Abstract
악성코드에 의한 공격은 연평균 수억 건 이상 발생하고 있으며, 큰 폭으로 증가하는 악성코드 개수에 비해 악성코드 분석가가 각 악성코드를 분석하고 대응하기에는 한계가 있다. 이와 같은 한계를 극복하기 위한 방법으로 악성코드 자동 분석 시스템을 사용하는 방법이 있다. 그러나 악성코드에 Anti-VM 기술들이 포함된 경우 자동 분석 시스템에서는 제대로 탐지하기 어렵다는 단점이 있다. 본 논문에서 Anti-VM 기술에 활용되는 API 와 API 의 파라미터 정보를 분석하여 API 후킹 모듈을 기반으로 Anti-VM 탐지 우회 방법을 제안한다. Anti-VM 기술은 Virtual Box 기반의 가상 환경을 탐지하는 기술을 기준으로 연구를 진행하였고 API 및 파라미터 또한 Virtual Box 기반의 가상 환경을 탐지할 때 활용되는 API 및 파라미터를 분석하였다. 분석한 데이터를 기반으로 Anti-VM 기술을 우회하기 위한 API 및 후킹 프로그램을 제작해서 연구를 진행하였다. 연구 결과 Virtual Box 기반의 가상 환경을 탐지하는 기술 중 시간 딜레이, 마우스 이벤트 등의 행위 기반 탐지 기술은 명확한 지표를 측정하기 어려워 우회가 어려웠으나 가상 환경 특성 탐지, 파일 아티팩트 탐지, 레지스트리 및 시스템 설정 탐지 기술은 식별 및 우회에 뛰어난 성능을 보였다.