• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.22 no.3
• /
• pp.691-705
• /
• 2012

Buffer overflow vulnerability is the most representative one that an attack method and its countermeasure is frequently developed and changed. This vulnerability is still one of the most critical threat since it was firstly introduced in middle of 1990s. Shellcode is a machine code which can be used in buffer overflow attack. Attackers make the shellcode for their own purposes and insert it into target host's memory space, then manipulate EIP(Extended Instruction Pointer) to intercept control flow of the target host system. Therefore, a lot of research to defend have been studied, and attackers also have done many research to bypass security measures designed for the shellcode defense. In this paper, we investigate shellcode defense and attack techniques briefly and we propose our new methodology which can hide shellcode in the 24bit BMP image. With this proposed technique, we can easily hide any shellcode executable and we can bypass the current detection and prevention techniques.

• Electronics and Telecommunications Trends
• /
• v.23 no.1 s.109
• /
• pp.145-152
• /
• 2008

공격자의 주요 목적은 원격 호스트의 제어 권한을 얻는 것이다. 이것은 공격자가 원격호스트의 컨트롤 플로를 변경시켜 악의적인 코드를 임의로 실행시킬 수 있는 취약한 서비스가 존재하기 때문에 가능하다. 공격자들이 원격 호스트의 제어 권한을 얻기 위한 일반적인 방법은 취약한 서비스를 대상으로 쉘코드(shellcode) 전송을 통해서이다. 네트워크 기반 최신의 공격 탐지 기술들이 점점 사용영역을 넓혀가면서 이를 회피하기 위해 쉘코드들도 진화를 계속하고 있으며, 최근 2~3년 전부터 폴리몰픽(polymorphism)과 메타몰픽(metamorphism) 기법의 사용이 활발해지고 있다. 본 고에서는 이중, 쉽게 이용할 수 있는 엔진들이 많이 알려져 있어 그 예상 피해가 심각하리라 생각되는 폴리몰픽 형태의 쉘코드가 가지는 특징 및 이를 탐지하기 위한 최신 기술들을 소개한다.

• Proceedings of the Korean Society for Noise and Vibration Engineering Conference
• /
• 1994.10a
• /
• pp.295-299
• /
• 1994

두꺼운 원통형 쉘은 공학적인 문제에서 많이 사용된다. 쉘 내부에 임피던스가 큰 유체와 구조물이 있을 때 쉘을 포함한 진동해석은 이론적인 해석이 매우 어렵다. 쉘 내부에 있는 유체의 임피던스가 공기에 비하여 매우 클 경우 쉘과 유체, 내부의 구조물과 유체사이의 구조물-유체 상호작용(structure-fluid interaction)이 고려되어야 한다. 얇은 원통형 쉘에 대해서는 상용 유한요소 코드를 이용하여 구조물-유체 상호작용을 고려한 진동해석이 많이 수행되었으나 축대칭 두꺼운 원통형 쉘에 대해서는 연구가 수행되지 않고 있다. 본 연구에서는 NASTRAN, ANSYS 같은 상용 유한요소 코드에서 지원되지 않는 축대칭 두꺼운 원통형 쉘 내부에 유체와 강체요소가 있을 경우 이에 대한 유한요소 코드를 개발하고, 구조물-유체 상호작용을 고려하여 진동해석을 하였다.

• Journal of the Korea Society of Computer and Information
• /
• v.27 no.5
• /
• pp.149-156
• /
• 2022

Recently, there have been many reports of document-type malicious code injecting malicious code into Microsoft Office files. Document-type malicious code is often hidden by encoding the malicious code in the document. Therefore, document-type malware can easily bypass anti-virus programs. We found that malicious code was inserted into the Visual Basic for Applications (VBA) macro, a function supported by Microsoft Office. Malicious codes such as shellcodes that run external programs and URL-related codes that download files from external URLs were identified. We selected 354 keywords repeatedly appearing in malicious Microsoft Office files and defined the number of times each keyword appears in the body of the document as a feature. We performed machine learning with SVM, naïve Bayes, logistic regression, and random forest algorithms. As a result, each algorithm showed accuracies of 0.994, 0.659, 0.995, and 0.998, respectively.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.2257-2260
• /
• 2003

기존의 네트워크 기반의 IDS 는 쉘코드를 단순 매칭 함으로써 침입여부를 판별한다 이러한 방식은 알려진 공격에 대해서만 탐지할 수 있으며, 다형 쉘코드 및 IDS 우회 방법을 사용할 경우 탐지하지 못하는 문제점을 가진다. 따라서 본 논문에서는 Hidden Markov Model을 이용하여 자동화되고 효율적인 패킷 내용 기반의 침입 탐지기법을 제안한다.

• Journal of the Computational Structural Engineering Institute of Korea
• /
• v.12 no.1
• /
• pp.15-27
• /
• 1999

본 연구에서는 노심지지배럴을 축솜형의 원통형 쉘로 이상화하여, 그의 모드 특성을 고찰하였다. 쉘의 모드 해석은 사용코드인 ANSYS를 이용하였으며, 일반적으로 사용하고 있는 요소인 SHELL61과 SHELL63을 이용하여 해석을 수행하였고 이들의 특성을 비교하였다. 또한 두께에 따른 모드 특성을 검토하여 쉘 요소의 사용 한계를 규정하였다. 한편 구멍이 있는 쉘과 없는 쉘의 모드 특성을 조사하여 구멍 및 그의 위치가 모드 특성에 미치는 영향을 파악하였다. 이들 모든 결과를 실험 및 이론에 의한 결과와 비교하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.32 no.3
• /
• pp.501-511
• /
• 2022

In 2021, ransomware attacks became popular, and the number is rapidly increasing every year. Since PowerShell is used as the primary ransomware technique, the need for PowerShell-based malware detection is ever increasing. However, the existing detection techniques have limits in that they cannot detect obfuscated scripts or require a long processing time for deobfuscation. This paper proposes a simple and fast deobfuscation method and a deep learning-based classification model that can detect PowerShell-based malware. Our technique is composed of Word2Vec and a convolutional neural network to learn the meaning of a script extracting important features. We tested the proposed model using 1400 malicious codes and 8600 normal scripts provided by the AI-based PowerShell malicious script detection track of the 2021 Cybersecurity AI/Big Data Utilization Contest. Our method achieved 5.04 times faster deobfuscation than the existing methods with a perfect success rate and high detection performance with FPR of 0.01 and TPR of 0.965.

• Proceedings of the Computational Structural Engineering Institute Conference
• /
• 2009.04a
• /
• pp.327-330
• /
• 2009

PSC 박스 교량의 시공 중 거동 특성을 고려하기 위하여 뼈대 요소를 이용한 시공단계의 설계가 수행되고 있다. 그러나 PSC 박스 교량 중 곡선 램프교 등의 경우는 교량의 외측 및 내측의 변위 및 응력 값이 현저히 다르다. 따라서 PSC 박스 교량의 텐던량 및 시공 중 긴장력이 외측 및 내측에서 다르게 산정되어야 함에도 불구하고 현실적으로는 계산이 불가능하여 같은 양의 텐던과 부적절한 긴장력을 사용하고 있어 비효율적인 설계와 시공이 이루어지고 있다. 이러한 문제점을 해결하기 위하여 내외측의 텐던량을 다르게 고려할 수 있고 교량의 내외측 반력, 응력, 변위 분포를 얻을 수 있는 3차원 해석이 필수적으로 요구 되고 있다. 본 연구에서는 PSC 박스 교량의 3차원 거동 해석을 위하여 텐던 및 크리프, 건조수축을 반영한 준적합 쉘요소를 이용하여 수치해석을 수행하였으며 크리프 및 건조수축의 특성은 ACI코드와 CEB/FIP 코드를 적용하여 비교분석하였다. 각각의 결과 값이 상이한 경우도 있지만 대체로 두 코드는 비슷한 양상을 보였으며 CEB/FIP 가 좀 더 경제적인 설계가 됨을 알 수 있었다.

• Journal of the Computational Structural Engineering Institute of Korea
• /
• v.20 no.3
• /
• pp.353-364
• /
• 2007

In this paper, a nonlinear finite element analysis program NUCAS, which has been developed for assessment of ultimate pressure capacity and failure mode for nuclear containment building is described. Degenerated shell element with assumed strain method and low-order solid element with enhanced assumed strain method is adapted to microscopic material and elasto-plastic material model, respectively. Finally, the performance of the developed program is tested and demonstrated with several examples. From the numerical tests, the present results show a good agreement with experimental data or other numerical results.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.07a
• /
• pp.139-141
• /
• 2005

본 논문에서는 JPEG 파일의 구조를 먼저 살펴하고, MS Windows 운영체제 상에서 비정상적인 JPEG 파일을 접근(open)할 때 발생할 수 있는 버퍼 오버런 취약성(MS04-028)을 재연하여 분석한다. JPEG 파일의 헤더에 코멘트(comment) 부분이 있을 경우 길이 필드가 잘못되어 있고 JPEG 파일의 몸체에 쉘코드(cmd.exe) 생성부분을 가지고 있을 경우, 버퍼(heap) 오버런 공격이 발생되어 예기치 못한 결과들이 발생 할 수 있다. 본 논문에서는 디버거(WinDBG) 및 역공학 도구(IDAPro)를 이용하여, 이러한 JPEG 파일 관련 취약성을 분석하면서 바이너리 코드만 주어진 경우의 취약성 분석 절차를 이해하고 보안 결함 부분을 추적하는 연구를 수행한다.