KIPS Transactions on Computer and Communication Systems (정보처리학회논문지:컴퓨터 및 통신 시스템)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Automatic Creation of Forensic Indicators with Cuckoo Sandbox and Its Application

Cuckoo Sandbox를 이용한 포렌식 침해지표 자동생성 및 활용 방안

  • 강봉구 (고려대학교 정보보호대학원 정보보호학과) ;
  • 윤종성 (고려대학교 정보보호대학원 정보보호학과) ;
  • 이민욱 (고려대학교 정보보호대학원 정보보호학과) ;
  • 이상진 (고려대학교 정보보호대학원)
  • Received : 2016.06.22
  • Accepted : 2016.08.31
  • Published : 2016.11.30
Download PDF
⟨ Previous Next ⟩

Abstract

As the threat of cyber incident grows continuously, the need of IOC(Indicators of Compromise) is increasing to identify the cause of incidents and share it for quick response to similar incidents. But only few companies use it domestically and the research about the application of IOC is deficient compared to foreign countries. Therefore in this paper, a quick and standardized way to create IOC automatically based on the analysis result of malwares from Cuckoo Sandbox and its application is suggested.

침해사고에 대한 위협이 지속적으로 증가하고 있는 가운데, 이에 대한 원인을 식별하고 해당 내용을 공유하여 유사한 침해사고에 대해 빠르게 대응하기 위한 침해지표(IOC, Indicators of Compromise)의 필요성이 증가하고 있다. 하지만, 국내의 경우 일부 업체에서만 이를 활용할 뿐 외국에 비해 침해지표의 활용 방안에 대한 연구가 많이 부족한 상황이다. 본 논문에서는 Cuckoo Sandbox의 악성코드 분석 결과를 바탕으로 빠르고 표준화된 침해지표 자동생성 방법과 이에 대한 활용 방안을 제안한다.

Keywords

References

  1. SANS, "Using IOC (Indicators of Compromise) in Malware Forensic."
  2. The honeynet project, "Result of the Forensic Challenge" [Internet], http://old.honeynet.org/challenge/results/index.html.
  3. Wikipedia "Indicators of compromise" [Internet], https://en.wikipedia.org/wiki/Indicator_of_compromise.
  4. Mandiant [Internet], http://www.openioc.org.
  5. MITRE [Internet], https://cyboxproject.github.io.
  6. Lee Min Wook, Yoon Jong Seong, and Lee Sang Jin, "Digital Forensic Indicators of Compromise Format(DFIOC) and Its Application," KIPS Tr.Comp. and Comm. Sys., Vol.5, No.4, pp.95-102, 2016.
  7. Cuckoo Sandbox [Internet], https://www.cuckoosandbox.org.
  8. Olivier Ferrand "How to detext the Cuckoo Sandbox and hardening it?" 22nd EICAR Annual Conference, 2013.
  9. SANS, "Attributes of Malicious Files."