• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권9호
• /
• pp.3258-3273
• /
• 2021

Malware is a severe threat to the computing system and there's a long history of the battle between malware detection and anti-detection. Most traditional detection methods are based on static analysis with signature matching and dynamic analysis methods that are focused on sensitive behaviors. However, the usual detections have only limited effect when meeting the development of malware, so that the manual update for feature sets is essential. Besides, most of these methods match target samples with the usual feature database, which ignored the characteristics of the sample itself. In this paper, we propose a new malware detection method that could combine the features of a single sample and the general features of malware. Firstly, a structure of Directed Cyclic Graph (DCG) is adopted to extract features from samples. Then the sensitivity of each API call is computed with Markov Chain. Afterward, the graph is merged with the chain to get the final features. Finally, the detectors based on machine learning or deep learning are devised for identification. To evaluate the effect and robustness of our approach, several experiments were adopted. The results showed that the proposed method had a good performance in most tests, and the approach also had stability with the development and growth of malware.

• 한국정보과학회논문지:시스템및이론
• /
• 제37권5호
• /
• pp.304-313
• /
• 2010

악성코드를 분석하기 위한 기법에는 다양한 방법들이 존재한다. 하지만 기존의 악성코드 분석 기법으로는 악성코드들의 동작들을 정확하게 분석하는 것이 점점 어려워지고 있다. 특히, 분석 시스템들이 악성코드의 안티-디버깅 기술에 의해 감지되기 쉽고, 실행속도 등 여러 가지 한계점을 보임에 따라 이를 해결할 수 있는 분석 기법이 요구되고 있다. 본 논문에서는 동적 코드 분석을 위한 기본 요구사항인 명령어 단위 분석 및 메모리 접근 추적 기능을 제공하는 동적 코드 분석 시스템을 설계 및 구현한다. 그리고 DLL 로딩 추적을 통한 API 호출 정보를 추출하여, 다양한 실행 코드들을 분석 할 수 있는 기반 환경을 구축한다. 제안 시스템은 Intel의 VT 기술을 이용하여 Xen 기반으로 전가상화 환경을 구축하였으며, 게스트에서는 윈도우즈 XP가 동작할 수 있도록 하였다. 제안 시스템을 이용하여 대표적인 악성코드들을 분석해 봄으로써 제안 시스템 각각의 기능들의 활용을 살펴보고, 제안 시스템이 악성코드들을 정확하게 분석 및 탐지함을 보여준다.

• 융합보안논문지
• /
• 제8권2호
• /
• pp.63-70
• /
• 2008

최근 발생하는 다양한 악성 프로그램을 분석해 보면, 해당 악성 프로그램을 쉽게 분석할 수 없도록 하기 위해 다양한 분석 방해 기법들이 적용되고 있다. 그러나, 분석 방해 기법들이 적용될수록, 악성프로그램의 PE파일 헤더에는 정상적인 일반 PE파일의 헤더와는 다른 특징이 더 많이 나타난다. 본 논문에서는 이를 이용하여 악성 프로그램을 탐지할 수 있는 방법을 제안하고자 한다. 이를 위해, PE파일 헤더의 특징을 표현할 수 있는 특징 벡터(Characteristic Vector, CV)를 정의하고, 정상 실행 파일의 특징 벡터의 평균(ACVN)과 악성 실행 파일의 특징 벡터의 평균(ACVM)을 사전 학습을 통해 추출한다. 이후, 임의 파일의 특징 벡터와 ACVN, ACVM간의 Weighted Euclidean Distance(WED)를 계산하고, 이를 기반으로 해당 파일이 정상파일인지 혹은 악성 실행 파일인지를 판단하는 기술을 제안한다.

• 정보보호학회논문지
• /
• 제25권6호
• /
• pp.1385-1397
• /
• 2015

Proxy DLL은 윈도우즈에서 DLL을 사용하는 정상적인 메커니즘이다. 악성코드들은 목표 시스템에 심어진 뒤에 감염을 위해 최소 한번은 실행되어야 하는데, 이를 위해 특정 악성코드들은 정상적인 윈도우즈 라이브러리로 위장하여 Proxy DLL 메커니즘을 이용한다. 이런 유형의 대표적인 공격 사례가 윈티(Winnti) 그룹이 제작한 악성코드들이다. 윈티 그룹은 카스퍼스키랩(Kaspersky Lab)에서 2011년 가을부터 연구하여 밝혀진 중국의 해킹 그룹으로, 온라인 비디오 게임 업계를 목표로 다년간에 걸쳐 음성적으로 활동하였고, 이 과정에서 다수의 악성코드들을 제작하여 온라인 게임사에 감염시켰다. 본 논문에서는 윈도우즈 라이브러리로 위장한 Proxy DLL의 기법을 윈티의 사례를 통해 알아보고, 이를 방어할 수 있는 방법을 연구하여 윈티의 악성코드를 대상으로 검증하였다.

• 정보보호학회논문지
• /
• 제26권1호
• /
• pp.117-124
• /
• 2016

빠르게 증가하는 악성코드를 효율적으로 분석하기 위해 가상화 환경이 많이 사용되고 있다. 하지만 이를 인지한 악성코드 제작자들은 가상화 환경 탐지 기술을 이용하여 악성코드가 가상화 환경에서 구동되는 것을 판단하면 악성행위를 수행하지 않는 등의 분석 회피 기술을 적용하고 있다. 분석 회피 기술을 무력화하기 위한 연구도 계속되고 있지만 몇 가지 가상화 환경 탐지 기술로써 악성코드 분석은 상당히 저해를 받는다. 미국 Utah 대학에서 개발한 Emulab은 실제 시스템을 연구자가 원하는 대로 실시간으로 할당할 수 있다. 본 연구에서는 이 Emulab을 악성코드 분석에 어떻게 활용할 수 있는지 알아보고 그 방안을 제시한다.

• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제22권3호
• /
• pp.139-144
• /
• 2016

최근 악성코드를 이용한 위협은 사이버 상에서 가장 위협적이고 점차 지능화되고 있다. 하지만 안티 바이러스 제품이나 기존의 탐지 솔루션은 복잡해지고 정교해지는 악성코드에 대해 효과적으로 대응하지 못한다. 본 논문에서는 분석 환경 회피 기술을 갖는 악성코드를 보다 효과적으로 식별하기 위해 실제 컴퓨터 환경을 기반으로 악성코드의 동작 및 상태를 감지하고 악성코드의 요구사항을 동적으로 핸들링하는 환경을 제안한다. 제안하는 방법은 리얼머신 기반의 바이너리 자동실행 환경과 가상머신 환경에서의 악성코드 악성행위 활동성을 비교하여 지능형 악성코드를 효과적으로 분석하기 위한 동적 분석환경을 제공할 수 있음을 실험하여 보였다.

• 한국IT서비스학회지
• /
• 제13권2호
• /
• pp.113-131
• /
• 2014

Smartphone security threat has become an important issue in Information Science field following the wide distribution of smartphones. However, there are few studies related to such. Therefore, this study examined the factors affecting the intention of smartphone users to use the mobile vaccine against malware with the Protection Motivation Theory. To secure the reliability of the study, a surveying agency was commissioned. A total of 263 respondents, excluding 37 respondents who are users of iOS, which does not have mobile vaccine in the smart phone, or who gave invalid responses, were surveyed. The results showed that perception of the installed mobile vaccine significantly affected the Response Efficacy and Self-efficacy, and that the Perceived Severity, Perceived Vulnerability, Response Efficacy, and Self-efficacy significantly influenced the intention to use the mobile vaccine. On the other hand, Installation Perception of mobile vaccine itself did not affect the Perceived Severity and Perceived Vulnerability. This study is significant since it presented the new evaluation model of threat evaluation and response evaluation in the Protection Motivation Theory in accepting the security technology and raised the need for the promotion and exposure of mobile vaccine, since perception of mobile vaccine installation affects the response evaluation. It also found that the promotion must consider the seriousness of smartphone security, outstanding attribute of mobile vaccine, and user-friendliness of mobile vaccine above all.

• 인터넷정보학회논문지
• /
• 제15권6호
• /
• pp.47-54
• /
• 2014

여러 가지 역공학 방지기술들 중 하나인 안티 디버깅 기술은 특정 프로그램을 대상으로 공격자나 분석가가 디버거를 사용하여 분석을 하지 못하도록 하기 위한 기술로써, 예전부터 악성코드 및 분석을 방지하고자 하는 여러 가지 프로그램들에 적용이 되었으며 현재까지도 많이 사용이 되고 있는 기술이다. 본 논문에서는 이러한 안티 디버깅 루틴에 대한 자동화 탐지 방법을 제안한다. 탐지는, 디버거 및 시뮬레이터를 통해 실행 명령어 및 API(Application Program Interface)에 대한 트레이스 정보들을 추출하고, 추출된 정보들을 비교하여 안티 디버깅 루틴으로 의심이 가는 지점을 찾는 방식으로 진행된다. 실험 결과, 알려진 25가지의 안티 디버깅 기법들 중 21가지에 대하여 정상적으로 탐지가 이루어졌다. 이와 같이, 본 기법은 특정 안티 디버깅 기술에 의존적이지 않으며, 추후 개발 및 발견되는 안티 디버깅 기술들에 대한 탐지의 경우에도 적용이 가능할 것으로 예상된다.

• 한국통신학회논문지
• /
• 제42권1호
• /
• pp.193-204
• /
• 2017

인터넷 시스템의 보안은 백신을 최신으로 업데이트하고, 신종 악성코드를 탐지해 내는 능력에 달려있다. 하지만, 급변하는 인터넷 환경과 더불어, 악성코드는 끊임없이 변종을 만들어내고 더욱 지능적으로 진화하고 있어 현재 운용중인 시그니쳐 기반 탐지체계로 탐지되지 않는다. 따라서, 본 연구에서는 악성코드의 네트워크 행위 패턴을 추출하여 DNA 서열 유사도를 비교하여 활용하는 유사 시퀀스 정렬 알고리즘을 적용하여 악성코드를 분류하는 기법을 제안한다. 제안한 기법을 실제 네트워크에서 수집된 악성코드 샘플 766개에 적용하여 유사도를 비교한 결과 40.4%의 정확도를 얻었다. 이는 코드나 다른 특성을 배제하고 악성코드의 네트워크 행위만으로 분류했다는 점을 미루어 볼 때 앞으로 더 발전 가능성이 있을 것으로 기대된다. 또한 이를 통해 공격그룹을 예측하거나 추가적인 공격을 예방할 수 있다.

• 정보보호학회논문지
• /
• 제26권5호
• /
• pp.1235-1241
• /
• 2016

스마트 폰에서 활용할 수 있는 다양한 앱 (Apps)들의 개수가 기하급수적으로 증가함에 따라 개인 맞춤형 앱들을 추천해주는 시스템이 각광받고 있다. 하지만, 다양한 목적으로 악성 앱 (Malware)을 제작하여 구글 플레이(GooglePlay) 사이트에 등록 후 배포하는 경우가 동시에 증가함에 따라 사용자들은 만족도 하강의 단순 피해부터 개인정보 노출 및 금전 탈취 등 심각한 수준의 많은 피해까지 겪고 있다. 또한, 소셜 네트워크가 발전함에 따라 물리적인한 사용자가 많은 거짓 계정들을 만들어서 구글 플레이 사이트의 각 앱의 평점 (rating)들을 조작하는 시빌 공격(Sybil)도 존재할 수 있다. 이때까지 악성 앱과 시빌 공격 연구는 독립적으로 진행되어 왔다. 하지만 실시간으로 발전하고 있는 지능화된 공격 종류들을 고려했을 때 악성 앱 제작자가 구글 플레이 사이트에 노출 된 평점까지 조작 후 인지도를 높여서 결국 악성 앱을 다운받도록 유도하는 지능화된 공격의 유무를 판단하는 것이 중요하다. 따라서, 본 논문에서는 구글 플레이어 사이트를 직접 크롤링하고 시빌 공격과 악성 앱의 상관관계를 실험적으로 밝힌다. 실험결과, 구글 플레이어 사이트에서는 아직 시빌과 악성 앱의 상관관계가 낮음을 알 수 있었다. 이는 악성 앱 배포자가 인지도 및 평점까지 다수 조작하여 많은 사람들에게 노출되면 다양한 Anti-Virus (AV) 벤더들에게 오히려 더 빨리 탐지되어 목적을 달성할 수 없기 때문에 이를 고려하지 않았거나, 악성 앱 배포자가 악성 앱을 만들고 배포하는 것에만 초점을 두고 사이트 인지도 및 평점 조작까지는 아직 동시에 고려하지 않음으로 해석될 수 있다.