• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권5호
• /
• pp.2236-2257
• /
• 2020

Ransomware is malicious software that encrypts the user-related files and data and holds them to ransom. Such attacks have become one of the serious threats to cyberspace. The avoidance techniques that ransomware employs such as obfuscation and/or packing makes it difficult to analyze such programs statically. Although many ransomware detection studies have been conducted, they are limited to a small portion of the attack's characteristics. To this end, this paper proposed a framework for the behavioral-based dynamic analysis of high survivable ransomware (HSR) with integrated valuable feature sets. Term Frequency-Inverse document frequency (TF-IDF) was employed to select the most useful features from the analyzed samples. Support Vector Machine (SVM) and Artificial Neural Network (ANN) were utilized to develop and implement a machine learning-based detection model able to recognize certain behavioral traits of high survivable ransomware attacks. Experimental evaluation indicates that the proposed framework achieved an area under the ROC curve of 0.987 and a few false positive rates 0.007. The experimental results indicate that the proposed framework can detect high survivable ransomware in the early stage accurately.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권6호
• /
• pp.3258-3279
• /
• 2019

Recently, ransomware has earned itself an infamous reputation as a force to reckon with in the cybercrime landscape. However, cybercriminals are adopting other unconventional means to seamlessly attain proceeds of cybercrime with little effort. Cybercriminals are now acquiring cryptocurrencies directly from benign Internet users without the need to extort a ransom from them, as is the case with ransomware. This paper investigates advances in the cryptovirology landscape by examining the state-of-the-art cryptoviral attacks. In our approach, we perform digital autopsy on the malware's source code and execute the different malware variants in a contained sandbox to deduce static and dynamic properties respectively. We examine three cryptoviral attack structures: browser-based crypto mining, memory resident crypto mining and cryptoviral extortion. These attack structures leave a trail of digital forensics evidence when the malware interacts with the file system and generates noise in form of network traffic when communicating with the C2 servers and crypto mining pools. The digital forensics evidence, which essentially are IOCs include network artifacts such as C2 server domains, IPs and cryptographic hash values of the downloaded files apart from the malware hash values. Such evidence can be used as seed into intrusion detection systems for mitigation purposes.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2024년도 제69차 동계학술대회논문집 32권1호
• /
• pp.105-108
• /
• 2024

랜섬웨어는 Ransom(몸값)과 Software(소프트웨어)의 합성어로, 데이터를 암호화하여 이를 인질로 금전을 요구하는 악성 프로그램이다. 블랙캣(BlackCat)과 같은 랜섬웨어가 스위스 항공 서비스 기업의 시스템을 마비시키는 공격을 시도하였으며, 이와 같은 랜섬웨어로 인한 피해는 지속적으로 발생하고 있다. 랜섬웨어에 의한 피해 감소 및 방지를 위하여, 다양한 랜섬웨어 탐지방안이 등장하였으며, 최근 행위 기반 침입탐지 시스템에 인공지능 기술을 결합하여 랜섬웨어를 탐지하는 방안이 연구되는 실정이다. 인공지능 기술은 딥러닝 및 하드웨어의 발전으로 데이터를 처리할 수 있는 범위가 넓어지면서, 다양한 분야와 접목하여 랜섬웨어 탐지를 위한 시스템에 적용되고 있지만, 국내는 국외만큼 활발하게 연구되지 않고 연구 개발 단계에 머물러 있다. 따라서 본 논문에서는 랜섬웨어에 감염된 파일에서 나타나는 특징 중 하나인 엔트로피를 데이터 분석에 활용함으로써, 랜섬웨어를 탐지하는 시스템을 제안하고 설계하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제7권10호
• /
• pp.251-258
• /
• 2018

파일을 암호화시켜 몸값을 요구하는 악성 소프트웨어인 랜섬웨어는 빠른 전파력과 지능화로 더욱 위협적이 되고 있다. 이에 빠른 탐지 및 위험 분석이 요구되고 있지만, 실시간 분석 및 보고가 미비한 상태이다. 본 논문에서는 실시간 분석이 가능하도록 소셜 빅데이터 마이닝 기술을 활용하여 랜섬웨어 전파 감지 시스템을 제안한다. 본 시스템에서는 트위터 스트림을 실시간 분석하여 랜섬웨어와 관련된 키워드를 가진 트윗을 크롤링한다. 또한 뉴스피드 분석기를 통해 뉴스서버를 크롤링하여 랜섬웨어 관련 키워드를 추출하고, 보안업체의 서버나 탐색 엔진을 통해 뉴스나 통계데이터를 추출한다. 수집된 데이터는 데이터 마이닝 알고리즘으로 랜섬웨어 감염 정도를 분석한다. 2017년 전파가 많이 되었던 워너크라이와 록키 랜섬웨어 감염전파 시 관련 트윗의 수와 구글 트렌드(통계 정보) 정보, 관련 기사를 비교하여 트윗을 이용한 본 시스템의 랜섬웨어 감염 탐지 가능성을 보이고, 엔트로피와 카이-스퀘어 분석을 통해 제안 시스템 성능을 보인다.

• Restorative Dentistry and Endodontics
• /
• 제5권1호
• /
• pp.29-34
• /
• 1979

The purpose of this study was to measure thermal expansions of dental investments, Biovest(Casting Investment. Dentsply International INC, U.S.A.), Multi-Best (Use for all dental chrome-cobalt alloys, The Ransom & Randolph Co. U.S.A.), Kerr(Inlay Investment. Sybron Kerr, U.S.A.), O. K. (Inlay Investment. Shofu Dental MFG, Co. Japan), Whip-Mix (Cristobalite Inlay Investment. Whip-Mix Corporation. U.S.A.). Thermal expansion of specimens(5mm in diameter and 50mm in length) was measured by a dilatometer at the temperature range from $20^{\circ}C$ to $700^{\circ}C$ by comparing expansion between standardized quartz and experimental specimens with heating rate about $300^{\circ}C$/hr. The following results were obtained. 1. The coefficient of thermal expansion of Biovest was $15{\times}10^{-6}/^{\circ}C$ in the water powder ratio 18/100 and $14{\times}10^{-6}/^{\circ}C$ in the water powder ratio 28/100. Those of Multi-Best were $9{\times}10^{-6}/^{\circ}C$ in the water powder ratio 14/100 and $7{\times}10^{-6}/^{\circ}C$ in the water powder ratio 24/100. 2. The coefficient of thermal expansion of Kerr were $17{\times}10^{-6}/^{\circ}C$ in the water powder ratio 38/100 and $14{\times}10^{-6}/^{\circ}c$ in the water powder ratio 48/100. Those of O. K. were $9{\times}10^{-6}/^{\circ}C$ in the water powder ratio 33/100 and $7{\times}10^{-6}/^{\circ}C$ in the water powder ratio 43/100 3. The coefficient of thermal expansion of Whip-Mix were $14{\times}10^{-6}/^{\circ}C$ in the water powder ritio 40/100 and $12{\times}10^{-6}/^{\circ}c$ Fein the water powder ratio 50/100. Those of Hi-Heat were $11{\times}10^{-6}/^{\circ}c$ in the water powder ratio 28/100 and $10{\times}10^{-6}/^{\circ}c$ in the water powder ratio 38/100.

• 한국산업정보학회논문지
• /
• 제27권2호
• /
• pp.1-10
• /
• 2022

기만 기술(deception technology)은 허니팟(honeypot)의 확장된 개념으로, 공격자를 기만하여 공격을 탐지, 방지, 또는 지연시키는 기술을 의미한다. 기만 기술은 네트워크 포트, 서비스, 프로세스, 시스템 콜, 데이터베이스 등에 폭넓게 적용되어 왔다. 파일을 대상으로 하는 공격에도 유사한 개념을 적용할 수 있다. 파일을 대상으로 하는 대표적인 공격으로 랜섬웨어가 있다. 랜섬웨어는 사용자의 파일을 몰래 암호화한 후 값을 지불해야 복원할 수 있게 해 주는 멀웨어의 일종이다. 또 다른 예로는 와이퍼 공격으로 시스템에 있는 모든 또는 타겟 파일을 복구 불가능하게 삭제하는 공격이다. 본 논문에서는 이러한 종류의 공격에 대응하기 위한 방법으로 파일을 은닉하는 방법을 제안한다. 파일을 은닉하는 방법은 기존의 백업이나 가상화를 통한 파일 보호 기법에 비해 디스크 용량을 추가로 소비하지 않고 성능 저하도 최소화할 수 있는 장점이 있다.

• 한국작물학회지
• /
• 제27권2호
• /
• pp.137-140
• /
• 1982

두과목초의 근류균 접종방법 개선책의 일환으로써 3수준의 근류균농도, 즉 10, 20, 30%; 3종류의 접착제 즉 gum arabic, methyl cellulose 및 carboxy methyl cellulose; 그리고 4종류의 석회와 calcium carbonate를 포함한 5종류의 피복재료를 사용하여 근류균을 접종한 후에 plate count법으로 생존하고 있던 근류세포수를 측정하여 그 효과를 평가하였던 바 다음과 같은 결론을 얻었다. 1. New Zealand산 peat slurry의 근류균을 사용할 경우 근류균을 10%에서 3.5$\times$$10^9$ 개로써 표준에 가까운 근류균수를 확보할 수 있었다. 2. 접착제로서 gum arabic은 40% 용액에서 methyl cellulose는 5% 용액 그리고 carboxy methyl cellulose는 4% 용액으로 사용하였을 때 최대착생수를 나타내었으나 그 중에서 methyl cellulose 5% 용액이 적합한 것으로 보였다. 3. 피복재료로서 치과용석회(Lime A)는 타재료에 비하여 양호한 결과를 얻을 수 있었다.

• 한국항해항만학회지
• /
• 제36권1호
• /
• pp.21-26
• /
• 2012

근래 해적에 의한 선박 피랍이 전 세계적으로 큰 문제가 되고 있다. 우리나라의 초대형 유조선 "삼호드림호"가 소말리아 해적에 의해 피랍되어 몸값으로 엄청난 액수를 지불하고 풀려났다. 그리고 2011년 1월 20일 "삼호쥬얼리호"의 경우 해군은 창군 이래 처음으로 공해상에서 해적과 교전하여 선원 21명 모두를 구출하는 쾌거를 이루어냈다. 또한, "한진텐진호"의 경우, 전 선원이 선원대피처로 신속하게 대피하여 모두 안전하게 해군에 의해 구출되었다. 이와 같이 우리나라 선박들이 해적에 의해 피랍되는 경우가 늘어나면서 해적의 위험으로부터 벗어날 수 있는 다양한 방법이 연구되고 있다. 정부는 2011년 1월 선박설비기준을 일부 개정하여 선원대피처를 지정된 위험해역을 항해하는 모든 선박에 설치하도록 강제화하였다. 따라서 이 연구에서는 선박 피랍의 위험상황 발생시 장시간 대피 거주해야 하는 선원대피처의 적정 규모를 선원들의 피난 안전성에 기초한 이론적인 산출과 FDS를 이용한 화재시뮬레이션을 통해 설정하고자 한다.

• 융합보안논문지
• /
• 제23권2호
• /
• pp.27-36
• /
• 2023

최근 몇 년 동안 랜섬웨어 공격이 사회 공학, 스피어피싱, 심지어 기계 학습과 같은 전술을 사용하여 특정 개인이나 조직을 대상으로 하는 공격의 정교함과 더불어 더욱 조직화 되고 전문화되고 있으며 일부는 비즈니스 모델로 운영되고 있다. 이를 효과적으로 대응하기 위해 심각한 피해를 입히기 전에 공격을 감지하고 예방할 수 있는 다양한 연구와 솔루션들이 개발되어 운영되고 있다. 특히, 허니팟은 조기 경고 및 고급 보안 감시 도구 역할 뿐만 아니라, IT 시스템 및 네트워크에 대한 공격 위험을 최소화하는 데 사용할 수 있으나, 랜섬웨어가 미끼파일에 우선적으로 접근하지 않은 경우나, 완전히 우회한 경우에는 효과적인 랜섬웨어 대응이 제한되는 단점이 있다. 본 논문에서는 이러한 허니팟을 사용자 환경에 최적화하여 신뢰성 있는 실시간 동적 허니팟 파일을 생성, 공격자가 허니팟을 우회할 가능성을 최소화함으로써 공격자가 허니팟 파일이라는 것을 인지하지 못하도록 하여 탐지율을 높일 수 있도록 하였다. 이를 위해 동적 허니팟 생성을 위한 기본 데이터수집 모델 등 4개의 모델을 설계하고 (기본 데이터 수집 모델 / 사용자 정의 모델 / 표본 통계모델 / 경험치 축적 모델) 구현하여 유효성을 검증하였다.

• 산업융합연구
• /
• 제21권9호
• /
• pp.41-48
• /
• 2023

최근 들어 개인, 기업, 국가 등 사회 전반에 랜섬웨어에 의한 피해가 급증하고 있으며 그 규모도 점차 커지고 있다. 랜섬웨어는 사용자 컴퓨터 시스템에 침입하여 사용자의 중요 파일들을 암호화하여 사용자가 해당 파일들을 사용하지 못하게 하고 그 댓가로 금품을 요구하는 악의적인 소프트웨어이다. 랜섬웨어는 기타 다른 악의적인 코드들에 비해 공격기법이 다양하고 정교하여 탐지가 어렵고 피해 규모가 크기 때문에 정확한 탐지와 해결 방법이 필요하다. 정확한 랜섬웨어를 탐지하기 위해서는 랜섬웨어의 특성들로 학습한 탐지 시스템의 추론엔진이 요구된다. 따라서 본 논문에서는 랜섬웨어의 정확한 탐지를 위해 랜섬웨어가 가지는 특성을 추출하여 분류하는 모델을 제안하고 추출된 특성들의 유사성을 계산하여 특성의 차원을 축소한 다음 축소된 특성들을 그룹화하여 랜섬웨어의 특성으로 공격 도구, 유입경로, 설치파일, command and control, 실행파일, 획득권한, 우회기법, 수집정보, 유출기법, 목표 시스템의 상태 변경으로 분류하였다. 분류된 특성을 기존 랜섬웨어에 적용하여 분류의 타당성을 증명하였고, 차후에 이 분류기법을 이용해 학습한 추론엔진을 탐지시스템에 장착하면 새롭게 등장하는 신종과 변종 랜섬웨어도 대부분 탐지할 수 있다.