DOI QR코드

DOI QR Code

Detecting ShellCode Using Entropy

엔트로피를 이용한 ShellCode 탐지 방법

  • 김우석 (고려대학교 정보보호대학원) ;
  • 강성훈 (고려대학교 정보보호대학원) ;
  • 김경신 (인덕대학교 방송영상미디어과) ;
  • 김승주 (고려대학교 사이버국방학과)
  • Received : 2013.10.14
  • Accepted : 2014.01.17
  • Published : 2014.03.31

Abstract

Hackers try to achieve their purpose in a variety of ways, such as operating own website and hacking a website. Hackers seize a large amount of private information after they have made a zombie PC by using malicious code to upload the website and it would be used another hacking. Almost detection technique is the use Snort rule. When unknown code and the patterns in IDS/IPS devices are matching on network, it detects unknown code as malicious code. However, if unknown code is not matching, unknown code would be normal and it would attack system. Hackers try to find patterns and make shellcode to avoid patterns. So, new method is needed to detect that kinds of shellcode. In this paper, we proposed a noble method to detect the shellcode by using Shannon's information entropy.

해커들은 웹 사이트를 해킹 또는 경유 사이트를 운영하는 등 다양한 방법으로 목적을 달성하기 위한 해킹을 시도한다. 악성코드를 웹 사이트에 업로드하여 경유 사이트를 만드는 경우 해당 사이트에 접속하는 사용자는 좀비 PC가 되어 아이디와 패스워드 및 개인 정보가 대량 유출되고 해킹된 개인정보들은 다른 해킹 방법에 사용되고 있다. 기존의 탐지기법은 Snort rule을 사용하여 패턴을 IDS/IPS 장비에 입력하여 네트워크에서 패턴이 일치되면 탐지하는 기법으로 동작하고 있다. 하지만 입력된 패턴을 벗어난 공격을 하였을 경우 IDS/IPS 장비에서는 탐지하지 못하고 정상적인 행위로 간주하여 사용자 PC를 감염시킨다. 공격자는 패턴 탐지 방법의 취약점을 찾아 ShellCode를 진화시킨다. 진화된 ShellCode 공격에 대응하여 악의적인 공격을 탐지 및 대응할 수 있는 방법의 제시가 필요한 실정이다. 본 논문은 정보량 측정을 통한 ShellCode를 탐지하는 방법에 관한 연구이며, 기존의 보안 장비를 우회하여 사용자PC에 공격 시도를 탐지하는 방법을 제시한다.

Keywords

References

  1. Young Jun Kum, Hwa Jae Choi, Huy and Kang Kim. "Hiding Shellcode in the 24But BMP Image". Korea Institute of Information Security & Cryptology, 10(2), pp. 100-103. Feb., 2009.
  2. YoungHan Choi, HyoungChun Kim, and DongHoon Lee. "Detecting Heap-Spraying Code Injection Attacks in Malicious Web Pages Using Runtime Execution". IEICE Transactions 95-B(5):1711-1721. Dec., 2012.
  3. Jerald Lee. "History_of_Buffer_Overflow http://www.hackerschool.org/HS_Boar-ds/data/Lib_system/History_of_Buffer_Overflow.pdf". Jul., 2008.
  4. GuHyeon Jeong, Euijin Choo, Joosuk Lee and Heejo Lee, "Generic Unpacking Using Entropy Analysis". Korea Information Technology Research Institute, 2009 No.7(1), Feb., 232-238, 2009.
  5. Hyundo PARK. "Detecting Unknown Worms using Randomness Check". IEICE TRANSACTIONS on Communications Vol.E90-B No.4 pp.894-903. Apr., 2007. https://doi.org/10.1093/ietcom/e90-b.4.894
  6. Thomas C. Schmidt, Matthias Wählisch, Michael Groning,. "context-adaptive entropy analysis as a lightweight detector of zero-day shellcode on mobiles". PACM WiSec, New York: ACM, Jun., 2011.
  7. oxforddictionaries.com. "http://oxforddictionaries.com/ords/what-is-the-frequency-of-the-letters-of-the-alphabet-inenglish".
  8. C. E. SHANNON. "Prediction and Entropy of Printed English By C. E. SHANNON". Bell Sys. Tech. Jour., Vol.30, pp. 51-64, Sept., 1951.
  9. Lyda R, Hamrock J. "Using Entropy Analysis to Find Encrypted and Packed Malware". IEEE Security and Privacy 2007; 5(2): 40-45. Jul., 2011.
  10. sourcefire snort rule "http://nfaengine.googlecode.com/svnhistory/r33/SnortRuleClassification/rules.2.9/shellcode.rules"
  11. F. Schmitt, J. Gassen and E. Gerhards-Padilla. "Detecting JavaScript-based attacks in PDF documents". Proceedings of the 10th Annual Conference on Privacy, Security and Trust (PST). July, 2012.