• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2010년도 춘계학술대회
• /
• pp.299-302
• /
• 2010

최근의 악성코드는 백신에 쉽게 탐지 되지 않기 위해 바이러스를 압축파일로 변조시켜 악성코드 패턴을 지연하는 추세이다. 시중에 나와 있는 수많은 백신엔진 중에서는 압축파일로 변조된 악성코드 패턴 및 검사가 가능한지 알아 봐야한다. 본 논문은 다중 압축 파일로 위장 변조된 은닉된 악성코드의 패턴을 검사하여 검출되는지를 검사 엔진을 통해 모의실험을 한다. 은닉된 악성코드의 행위를 분석하며, 호스트 파일 변조와 시스템 드라이버 파일 감염 및 레지스트리 등록이 되는가를 분석한다. 본 연구를 통해 은닉형 악성코드의 검사와 백신 치료 효과를 강화시켜 악성코드로 인한 피해를 감소하는데 기여할 것이다.

• International journal of advanced smart convergence
• /
• 제12권1호
• /
• pp.149-156
• /
• 2023

OOXML-based MS-Office digital files are extensively utilized by businesses and organizations worldwide. However, OOXML-based MS-Office digital files are vulnerable to forgery and corruption attack by including hidden suspicious information, which can lead to activating malware or shell code being hidden in the file. Such malicious code can cause a computer system to malfunction or become infected with ransomware. To prevent such attacks, it is necessary to analyze and detect the corruption of OOXML-based MS-Office files. In this paper, we examine the weaknesses of the existing OOXML-based MS-Office file structure and analyzes how concealment and forgery are performed on MS-Office digital files. As a result, we propose a system to detect hidden data effectively and proactively respond to ransomware attacks exploiting MS-Office security vulnerabilities. Proposed system is designed to provide reliable and efficient detection of hidden data in OOXML-based MS-Office files, which can help organizations protect against potential security threats.

• 한국컴퓨터정보학회논문지
• /
• 제24권5호
• /
• pp.27-33
• /
• 2019

One of serious security threats is a botnet-based attack. A botnet in general consists of numerous bots, which are computing devices with networking function, such as personal computers, smartphones, or tiny IoT sensor devices compromised by malicious codes or attackers. Such botnets can launch various serious cyber-attacks like DDoS attacks, propagating mal-wares, and spreading spam e-mails over the network. To establish a botnet, attackers usually inject malicious URLs into web source codes stealthily by using data hiding methods like Javascript obfuscation techniques to avoid being discovered by traditional security systems such as Firewall, IPS(Intrusion Prevention System) or IDS(Intrusion Detection System). Meanwhile, it is non-trivial work in practice for software developers to manually find such malicious URLs which are hidden in numerous web source codes stored in web servers. In this paper, we propose a security defense system to discover such suspicious, malicious URLs hidden in web source codes, and present experiment results that show its discovery performance. In particular, based on our experiment results, our proposed system discovered 100% of URLs hidden by Javascript encoding obfuscation within sample web source files.

• 사물인터넷융복합논문지
• /
• 제9권1호
• /
• pp.1-7
• /
• 2023

랜섬웨어에 의해 개인용 단말 또는 서버 등이 감염되는 사례가 급증하고 있다. 랜섬웨어는 자체 개발한 암호화 모듈을 이용하거나 기존의 대칭키/공개 키 암호화 모듈을 결합하여 공격자만이 알고 있는 키를 이용하여 피해 시스템 내에 저장된 파일을 불법적으로 암호화 하게 된다. 따라서 이를 복호화 하기 위해서는 사용된 키 값을 알아야만 하며, 복호화 키를 찾는 과정에 많은 시간이 걸리므로 결국 금전적인 비용을 지불하게 된다. 이때 랜섬웨어 악성코드는 대부분 바이너리 파일 내에 은닉된 형태로 포함되어 있어 프로그램 실행시 사용자도 모르게 악성코드에 감염된다. 그러므로 바이너리 파일 형태의 랜섬웨어 공격에 대응하기 위해서는 사용된 암호화 모듈에 대한 식별 과정이 필요하다. 이에 본 연구에서는 바이너리 파일 내 은닉된 악성코드에 적용 된 암호화 모듈을 역분석하여 탐지하고 식별할 수 있는 메커니즘을 연구하였다.

• 정보보호학회논문지
• /
• 제21권4호
• /
• pp.61-75
• /
• 2011

최근 DDoS공격용 좀비, 기업정보 및 개인정보 절취 등 각종 사이버 테러 및 금전적 이윤 획득의 목적으로 웹사이트를 해킹, 악성코드를 은닉함으로써 웹사이트 접속PC를 악성코드에 감염시키는 공격이 지속적으로 증가하고 있으며 은닉기술 및 회피기술 또한 지능화 전문화되고 있는 실정이다. 악성코드가 은닉된 웹사이트를 탐지하기 위한 현존기술은 BlackList 기반 패턴매칭 방식으로 공격자가 악성코드의 문자열 변경 또는 악성코드를 변경할 경우 탐지가 불가능하여 많은 접속자가 악성코드 감염에 노출될 수 밖에 없는 한계점이 존재한다. 본 논문에서는 기존 패턴매칭 방식의 한계점을 극복하기 위한 방안으로 WhiteList 기반의 악성코드 프로세스 행위분석 탐지기술을 제시하였다. 제안방식의 실험 결과 현존기술인 악성코드 스트링을 비교하는 패턴매칭의 MC-Finder는 0.8%, 패턴매칭과 행위분석을 동시에 적용하고 있는 구글은 4.9%, McAfee는 1.5%임에 비해 WhiteList 기반의 악성코드 프로세스 행위분석 기술은 10.8%의 탐지율을 보였으며, 이로써 제안방식이 악성코드 설치를 위해 악용되는 웹 사이트 탐지에 더욱 효과적이라는 것을 증명할 수 있었다.

• 한국컴퓨터정보학회논문지
• /
• 제27권5호
• /
• pp.149-156
• /
• 2022

최근 전 세계적으로 사용되는 Microsoft Office 파일에 악성코드를 삽입하는 문서형 악성코드 사례가 증가하고 있다. 문서형 악성코드는 문서 내에 악성코드를 인코딩하여 숨기는 경우가 많기 때문에 백신 프로그램을 쉽게 우회할 수 있다. 이러한 문서형 악성코드를 탐지하기 위해 먼저 Microsoft Office 파일의 형식인 OLE(Object Linking and Embedding) 파일의 구조를 분석했다. Microsoft Office에서 지원하는 기능인 VBA(Visual Basic for Applications) 매크로에 외부 프로그램을 실행시키는 쉘코드, 외부 URL에서 파일을 다운받는 URL 관련 코드 등 다수의 악성코드가 삽입된 것을 확인했다. 문서형 악성코드에서 반복적으로 등장하는 키워드 354개를 선정하였고, 각 키워드가 본문에 등장하는 횟수를 feature 로 정의했다. SVM, naïve Bayes, logistic regression, random forest 알고리즘으로 머신러닝을 수행하였으며, 각각 0.994, 0.659, 0.995, 0.998의 정확도를 보였다.

• 한국항행학회논문지
• /
• 제16권1호
• /
• pp.41-53
• /
• 2012

최근 악성코드에 의한 피해가 개인이나 기업으로부터 기관이나 국가 차원으로 진화하고 있고 악성코드가 사용하는 기술 역시 점점 고도화되고 다양한 기법들을 흡수하여 매우 지능적으로 발전하고 있다. 한편, 보안전문가들은 시그니쳐 탐색 등의 정적 분석과 역공학 등의 동적 분석으로 이에 대응하고 있지만 이는 새로이 출현하는 지능적인 악성코드에 긴급히 대처하기에는 부족함이 있다. 따라서, 악성코드들의 행위 분석에 앞서 대개의 악성코드들이 가지는 감염절차 및 파일 은닉기법에 대한 분석을 우선적으로 수행하고 이를 토대로 재빠른 초동분석이 이루어진 후 그 무력화 방법을 포함한 제반 상세분석이 이루어질 것이 요구된다. 따라서 본 논문에서는 악성코드의 초기 진압을 위하여 요구되는 감염 절차의 분석과 파일 은닉기법의 분석 방안을 연구하였으며 그 과정에서 스팸메일을 발송하는 것으로 가장 널리 알려진 Rustock을 대상으로 실험하였다. 실험 결과를 통하여, 향후 새로이 출현하는 악성코드에 대한 재빠른 대처가 가능할 것으로 판단된다.

• 정보보호학회논문지
• /
• 제25권1호
• /
• pp.17-30
• /
• 2015

본 논문은 기존에 널리 사용되는 바이트코드(bytecode) 중심의 안드로이드 어플리케이션 코드 난독화 방법과 달리 임의의 안드로이드 어플리케이션의 DEX 파일 자체를 추출하여 암호화하고, 암호화한 파일을 임의의 폴더에 저장한 후 코드를 수행하기 위한 로더 앱을 만드는 방법을 제시한다. 이벤트 처리 정보를 은닉하기 위하여, 로더 앱 내부의 암호화된 DEX 파일은 원본 코드와 Manifest 정보 일부를 포함한다. 로더 앱의 Manifest는 원본 앱의 Manifest 정보 중에서 암호화된 클래스에 포함되지 않은 정보만을 기재하였다. 제안기법을 사용시, 첫째로 공격자는 백신을 우회하기 위해 난독화된 코드를 포함한 악성코드 제작이 가능하고, 둘째로 프로그램 제작자의 입장에서는 제안기법을 이용하여 저작권 보호를 위해 핵심 알고리즘을 은폐하는 어플리케이션 제작이 가능하다. 안드로이드 버전 4.4.2(Kitkat)에서 프로토타입을 구현하고 바이러스 토탈을 이용하여 악성코드 난독화 능력을 점검해서 제안 기법의 실효성을 보였다.

• International journal of advanced smart convergence
• /
• 제8권4호
• /
• pp.47-57
• /
• 2019

We examine the weaknesses of the existing OOXML-based MS-Word file structure, and analyze how data concealment and forgery are performed in MS-Word digital documents. In case of forgery by including hidden information in MS-Word digital document, there is no difference in opening the file with the MS-Word Processor. However, the computer system may be malfunctioned by malware or shell code hidden in the digital document. If a malicious image file or ZIP file is hidden in the document by using the structural vulnerability of the MS-Word document, it may be infected by ransomware that encrypts the entire file on the disk even if the MS-Word file is normally executed. Therefore, it is necessary to analyze forgery and alteration of digital document through internal structure analysis of MS-Word file. In this paper, we designed and implemented a mechanism to detect this efficiently and automatic detection software, and presented a method to proactively respond to attacks such as ransomware exploiting MS-Word security vulnerabilities.

• 융합보안논문지
• /
• 제12권4호
• /
• pp.3-8
• /
• 2012

스마트폰의 최근 보급 확대와 함께 비접촉식 초단거리 무선통신 기술인 NFC(Near Field Communication)기술이 탑재된 모바일 NFC 단말기가 주목을 받고 있다. 본 논문은 모바일 NFC 단말기의 개방형 특성과 다양한 서비스, 통신 기술과의 접목으로 인한 보안 취약성 발생 가능성을 알아보고자 한다. 해커는 악성코드가 포함된 URL을 기록한 NFC 태그를 대중 교통 단말기 근처 숨겨진 장소에 부착한다. 이는 온 오프라인이 결합된 융 복합 하이브리드 성격의 공격시도로서 스마트폰은 NFC 운용모드 중 하나인 Reader/Writer 모드를 통해 악의적으로 부착된 NFC 태그를 인식하여 악성코드에 감염이 된다. 다음으로 단말기 사용자는 NFC 운용모드 중 하나인 Peer-to-Peer 모드 이용으로 불특정 다수에게 무의식적인 악성코드 확산을 돕고, 마침내 지정된 D-day에 모바일 DDoS의 형태로 최종 목표지점을 공격한다는 취약점에 대해서 연구한다.