• 대한임베디드공학회논문지
• /
• 제12권6호
• /
• pp.359-368
• /
• 2017

As the BadUSB is a vulnerability, in which a hacker tampers the firmware area of a USB flash drive. When the BadUSB device is plugged into the USB port of a host system, a malicious code acts automatically. The host system misunderstands the act of the malicious behavior as an normal behaviour for booting the USB device, so it is hard to detect the malicious code. Also, an antivirus software can't detect the tampered firmware because it inspects not the firmware area but the storage area. Because a lot of computer peripherals (such as USB flash drive, keyboard) are connected to host system with the USB protocols, the vulnerability has a negative ripple effect. However, the countermeasure against the vulnerability is not known now. In this paper, we analyze the tampered area of the firmware when a normal USB device is changed to the BadUSB device and propose the countermeasure to verify the integrity of the area when the USB boots. The proposed method consists of two procedures. The first procedure is to verify the integrity of the area which should be fixed even if the firmware is updated. The verification method use hashes, and the target area includes descriptors. The second procedure is to verify the integrity of the changeable area when the firmware is updated. The verification method use code signing, and the target area includes the function area of the firmware. We also propose the update protocol for the proposed structure and verify it to be true through simulation.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권2호
• /
• pp.87-94
• /
• 2017

최근 각종 공문서와 증빙 서류를 비롯하여 대부분의 문서가 디지털 데이터의 형태로 사용되고 있다. 특히 MS 오피스는 전 세계적으로 공공기관, 기업, 학교, 가정 등 다양한 곳에서 가장 많이 사용하고 있는 문서 편집 소프트웨어로써 악의적인 목적을 가진 사용자들이 해당 문서 프로그램의 범용성을 이용하여 MS 오피스 문서 파일을 악성 행위를 위한 매개체로 사용하고 있으며, 최근에는 단순한 사용자뿐만 아니라 국내외 정부 기관과 주요기업을 비롯하여 기반시설에서도 MS 오피스 문서 파일 형태의 악성코드가 유입되고 있다. MS 오피스 문서에 악성 코드를 삽입하는 방법은 단순히 미할당 영역에 은닉하는 방법을 사용할 뿐만 아니라 매크로 기능을 이용하는 등 다양한 방법을 통해 점점 정교한 형태로 진화되고 있다. 이러한 악성 코드들을 탐지하기 위해서 시그니처를 이용하거나 샌드박스를 이용한 탐지방법이 존재하지만, 유동적이고 복잡해지는 악성 코드들을 탐지하기에는 한계가 있다. 따라서 본 논문에서는 디지털 포렌식 관점에서 MS 오피스 문서 분석에 필요한 주요 메타데이터와 파일 포맷 구조 분석을 통해 매크로 영역과 그 외 악성 코드가 삽입될 가능성이 존재하는 영역들을 확인함으로써 MS 오피스 문서 파일 내 비정상 요소를 탐지하는 기법을 제안한다.

• 정보보호학회논문지
• /
• 제31권1호
• /
• pp.73-81
• /
• 2021

휴대폰 이용 시 앱 또는 웹 기반 어플리케이션을 이용하여 파일 다운로드 시, 다운로드 되는 파일들은 어플리케이션 마다 특정 디렉토리에 저장하도록 기본 경로가 설정되어 있다. 파일 관리자를 비롯하여 저장소로 접근이 필요한 여러 어플리케이션들은 여러 기능들과 서비스를 제공하기 위해, 저장소의 읽기 및 쓰기 권한을 요구한다. 이는 다운로드 경로에 직접 접근하여 사용자가 저장해놓은 수많은 중요 파일들에 직접 접근할 수 있게 됨을 의미한다. 본 논문에서는 이러한 다운로드 된 파일들의 저장 공간의 보안 취약점을 이용한 공격 가능성을 증명하기 위해 암호화를 위장한 파일 탈취 어플리케이션 기능을 개발하였다. 암호화를 진행한 파일은 암호화됨과 동시에 백그라운드에서는 해커에게 E-mail을 통해 전송된다. 개발한 어플리케이션을 악성 분석 엔진인 VirusTotal을 이용하여 검사한 결과, 74개의 엔진 모두에서 악성 앱으로 탐지되지 않았다. 최종적으로 본 논문에서는 이러한 저장소 취약점을 보완하기 위한 신뢰실행 환경 기반의 방어 기법과 알고리즘을 제안한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제17권6호
• /
• pp.1706-1727
• /
• 2023

Under Water Sensor Networks (UWSN) has gained attraction among various communities for its potential applications like acoustic monitoring, 3D mapping, tsunami detection, oil spill monitoring, and target tracking. Unlike terrestrial sensor networks, it performs an acoustic mode of communication to carry out collaborative tasks. Typically, surface sink nodes are deployed for aggregating acoustic phenomena collected from the underwater sensors through the multi-hop path. In this context, UWSN is constrained by factors such as lower bandwidth, high propagation delay, and limited battery power. Also, the vulnerabilities to compromise the aquatic environment are in growing numbers. The paper proposes an Energy-Efficient standalone Intrusion Detection System (EEIDS) to entail the acoustic environment against malicious attacks and improve the network lifetime. In EEIDS, attributes such as node ID, residual energy, and depth value are verified for forwarding the data packets in a secured path and stabilizing the nodes' energy levels. Initially, for each node, three agents are modeled to perform the assigned responsibilities. For instance, ID agent verifies the node's authentication of the node, EN agent checks for the residual energy of the node, and D agent substantiates the depth value of each node. Next, the classification of normal and malevolent nodes is performed by determining the score for each node. Furthermore, the proposed system utilizes the sheep-flock heredity algorithm to validate the input attributes using the optimized probability values stored in the training dataset. This assists in finding out the best-fit motes in the UWSN. Significantly, the proposed system detects and isolates the malicious nodes with tampered credentials and nodes with lower residual energy in minimal time. The parameters such as the time taken for malicious node detection, network lifetime, energy consumption, and delivery ratio are investigated using simulation tools. Comparison results show that the proposed EEIDS outperforms the existing acoustic security systems.

• 한국정보과학회논문지:시스템및이론
• /
• 제34권10호
• /
• pp.502-510
• /
• 2007

Private Matching은 각기 다른 두 참여자가 가진 데이타의 교집합을 구하는 문제이다. Private matching은 보험사기 방지시스템, 항공기 탑승 금지자 목록 검색, 의료 정보 검색 등에 이용될 수 있으며 다자간의 계산으로 확장하면 전자투표, 온라인 게임 등에도 이용될 수 있다. 2004년 Freedman 등 [1]은 이 문제를 확률적으로 해결하는 프로토콜을 제안하고 악의적인 공격자 모델과 다자간 계산으로 확장하였다. 이 논문에서는 기존의 프로토콜을 결정적(deterministic) 방법으로 개선하여 Semi-Honest 모델에서 결과의 정확성을 보장하는 한편, 이를 악의적인 공격자 모델에 확장하여 신뢰도와 연산속도를 향상 시키는 새로운 프로토콜을 제안한다.

• 한국통신학회논문지
• /
• 제28권7C호
• /
• pp.743-750
• /
• 2003

컴퓨터 기술의 확산과 더불어 분산 컴퓨팅 환경에서 이동에이전트 코드의 이동성은 유연성이 있어 인터넷상에서 분배된 애플리케이션들을 설치하는데 사용되고 있다. 동시에, 이동에이전트의 이동코드를 전송하고 멀리 떨어진 곳의 호스트로부터 수신할 수 있는 능력을 가지고 있어서 에이전트가 실행되는 호스트 시스템의 실행 환경은 에이전트의 코드와 이를 실행할 수 있는 실행 환경에 접근을 해야 함으로 악의적인 행위들로부터 에이전트의 위조, 변조, 잘못된 실행을 방지하기가 매우 어렵다. 따라서 본 논문은 암호화된 에이전트의 코드와 상태 추적을 통하여 여러 악의적인 행위로부터 에이전트를 보호할 수 있도록 하는 메카니즘을 제안한다 제안한 메카니즘을 통해 이동에이전트가 보호되는 과정을 통해서 안전성을 증명하였다.

• 융합보안논문지
• /
• 제15권7호
• /
• pp.21-29
• /
• 2015

급속하게 늘어나는 악성앱을 효과적으로 분석하기 위해 악성앱 자동 분석 시스템이 구축 활용되고 있다. 악성앱의 행위를 보다 많이 활성화시키기 위해 무작위 터치를 발생시키는 자동 터치 모듈을 추가하는 연구가 진행되고 있다. 본 연구에서는 실제 사람의 터치와 자동으로 발생되는 무작위 터치와의 차이를 구별할 수 있는 방안을 제시한다. 실험을 바탕으로 사람들은 한번 터치 후 다음 터치와의 거리가 자동화 모듈보다 짧은 경향이 있으며, 손가락 움직임으로 터치할 수 있는 빠르기도 한계가 있고, 사람은 일반적으로 스마트폰의 최 외곽 지역은 잘 터치하지 않는다는 사실을 알게 되었다. 본 연구에서는 실험을 통해 얻은 통계적 수치를 이용하여 스마트폰의 터치에서 사람인지 자동화 모듈인지 판단할 수 있는 알고리즘을 개발하였다. 본 연구는 궁극적으로 자동 터치 발생을 통한 자동 분석 시스템 고도화에 기여할 것으로 예상된다.

• 정보보호학회논문지
• /
• 제21권3호
• /
• pp.45-56
• /
• 2011

최근 모든 네트워크에서 사용자가 웹 페이지에 접근할 때 HTTP가 폭넓게 사용되기 때문에 HTTP 트래픽은 방화벽과 다른 게이트웨이 보안 장치를 통과할 때 보통 별도의 검사 절차 없이 로컬 보안 정책에 의해서 통과된다 하지만 이러한 특성은 악의적인 사람에 의해 사용될 수 있다. HTTP 터널 응용 프로그램의 도움으로 악의적인 사람은 로컬 보안 정책을 우회하기 위해 HTTP로 데이터를 전송할 수 있다. 따라서 보통의 HTTP 트래픽과 터널링된 HTTP 트래픽을 구별하는 것은 아주 중요하다. 우리는 터널링된 HTTP 트래픽을 검출하는 통계적인 방법을 제안한다. 우리가 제안하는 방법은 사이트 독립적이기 때문에 지역적 제약을 갖지 않는다. 우리가 제안한 방법은 한 번의 학습만으로도 다른 사이트에 적용될 수 있다. 게다가 우리의 방법은 높은 정확도로 터널링된 HTTP 트래픽을 검출할 수 있다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제9권7호
• /
• pp.2736-2754
• /
• 2015

Android dominates the mobile operating system market, which stimulates the rapid spread of mobile malware. It is quite challenging to detect mobile malware. System call sequence analysis is widely used to identify malware. However, the malware detection accuracy of existing approaches is not satisfactory since they do not consider correlation of system calls in the sequence. In this paper, we propose a new scheme called Artificial Neural Networks (ANNs) on Co-occurrence Matrices Droid (ANNCMDroid), using co-occurrence matrices to mine correlation of system calls. Our key observation is that correlation of system calls is significantly different between malware and benign software, which can be accurately expressed by co-occurrence matrices, and ANNs can effectively identify anomaly in the co-occurrence matrices. Thus at first we calculate co-occurrence matrices from the system call sequences and then convert them into vectors. Finally, these vectors are fed into ANN to detect malware. We demonstrate the effectiveness of ANNCMDroid by real experiments. Experimental results show that only 4 applications among 594 evaluated benign applications are falsely detected as malware, and only 18 applications among 614 evaluated malicious applications are not detected. As a result, ANNCMDroid achieved an F-Score of 0.981878, which is much higher than other methods.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.45-55
• /
• 2019

DEX 파일과, SO 파일로 알려진 공유 라이브러리 파일은 안드로이드 어플리케이션의 행위를 결정짓는 중요한 구성요소이다. DEX 파일은 Java 코드로 구현된 실행파일이며, SO 파일은 ELF 파일 형식을 따르며 C/C++와 같은 네이티브 코드로 구현된다. Java 영역과 네이티브 코드 영역은 런타임에 상호작용할 수 있다. 오늘날 안드로이드 악성코드는 지속적으로 증가하고 있으며, 악성코드로 탐지되는 것을 회피하기 위한 다양한 우회 기법을 적용한다. 악성코드 분석을 회피하기 위하여 분석이 어려운 네이티브 코드에서 악성 행위를 수행하는 어플리케이션 또한 존재한다. 기존 연구는 Java 코드와 네이티브 코드를 모두 포함하는 함수 호출 관계를 표시하지 못하거나, 여러 개의 DEX을 포함하는 어플리케이션을 분석하지 못하는 문제점을 지닌다. 본 논문에서는 안드로이드 어플리케이션의 DEX 파일과 SO 파일을 분석하여 Java 코드 및 네이티브 코드에서 호출 관계를 추출하는 시스템을 설계 및 구현한다.