• 정보보호학회논문지
• /
• 제23권3호
• /
• pp.479-490
• /
• 2013

최근 삼성 갤럭시 노트 및 갤럭시 탭 10.1 등 안드로이드 기반 상용 모바일 단말을 대상으로 정상 어플리케이션인 것처럼 오픈 마켓에 배포된 악성 어플리케이션에 의한 공격들이 급증하고 있다. 공격자는 정상적인 어플리케이션에 악성코드를 삽입하여 상용 모바일 단말에 대한 루팅(Rooting) 공격을 수행한 후, 단말 내 저장된 사용자의 SMS, 전화번호부 등 개인정보와 공인인증서 등과 같은 금융정보를 외부 서버로 유출시키는 공격을 수행하게 된다. 따라서 상용 모바일 단말에 대한 악성코드 감염 여부를 판별하고 루팅 공격을 탐지 및 대응하기 위한 기법이 필요하다. 이에 본 논문에서는 안드로이드 기반 상용 모바일 단말에 대한 루팅 공격 기법에 대해 분석하고 이를 토대로 모니터링 데몬(Daemon)을 이용하여 상용 단말 내 공격 이벤트를 추출 및 수집하여 악성 어플리케이션으로 인한 공격에 능동적으로 대응하는 기법을 제시하였다.

• 한국항행학회논문지
• /
• 제16권1호
• /
• pp.41-53
• /
• 2012

최근 악성코드에 의한 피해가 개인이나 기업으로부터 기관이나 국가 차원으로 진화하고 있고 악성코드가 사용하는 기술 역시 점점 고도화되고 다양한 기법들을 흡수하여 매우 지능적으로 발전하고 있다. 한편, 보안전문가들은 시그니쳐 탐색 등의 정적 분석과 역공학 등의 동적 분석으로 이에 대응하고 있지만 이는 새로이 출현하는 지능적인 악성코드에 긴급히 대처하기에는 부족함이 있다. 따라서, 악성코드들의 행위 분석에 앞서 대개의 악성코드들이 가지는 감염절차 및 파일 은닉기법에 대한 분석을 우선적으로 수행하고 이를 토대로 재빠른 초동분석이 이루어진 후 그 무력화 방법을 포함한 제반 상세분석이 이루어질 것이 요구된다. 따라서 본 논문에서는 악성코드의 초기 진압을 위하여 요구되는 감염 절차의 분석과 파일 은닉기법의 분석 방안을 연구하였으며 그 과정에서 스팸메일을 발송하는 것으로 가장 널리 알려진 Rustock을 대상으로 실험하였다. 실험 결과를 통하여, 향후 새로이 출현하는 악성코드에 대한 재빠른 대처가 가능할 것으로 판단된다.

• 정보보호학회논문지
• /
• 제30권3호
• /
• pp.429-442
• /
• 2020

최근 침해사고에서 오피스 문서를 통한 공격 비중이 높아지고 있다. 오피스 문서 어플리케이션의 보안이 점차 강화되어왔음에도 불구하고 공격기술의 고도화, 사회공학 기법의 복합적 사용으로 현재도 오피스 문서를 통한 공격이 유효하다. 본 논문에서는 악성 OOXML(Office Open XML) 문서 탐지 방법과 탐지를 위한 프레임워크를 제안한다. 이를 위해 공격에 사용된 악성파일과 정상파일을 악성코드 저장소와 검색엔진에서 수집하였다. 수집한 파일들의 악성코드 유형을 분석하여 문서 내 악성 여부를 판단하는데 유의미한 의심 개체요소 6가지를 구분하였으며, 악성코드 유형별 개체요소 탐지 방법을 제안한다. 또한, 탐지 방법을 바탕으로 OOXML 문서 기반 악성코드 탐지 프레임워크를 구현하여 수집된 파일을 분류한 결과 악성 파일셋 중 98.45%에 대해 탐지함을 확인하였다.

• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.171-179
• /
• 2022

자체 수정 코드(Self-Modifying-Code)란 실행 시간 동안 스스로 실행 코드를 변경하는 코드를 말한다. 이런 기법은 특히 악성코드가 정적 분석을 우회하는 데 악용된다. 따라서 이러한 악성코드를 효과적으로 검출하려면 자체 수정 코드를 파악하는 것이 중요하다. 그동안 동적 분석 방법으로 자체 수정 코드를 분석해왔으나 이는 시간과 비용이 많이 든다. 만약 정적 분석으로 자체 수정 코드를 검출할 수 있다면 악성코드 분석에 큰 도움이 될 것이다. 본 논문에서는 LLVM IR로 변환한 바이너리 실행 프로그램을 대상으로 자체 수정 코드를 탐지하는 정적 분석 방법을 제안하고, 자체 수정 코드 벤치마크를 만들어 이 방법을 적용했다. 본 논문의 실험 결과 벤치마크 프로그램을 컴파일로 변환한 최적화된 형태의 LLVM IR 프로그램에 대해서는 설계한 정적 분석 방법이 효과적이었다. 하지만 바이너리를 리프팅 변환한 비정형화된 LLVM IR 프로그램에 대해서는 자체 수정 코드를 검출하기 어려운 한계가 있었다. 이를 극복하기 위해 바이너리를 리프팅 하는 효과적인 방법이 필요하다.

• International Journal of Advanced Culture Technology
• /
• 제9권3호
• /
• pp.291-297
• /
• 2021

Recently, as the number of new and variant malicious codes has increased exponentially, malware warnings are being issued to PC and smartphone users. Malware is becoming more and more intelligent. Efforts to protect personal information are becoming more and more important as social issues are used to stimulate the interest of PC users and allow users to directly download malicious codes. In this way, it is difficult to prevent malicious code because malicious code infiltrates in various forms. As a countermeasure to solve these problems, many studies are being conducted to apply deep learning. In this paper, we investigate and analyze various deep learning methods to detect and classify malware.

• 정보보호학회논문지
• /
• 제30권4호
• /
• pp.605-616
• /
• 2020

난독화 기술은 프로그램의 기능성은 그대로 유지하면서 자료구조, 제어흐름 등 내부 로직을 변형함으로써 프로그램의 분석을 지연시키는 기술이다. 그러나 이러한 난독화 기술을 악성코드에 적용함으로써 안티바이러스 소프트웨어의 악성코드 탐지율을 저하시키는 사례가 빈번하게 발생하고 있다. 소프트웨어 지적재산권을 보호하기 위하여 적용되는 난독화 기술이 역으로 악성코드에 적용됨으로써 악성코드 탐지율을 저해할 뿐만 아니라 이의 분석을 어렵게 하여 악성코드의 기능성 파악에도 어려움을 주게 되므로 난독화가 적용된 코드를 원본에 가깝게 복원할 수 있는 역난독화 기술의 연구 또한 꾸준히 지속 되어야 한다. 본 논문에서는 상용 난독화 도구 중 대중적으로 널리 알려져 있는 도구인 VMProtect 3.4.0에서 제공하는 세부 난독화 기술 중 Pack the Output File, Import Protection의 옵션이 적용되어 난독화 된 코드의 특징을 분석하고 이의 역난독화 알고리즘을 제시하고자 한다.

• 한국컴퓨터정보학회지
• /
• 제14권2호
• /
• pp.255-262
• /
• 2006

개인 정보의 탈취에 필요한 악성코드는 Phishing, Pharming메일, VoIP 서비스를 이용하는 Vishing, 모바일 금융을 위장한 SMiShing등에 이용되어진다. 악성코드의 삭제나 치료는 앤티바이러스나 스파이웨어 제거 프로그램을 사용한다. 그런데 Windows 시스템 파일에 기생하여 기생 동작하는 악성코드는 윈도우 운영체제에서 반드시 실행되어야 하는 프로세스인 lsass.exe, winlogon.exe, csrss.exe와 연계되어 있어 치료가 되지 않는다. 사용자가 바이러스의 치료를 위하여 임의로 프로세스를 강제 종료하려 한다면 운영체제 시스템 전체가 리부팅이 발생하거나 블루 스크린이 발생한다. 본 논문에서는 치명적인 결과를 발생하는 Windows 시스템 파일에 기생하는 악성코드를 치료하는 새로운 치료방법을 제안한다. 새로운 치료를 위한 Thread에 종료함수를 임의로 삽입하고 Thread를 제어하여 기생 동작을 종료하고, 종료함수가 가지는 Thread를 다시 Injection 한 후 KILL DLL 클릭하여 삭제한다. 본 논문에서 실험을 한 치료방법과 해결하는 방안은 컴퓨터 바이러스의 대한 획기적인 차원의 연구가 될 것이며 경제와 금융사회의 유비쿼터스보안을 강화하는 초석이 될 것이다.

• 한국컴퓨터정보학회논문지
• /
• 제11권5호
• /
• pp.251-258
• /
• 2006

개인 정보의 탈취에 필요한 악성코드는 Phishing, Pharming메일, VoIP서비스를 이용하는 Vishing, 모바일 금융을 위장한 SMiShing 등에 이용되어진다. 악성코드의 삭제나 치료는 앤티바이러스나 스파이웨어 제거 프로그램을 사용한다. 그런데 DLL Injection 기법을 이용하여 기생 동작하는 악성코드는 윈도우 운영체제에서 반드시 실행되어야 하는 프로세스인 Isass.exe, winlogon.exe, csrss.exe와 연계되어 있어 치료가 되지 않는다. 사용자가 바이러스의 치료를 위하여 임의로 프로세스를 강제 종료하려 한다면, 운영체제 시스템 전체가 리부팅이 발생하거나 블루 스크린이 발생한다. 본 논문에서는 치명적인 결과를 발생하는 DLL Injection 기법을 이용하는 악성코드를 치료하는 새로운 치료방법을 제안한다. 새로운 치료를 위한 Thread에 종료함수를 임의로 삽입하고 Thread를 제어하여 DLL의 동작을 종료하고, 종료함수가 가지는 Thread를 다시 Injection 한 후 KILL DLL 클릭하여 삭제한다. 본 논문에서 실험을 한 치료방법과 해결하는 방안은 컴퓨터 바이러스의 대한 획기적인 차원의 연구가 될 것이며 경제와 금융사회의 유비쿼터스 보안을 강화하는 초석이 될 것이다.

• 디지털융복합연구
• /
• 제11권12호
• /
• pp.381-386
• /
• 2013

안드로이드 플랫폼에서의 새로운 변종 악성코드가 기하급수적으로 증가함에 따라 보다 빠르고 능동적인 대처방안이 필요하다. 본 연구에서는 안드로이드 플랫폼에 High-Interaction 클라이언트 허니팟을 적용하였다. 시스템 적용방안을 위하여 전체 흐름을 설계하고 각 세부모듈의 기능을 분석하여 안드로이드 플랫폼에 최적화 하였다. 제안하는 시스템은 기존 PC 환경의 High-Interaction 클라이언트 허니팟의 장점을 모두 갖추고 있으며 관리 서버와 저장 서버를 분리하여 보다 유연하고 확장된 형태로 설계되었다.

• 정보보호학회논문지
• /
• 제28권4호
• /
• pp.847-857
• /
• 2018

악성코드의 수가 가파르게 증가하면서 기업 및 공공기관, 금융기관, 병 의원 등을 타깃으로 한 사이버 공격 피해 사례가 늘어나고 있다. 이러한 흐름에 따라 학계와 보안 업계에서는 악성코드 탐지를 위한 다양한 연구를 진행하고 있다. 최근 들어서는 딥러닝을 비롯해 머신러닝 기법을 적용하는 형태의 연구가 많이 진행되는 추세다. 이 중 합성곱 신경망(CNN: Convolutional Neural Network), ResNet 등을 이용한 악성코드 분류 연구의 경우에는 기존의 분류 방법에 비해 정확도가 크게 향상된 것을 확인할 수 있다. 그러나 타깃 공격의 특징 중 하나는 사용된 악성코드가 불특정 다수를 상대로 광범위하게 퍼뜨리는 형태가 아닌, 특정 대상을 타깃으로 한 맞춤형 악성코드라는 점이다. 이러한 유형의 악성코드는 그 수가 많지 않기 때문에 기존에 연구되어온 머신러닝이나 딥러닝 기법을 적용하기에 한계가 있다. 본 논문은 타깃형 악성코드와 같이 샘플의 양이 부족한 상황에서 악성코드를 분류하는 방법에 대해 다루고 있다. 메모리가 추가된 신경망(MANN: Memory Augmented Neural Networks) 모델을 이용하였고 각 그룹별 20개의 소량 데이터로 구성되어 있는 악성코드 데이터셋에 대해 최대 97%까지 정확도로 분류할 수 있음을 확인하였다.