호화하고 암호화된 파일의 복호화를 대가로 가상 화폐를 요구한다. 랜섬웨어로 인한 피해는 매년 증가하고 있으며 새로운 랜섬웨어의 등장과 변종의 출현이 빈번하다. 이에 본 논문은 2019년에 등장하거나 영향을 주고 있는 랜섬웨어에 대한 유포방법, 유포 대상, 알고리즘 사용 현황을 밝히고 국내 외 피해 사례를 소개한다. 그리고 분기 별로 감염율 상위 5개의 랜섬웨어를 살펴보고 평균 요구 금액에 대해 기술한다. 마지막으로 주요 및 신규 랜섬웨어 대해 유포 경로, 특징, 암호화 알고리즘, 복호화 요소 및 복호화 도구에 대해서는 표로 요약하며 자세히 서술한다.