• 정보처리학회논문지C
• /
• 제16C권5호
• /
• pp.555-562
• /
• 2009

악성코드 사고 조사에서 가장 중요한 것은 신속하게 악성코드를 탐지하고 수집하는 것이다. 기존의 조사 방법은 시그니쳐 기반의 안티바이러스 소프트웨어를 이용하는 것이다. 시그니쳐 기반의 탐지는 실행파일 패킹, 암호화 등을 통해 쉽게 탐지를 회피할 수 있다. 그렇기 때문에 악성코드 조사에서 패킹을 탐지하는 것도 중요한 일이다. 패킹탐지는 패킹 시그니쳐 기반과 엔트로피 기반의 탐지 방법이 있다. 패킹 시그니쳐기반의 탐지는 새로운 패킹을 탐지하지 못하는 문제가 있다. 그리고 엔트로피 기반의 탐지 방법은 오탐의 문제가 존재한다. 본 논문에서는 진입점 섹션의 엔트로피 통계와 패킹의 필수적인 특징인 'write' 속성을 이용하여 패킹을 탐지하는 기법을 제시한다. 그리고 패킹 PE 파일을 탐지하는 도구를 구현하고 도구의 성능을 평가한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권6호
• /
• pp.3258-3279
• /
• 2019

Recently, ransomware has earned itself an infamous reputation as a force to reckon with in the cybercrime landscape. However, cybercriminals are adopting other unconventional means to seamlessly attain proceeds of cybercrime with little effort. Cybercriminals are now acquiring cryptocurrencies directly from benign Internet users without the need to extort a ransom from them, as is the case with ransomware. This paper investigates advances in the cryptovirology landscape by examining the state-of-the-art cryptoviral attacks. In our approach, we perform digital autopsy on the malware's source code and execute the different malware variants in a contained sandbox to deduce static and dynamic properties respectively. We examine three cryptoviral attack structures: browser-based crypto mining, memory resident crypto mining and cryptoviral extortion. These attack structures leave a trail of digital forensics evidence when the malware interacts with the file system and generates noise in form of network traffic when communicating with the C2 servers and crypto mining pools. The digital forensics evidence, which essentially are IOCs include network artifacts such as C2 server domains, IPs and cryptographic hash values of the downloaded files apart from the malware hash values. Such evidence can be used as seed into intrusion detection systems for mitigation purposes.

• 정보보호학회논문지
• /
• 제24권1호
• /
• pp.107-122
• /
• 2014

DDoS 공격과 APT 공격은 좀비 컴퓨터들로 정해진 시간에 동시에 공격을 가하여 사회적 혼란을 유발하였다. 이러한 공격에는 공격자의 명령을 수행하는 많은 좀비 컴퓨터들이 필요하며 좀비 컴퓨터에는 안티바이러스 제품의 탐지를 우회하는 알려지지 않은 악성코드가 실행되어야한다. 그동안 시그니처로 탐지하던 안티바이러스 제품을 벗어나 알려지지 않은 악성코드 탐지에 많은 방법들이 제안되어 왔다. 본 논문은 디지털 포렌식 기법을 활용하여 알려지지 않은 악성코드 탐지 방법을 제시하고 정상 파일과 악성코드의 다양한 샘플들을 대상으로 수행한 실험 결과에 대하여 기술한다.

• 융합보안논문지
• /
• 제10권3호
• /
• pp.61-68
• /
• 2010

최근 경제적 이득을 얻기 위한 목적으로 개인정보 신용정보 금융정보 등을 외부로 유출하는 악성코드가 증가하고 있으며 명의도용, 금융사기 등 2차 피해 또한 급증하고 있다. 그런데 정보유출형 악성코드에 감염되었을 경우 이를 탐지하고 대응할 수 있는 악성코드 증거 수집 도구가 증거를 수집하지 못하기 때문에 보안담당자가 침해사고를 처리하는데 많은 어려움을 겪고 있다. 본 논문은 기존 윈도우 기반 악성코드 증거 수집 도구의 현황과 문제점을 분석하고 이를 개선 할 수 있는 새로운 모듈을 제시한다.

• 정보보호학회논문지
• /
• 제29권3호
• /
• pp.519-529
• /
• 2019

지능화된 안드로이드 악성코드는 안티바이러스가 탐지하기 어렵도록 악성행위를 숨기기 위하여 다양한 분석 회피 기법을 적용하고 있다. 악성코드는 악성행위를 숨기기 위하여 백그라운드에서 동작하는 컴포넌트를 주로 활용하고, 자동화된 스크립트로 악성 앱을 실행할 수 없도록 activity-alias 기능으로 실행을 방해하고, 악성행위가 발견되는 것을 막기 위해 logcat의 로그를 삭제하는 등 지능화되어간다. 악성코드의 숨겨진 컴포넌트는 기존 정적 분석 도구로 추출하기 어려우며, 기존 동적 분석을 통한 연구는 컴포넌트를 일부만 실행하기 때문에 분석 결과를 충분히 제공하지 못한다는 문제점을 지닌다. 본 논문에서는 이러한 지능화된 악성코드의 동적 분석 성공률을 증가시키기 위한 시스템을 설계하고 구현하였다. 제안하는 분석 시스템은 악성코드에서 숨겨진 컴포넌트를 추출하고, 서비스와 같은 백그라운드 컴포넌트인 실행시키며, 앱의 모든 인텐트 이벤트를 브로드캐스트한다. 또한, 분석 시스템의 로그를 앱이 삭제할 수 없도록 logcat을 수정하고 이를 이용한 로깅 시스템을 구현하였다. 실험 결과 본 논문에서 제안한 시스템을 기존의 컨테이너 기반 동적 분석 플랫폼과 비교하였을 때, 악성코드 구동률이 70.9%에서 89.6%로 향상된 기능을 보였다.

• 한국전자거래학회지
• /
• 제17권3호
• /
• pp.117-128
• /
• 2012

2009년에 발생한 7.7 DDoS(Distributed Denial of Service) 공격에 이어 2010년 3월 4일에도 주요 기관 사이트를 대상으로 대규모의 DDoS 공격이 발생 하였다. 악성코드 제작과 배포는 누구나 쉽게 좀비 PC를 양산할 수 있게 되고 DDoS 공격기법이 지능화 고도화되어 감에 따라서 DDoS 공격을 대응하는 보안담당자의 어려움은 점점 커져가고 있다. 정상 PC에서 좀비 PC로 감염되어 호스트에서 발생하는 변조내용을 분석하여 활성 포렌식 기술로 점검해야 하는 항목이 무엇인지 연구한다. 본 논문에서는 PC 보안관제시스템 구축 및 운영 방안에 대하여 다루었으므로 해당 시스템을 도입하려는 기업에게 좋은 기준서로 활용될 수 있다.

• 한국융합학회논문지
• /
• 제8권5호
• /
• pp.37-43
• /
• 2017

윈도우 운영체제(Operating System)에서 OS와 어플리케이션 프로그램 운영에 필요한 정보를 저장하기 위해 개발된 계층형 DB인 registry는 부팅에서 사용자 로그인, 응용 서비스 실행, 어플리케이션 프로그램 실행, 사용자 행위 등 모든 활동에 관여하기 때문에, registry를 분석을 통한 디지털증거획득이 많이 사용되고 있다. 최근 사용자가 인식하지 못하는 방법으로 악성코드가 시스템에 침투하여 귀중한 기술정보를 유출하거나 도용하여 금전적 피해가 많이 발생하고 있다. 따라서 본 연구에서는 고가의 디지털포렌식 프로그램 사용 없이 셰어웨어 어플리케이션을 이용하여 악성코드를 탐지하는 방법을 제시하여 해킹의 피해를 분석하고 동일한 피해를 예방하기 위해 본 연구를 진행하였으며, 악성코드를 탐지하고 분석하기 위해 고가의 상용프로그램을 사용하지 않고도 정확히 분석할 수 있기 때문에 학문적 기여도는 클 것으로 기대한다.

• 융합보안논문지
• /
• 제7권3호
• /
• pp.95-100
• /
• 2007

NTFS의 ADS는 매킨토시의 계층적 파일 시스템과의 호환을 위해 개발되었으나 최근에는 악의적 사용자들에 의해 악성코드 또는 안티 포렌식 목적의 데이터 은닉 용도로 활용되고 있다. 은닉된 ADS의 존재여부를 파악하고 정보를 추출하는 것은 컴퓨터 포렌식 분야에서 중요한 요소이다. 본 논문에서는 NTFS의 MFT정보를 이용하여 ADS를 탐지하기 위한 방법을 제안하였다. 이 방법을 구현하여 비교?실험한 결과, 기존의 방법에 비해 검색속도와 탐지건수 면에서 우수함을 확인하였다. 이 방법을 이용하면 운영체제에서 사용중인 파일도 검사할 수 있으며, 라이브 시스템뿐 아니라 이미지에 대해서도 탐지가 가능해 포렌식 목적에 부합된다.

• 정보보호학회논문지
• /
• 제28권2호
• /
• pp.407-416
• /
• 2018

인스타그램(Instagram)은 사람 간의 관계망을 구축하고 취미, 일상, 유용한 정보 등을 공유하는 인터넷 서비스인 소셜 네트워크 서비스(Social Network Service:SNS)로 최근 다양한 연령층에서 각광받고 있다. 하지만 업로드한 개인 정보를 불특정 다수가 열람할 수 있고 검증되지 않은 정보가 무방비하게 공유되기 때문에 이를 악용한 각종 사기, 스토킹, 명의 도용, 저작권 침해, 악성코드 유포 등의 문제가 발생 하고 있다. 이에 따라 인스타그램에 대한 디지털 포렌식적 관점에서의 분석이 필요하나 관련한 연구는 미약한 실정이다. 따라서 본 논문에서는 안드로이드 환경에서 인스타그램에 대해 디지털 포렌식 관점에서 역 공학 및 동적 분석을 수행하였고 그 결과 채팅 내용, 채팅 대상, 게시한 사진, 쿠키 정보 등의 사용자 행위 분석이 가능한 데이터가 담긴 3개의 데이터베이스 파일과 4개의 파일 저장 경로, 다양한 데이터 저장된 xml파일을 확인하였다. 또한 위의 분석 결과를 디지털 포렌식 조사에 활용할 수 있는 방안을 제시한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권2호
• /
• pp.87-94
• /
• 2017

최근 각종 공문서와 증빙 서류를 비롯하여 대부분의 문서가 디지털 데이터의 형태로 사용되고 있다. 특히 MS 오피스는 전 세계적으로 공공기관, 기업, 학교, 가정 등 다양한 곳에서 가장 많이 사용하고 있는 문서 편집 소프트웨어로써 악의적인 목적을 가진 사용자들이 해당 문서 프로그램의 범용성을 이용하여 MS 오피스 문서 파일을 악성 행위를 위한 매개체로 사용하고 있으며, 최근에는 단순한 사용자뿐만 아니라 국내외 정부 기관과 주요기업을 비롯하여 기반시설에서도 MS 오피스 문서 파일 형태의 악성코드가 유입되고 있다. MS 오피스 문서에 악성 코드를 삽입하는 방법은 단순히 미할당 영역에 은닉하는 방법을 사용할 뿐만 아니라 매크로 기능을 이용하는 등 다양한 방법을 통해 점점 정교한 형태로 진화되고 있다. 이러한 악성 코드들을 탐지하기 위해서 시그니처를 이용하거나 샌드박스를 이용한 탐지방법이 존재하지만, 유동적이고 복잡해지는 악성 코드들을 탐지하기에는 한계가 있다. 따라서 본 논문에서는 디지털 포렌식 관점에서 MS 오피스 문서 분석에 필요한 주요 메타데이터와 파일 포맷 구조 분석을 통해 매크로 영역과 그 외 악성 코드가 삽입될 가능성이 존재하는 영역들을 확인함으로써 MS 오피스 문서 파일 내 비정상 요소를 탐지하는 기법을 제안한다.