DOI QR코드

DOI QR Code

Extraction Scheme for APK-type Ransomware via Software Tampering

프로그램 변조를 통한 APK 타입 랜섬웨어 복호화 기법

  • Jae-Min Choi (SysCore Lab., Sejong University) ;
  • Sang-Hoon Choi (SysCore Lab., Sejong University) ;
  • Ki-Woong Park (Dept. of Computer and Information Security, Sejong University)
  • 최재민 (세종대학교 SysCore Lab. ) ;
  • 최상훈 (세종대학교 SysCore Lab. ) ;
  • 박기웅 (세종대학교 정보보호학과 )
  • Published : 2024.10.31

Abstract

랜섬웨어는 등장 이후 지속적으로 진화하여, 현재는 RaaS(Ransomware-as-a-Service) 형태로 배포되고 있으며, PC뿐만 아니라 모바일 기기까지 공격 대상으로 삼고 있다. 이와 같이 고도화된 랜섬웨어에 대응하기 위해 탐지, 차단, 복구 기술 또한 발전해 왔다. 특히 복구와 관련해서는 메모리 덤프를 통해 복호화 키를 추출하거나, 취약한 암호 알고리즘을 이용해 키를 추출하는 연구가 활발히 진행되고 있다. 그러나 여전히 랜섬웨어 복호화는 어려운 과제로 남아 있다. 메모리 덤프나 공격자의 실수로 키를 추출할 수 있는 경우도 있지만, 기기 재부팅이나 강력한 암호화 알고리즘이 사용되면 복호화가 어렵다. 본 논문에서는 안드로이드 랜섬웨어를 대상으로 프로그램 변조를 통해 복호화하는 방법을 제안한다. 우리는 두 가지의 실험을 통해 안드로이드 랜섬웨어의 내부 로직을 수정하였고, 복호화가 가능함을 확인하였다.

Keywords

Acknowledgement

본 논문은 과학기술정보통신부의 재원으로 정보통신기획평가원(IITP)의 국방ICT융합연구(Project No. 2022-11220701, 50%), 정보통신방송기술 국제공동연구(Project No. RS-2022-00165794, 30%), 대학ICT연구센터사업(ITRC) 실감콘텐츠핵심기술개발(Project No. RS-2023-00228996, 20%)의 지원을 받아 수행된 연구임.

References

  1. Distribution of mobile malware worldwide in 2nd quarter 2023 and 1st quarter 2024, by type
  2. Share of infected organizations worldwide agreeing to pay ransom from 2021 to 2023
  3. Ehringer, David. "The dalvik virtual machine architecture." Techn. report (March 2010) 4.8 (2010): 72.
  4. Fernandez-Fuentes, X., F. Pena, T., Cabaleiro, J.C., Recovering from Memory the Encryption Keys Used by Ransomware Targeting Windows and Linux Systems, SAI : Intelligent Computing, London, United Kingdom, 2024, 1149-1166
  5. S. Kang, S. Lee, S. Kim, D. Kim, K. Kim, and J. Kim, "A Study on Decryption of Files Infected by Ragnar Locker Ransomware through Key Reuse Attack and Its Applications," Journal of the Korea Institute of Information Security & Cryptology, vol. 31, no. 2, pp. 221-231, 2021.
  6. MalwareBazzar : Malware dataset (n.d.), https://bazaar.abuse.ch
  7. dex2jar, https://github.com/pxb1988/dex2jar
  8. jda-gui, https://java-decompiler.github.io
  9. apktool, https://apktool.org