• 정보보호학회논문지
• /
• 제33권6호
• /
• pp.1043-1053
• /
• 2023

악성코드 분석가들은 다양한 경로로 배포되는 악성코드를 분석하고 대응하기 위해 많은 노력을 기울이고 있다. 그러나 악성코드 개발자들은 분석을 회피하기 위해 다양한 시도를 하고 있다. 대표적인 방법으로는 패킹과 난독화 기법 등이 있다. 기존 연구들은 일반적인 프로그램 언패킹 방법을 제안했으나, 최근의 패커들이 사용하는 OEP 난독화나 API 난독화 기법 등에 대한 대응이 부족하여, 언패킹 과정에서 실패하는 경우가 있다. 본 논문에서는 다양한 패커들이 사용하는 OEP 및 API 난독화 기법을 분석하고, 이를 자동으로 역난독화하는 시스템을 제안한다. 제안 시스템은 패킹된 프로그램의 메모리를 덤프하여 OEP와 API 난독화에 사용되는 트램폴린 코드를 탐지한다. 이후 트램폴린 코드의 패턴을 분석하여 난독화된 정보를 탐지하고, 언패킹된 프로그램으로 재구성한다. 실험 결과, 제안 시스템이 다양한 패커에 의해 OEP와 API 난독화 기법이 적용된 프로그램을 효과적으로 역난독화할 수 있음을 확인하였다.

• 대한안전경영과학회지
• /
• 제18권2호
• /
• pp.109-118
• /
• 2016

IPS(Ideal Production System) is a strategic cost management establishing ideal target cost, innovating cost structure and reduction. However, IPS was commonly used in assembly industry acquiring components and using them to assemble vehicles etc. Applying IPS to steel industry is a new try and not easy because cost elements in flow manufacturing are clustered and obfuscated in a complicated way. This paper proposes ICM (Ideal Cost Management) method adaptive to steel industry. One of the biggest advantages is that ICM could classify and categorize costs in detail according to accounts and manufacturing machines. Based on ICM information, steps of extracting and maximizing ideas are followed effectively. From 2013, ICM was applied successfully to POSCO Pohang Steel Works 38 factories.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2014년도 제50차 하계학술대회논문집 22권2호
• /
• pp.79-80
• /
• 2014

악성코드 유포를 위해 가장 많이 사용되는 Drive-by-download 공격에는 주로 자바스크립트가 사용되며, 공격자는 탐지 시스템의 우회하고 행위 분석을 어렵게 하기 위해 공격에 사용되는 스크립트를 난독화 한다. 난독화 된 자바스크립트를 탐지하기 위한 여러 기존의 연구들이 있었지만 최소한의 코드가 난독화 되어 있거나 정상 코드와 혼재할 경우 난독화 여부를 판단하기 어려운 한계가 있다. 본 논문에서는 난독화 된 자바 스크립트를 효과적으로 탐지하기 위해 전체 스크립트를 실행 단위 코드로 나눠 분석에 필요한 특징을 효과적으로 추출하는 방법을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 추계학술발표대회
• /
• pp.658-660
• /
• 2015

W3C가 발표한 차세대 웹 표준 HTML5의 등장으로 자바스크립트의 기능이 대폭 향상 되었다. 별도의 플러그인 설치 없이 자바스크립트만으로 미디어 재생, 3D 그래픽 처리, 웹 소켓 통신 등을 제공함으로서 Active X와 같은 비표준 기술을 대체할 만큼 강력한 기능을 제공하고 있다. 이러한 흐름에 맞추어 HTML5 기능의 핵심이 되는 자바스크립트를 악용한 위험성을 인지하고 이와 관련된 연구도 활발히 이루어지고 있다. 하지만, 현재의 악성 스크립트를 탐지하는 기술은 대부분 시그니처를 기반으로 하는 패턴 매치이기 때문에 난독화 된 악성 스크립트를 탐지하기에는 많은 한계가 있다. 따라서 본 논문에서는 이런 한계를 극복하기 위해 호스트레벨에서 난독화 된 악성 스크립트를 탐지 및 실행을 방지할 수 있는 난독화 된 악성 스크립트 대응 기술을 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2023년도 춘계학술발표대회
• /
• pp.131-133
• /
• 2023

악성코드를 유포할 때 프로그램 코드만으로 악성코드의 유무를 확인할 수 없도록 조치하여 분석을 지연시키는 방식을 사용하는 방향으로 발전하고 있다. 악성코드를 실행하지 않고 코드와 구조만으로 분석하는 정적 분석으로는 악성코드를 판별할 수 없어 코드를 직접 실행해 분석하는 동적 분석을 이용해야 한다. 본 논문에서는 난독화된 비정상적인 코드를 직접 실행한 동적 분석데이터와 일반적이지 않은 섹션들의 정보를 추출한 정적 분석데이터를 이용해 동적-정적 분석 데이터와 딥러닝 모델을 통해 난독화 및 패킹된 악성코드를 탐지하는 기법을 제안한다.

• 정보보호학회논문지
• /
• 제27권1호
• /
• pp.59-66
• /
• 2017

해커들이 자신들이 만든 악성코드의 분석을 어렵게 하기 위하여 코드 난독화 기법을 적용하고 있다. 최근의 난독화 기법은 가상화 난독화 기법을 통해 원래의 코드를 바이트코드로 만들고 가상머신이 이를 실행시키는 방식으로, 실행시키기 전에는 원래의 코드를 알 수가 없다. 프로그램 슬라이싱은 프로그램 분석기술 중 하나로 슬라이싱 기준을 정하고 그와 관련된 문장을 추출해내는 기술이다. 본 논문에서는 슬라이싱 기법을 사용하여 난독화를 해제하는 방법을 제시한다.

• 정보과학회 논문지
• /
• 제45권1호
• /
• pp.1-8
• /
• 2018

최근 인터넷의 발전과 동시에 인터넷을 이용한 악성코드 유포는 가장 심각한 사이버 위협 중 하나이며, 탐지 우회 기법이 적용된 악성코드 유포 기술 또한 발전하고 있어, 이를 탐지하고 분석하는 연구가 활발하게 이루어지고 있다. 하지만 기존의 악성코드 유포 웹페이지 탐지 시스템은 시그니처 기반이어서 난독화된 악성 자바스크립트는 탐지가 거의 불가능하며, 탐지 패턴을 지속적으로 업데이트해야 하는 한계가 있다. 이러한 한계점을 극복하기 위해 지능화된 악성코드 유포 웹사이트를 효과적으로 분석 및 탐지할 수 있는 리얼 브라우저를 이용한 지능형 악성코드 유포 웹페이지 탐지 시스템을 제안하고자 한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제6권2호
• /
• pp.766-783
• /
• 2012

Recently, many malicious users have attacked web browsers using JavaScript code that can execute dynamic actions within the browsers. By forcing the browser to execute malicious JavaScript code, the attackers can steal personal information stored in the system, allow malware program downloads in the client's system, and so on. In order to reduce damage, malicious web pages must be located prior to general users accessing the infected pages. In this paper, a novel framework (JsSandbox) that can monitor and analyze the behavior of malicious JavaScript code using internal function hooking (IFH) is proposed. IFH is defined as the hooking of all functions in the modules using the debug information and extracting the parameter values. The use of IFH enables the monitoring of functions that API hooking cannot. JsSandbox was implemented based on a debugger engine, and some features were applied to detect and analyze malicious JavaScript code: detection of obfuscation, deobfuscation of the obfuscated string, detection of URLs related to redirection, and detection of exploit codes. Then, the proposed framework was analyzed for specific features, and the results demonstrate that JsSandbox can be applied to the analysis of the behavior of malicious web pages.

• 정보보호학회논문지
• /
• 제21권2호
• /
• pp.49-60
• /
• 2011

인터넷 메신저는 네트워크를 통해 대화를 나누거나 데이터 등을 주고받을 때 가장 널리 쓰이는 통신수단 중 하나이다. 그러므로 디지털 포렌식 관점에서 메신저의 통신내역을 확보하는 일은 전화, 휴대폰과 같이 전통적인 통신내역을 수집하는 작업처럼 매우 중요하다. 하지만 메신저의 통신내역은 사용자 컴퓨터에 암호화되어 저장되거나 메신저 서버에 보존되기 때문에 의미 있는 데이터 수집이 쉽지 않다. 본 논문은 네이트온, 버디버디, 야후!, Mi3 메신저를 대상으로 사용자 컴퓨터에 저장된 통신내역을 복구하는 방법과 메신저 서버에 존재하는 통신내역을 열람하기 위한 인증우회기법을 제시한다.

• 정보보호학회논문지
• /
• 제33권6호
• /
• pp.1067-1076
• /
• 2023

최근 변종 악성코드가 증가하면서 사이버 해킹 침해사고 규모가 확대되고 있다. 그리고 지능형 사이버 해킹 공격에 대응하기 위해 악성코드 패밀리를 효과적으로 분류하기 위한 기계학습 기반 연구가 활발히 진행되고 있다. 그러나 기존의 분류 모델은 데이터셋이 난독화되거나, 희소한 경우에 성능이 저하되는 문제가 있었다. 본 논문에서는 ASM 파일과 BYTES 파일에서 추출한 특징을 결합한 하이브리드 데이터셋을 제안하고, FNN을 사용하여 분류 성능을 평가한다. 실험 결과에 따르면 제안하는 방법은 단일 데이터셋에 비해 약 4% 향상된 성능을 보였으며, 특히 희소한 패밀리에 대해서는 약 30%의 성능 향상을 보였다.