• 정보보호학회논문지
• /
• 제33권6호
• /
• pp.1043-1053
• /
• 2023

악성코드 분석가들은 다양한 경로로 배포되는 악성코드를 분석하고 대응하기 위해 많은 노력을 기울이고 있다. 그러나 악성코드 개발자들은 분석을 회피하기 위해 다양한 시도를 하고 있다. 대표적인 방법으로는 패킹과 난독화 기법 등이 있다. 기존 연구들은 일반적인 프로그램 언패킹 방법을 제안했으나, 최근의 패커들이 사용하는 OEP 난독화나 API 난독화 기법 등에 대한 대응이 부족하여, 언패킹 과정에서 실패하는 경우가 있다. 본 논문에서는 다양한 패커들이 사용하는 OEP 및 API 난독화 기법을 분석하고, 이를 자동으로 역난독화하는 시스템을 제안한다. 제안 시스템은 패킹된 프로그램의 메모리를 덤프하여 OEP와 API 난독화에 사용되는 트램폴린 코드를 탐지한다. 이후 트램폴린 코드의 패턴을 분석하여 난독화된 정보를 탐지하고, 언패킹된 프로그램으로 재구성한다. 실험 결과, 제안 시스템이 다양한 패커에 의해 OEP와 API 난독화 기법이 적용된 프로그램을 효과적으로 역난독화할 수 있음을 확인하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제4권1호
• /
• pp.23-30
• /
• 2015

자바 리플렉션은 프로그램 구성 요소들을 조사하여 호출 및 조작할 수 있는 자바 언어의 기능이다. 이를 이용하면 보다 많은 호출 단계를 거치는 구조로 변형되기에 난독화 효과를 얻을 수 있다. 그러나 이를 이용할 때, 프로그램 자체의 구성 요소 이름이 문자열 형태로 노출된다. 본 논문에서는 안드로이드 애플리케이션에서 리플렉션을 적용하여 난독화하고, 이때 노출되는 문자열들을 비즈네르 암호화 알고리즘으로 은닉하여 정적분석을 방해하는 기법 및 도구를 제시한다. 실험 결과 소스 코드의 전체적인 복잡도를 증가시키는 데 효과가 있었다. 또한 서버와 로컬 기반의 두 가지 복호화 방법을 제공하는데, 이는 애플리케이션의 실행속도에 영향을 미치기 때문에 API의 중요도에 따라 선택할 수 있다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2014년도 제49차 동계학술대회논문집 22권1호
• /
• pp.99-102
• /
• 2014

리플렉션은 자바 언어의 기능 중 하나로, 자바 프로그램을 실행해서 해당 프로그램을 조사하거나 내부의 동작 구조를 조작할 수 있다. 리플렉션을 사용하게 되면 자바 소스의 난독화 뿐만 아니라 정적 분석 도구의 API 호출 탐지를 방해하게 되어 분석 결과의 정확도를 떨어뜨리게 된다. 만약 이 특성을 악용해 악성 앱 제작자가 특정 API 메소드 호출을 은닉하는 목적으로 사용한다면 정적 분석에 의존하는 기존 분석 도구들이 API 메소드 호출을 탐지하기 어렵기 때문에 큰 위협이 될 수 있다. 본 연구에서는 안드로이드 환경에서 표본 어플리케이션에 직접 설계한 도구를 이용하여 API 메소드에 리플렉션을 적용하고, 원본 소스와 리플렉션 후 디컴파일된 소스를 비교하여 API 메소드 호출이 리플렉션을 통해서 은닉 가능함을 보여준다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 춘계학술발표대회
• /
• pp.487-490
• /
• 2014

리플렉션은 자바 프로그램을 실행하여 객체 내부의 모든 요소를 조사하거나 호출 혹은 조작할 수 있는 자바 언어의 한 기능이다. 한 클래스 내부의 메소드에 리플렉션을 적용하여 호출하게 되면 String형의 메소드 이름으로 간접 호출하기에 정적 분석 도구의 API 호출 탐지를 방해하게 되어 분석결과의 정확도를 떨어뜨릴 수 있고, 또한 일반적인 호출보다 복잡한 절차를 거치게 되어 소스 자체의 난독화 효과를 갖게 된다. 또한 디컴파일러의 역공학 분석을 어렵게 만드는 장점도 있다. 이 특성을 이용한다면 안드로이드 환경에서 특정 API를 은닉하여 개인정보를 누출하도록 악용하거나 디컴파일러 이용을 방지하는 데 활용될 수 있다. 본 연구에서는 안드로이드 환경에서 직접 설계한 도구와 표본 앱을 이용하여 API 메소드에 리플렉션을 적용하고, 원본 소스와 리플렉션 후 디컴파일된 소스를 비교하여 API 호출이 리플렉션을 통해서 은닉 가능함을 보여준다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제10권11호
• /
• pp.297-304
• /
• 2021

상용 난독화 도구(프로텍터)들은 소프트웨어 역공학 과정에서 프로그램의 분석을 지연시키고 방해하는 난독화 기술 및 역공학 방해(안티리버싱) 기법을 적용시킴으로써 소프트웨어의 동작 과정을 분석하는데 어려움을 발생시키는데 목적이 있다. 특히, 가상화 탐지와 안티디버깅 기능 같은 경우 분석 도구가 발견되면 정상적인 실행 흐름을 벗어나 프로그램을 종료시킨다. 본 논문에서는 상용 난독화 도구(프로텍터) 중 하나인 VMProtect 3.5.0을 통해 Debugger Detection, Virualization Tools Detection 옵션을 적용시킨 실행 파일의 안티리버싱 기법을 분석하고 Pin을 이용한 우회 방안을 제안한다. 또한, 적용된 안티리버싱 기법을 분석하는 과정에서 Amti-VM 기술과 Anti-DBI 기술에 의해 프로그램이 종료되는 문제가 발생하기 때문에 API 분석을 통해 특정 프로그램 종료 루틴을 알아내어 적용된 안티리버싱 기법의 위치를 예상하고 위치를 바탕으로 안티리버싱 기법 우회 방안 알고리즘 순서도를 작성하였다. 실험에 사용된 소프트웨어들의 버전의 차이로부터 발생하는 호환성 문제, 기법의 변화 등을 고려하여 최신 버전의 소프트웨어(VMProtect, Windows, Pin)에서 Pin 자동화 우회 코드를 작성하고 실험을 진행하여 성공적으로 우회됨을 확인하였다. 제안된 분석 방안을 개선하여 기법이 제시되지 않은 난독화 도구의 안티리버싱 기법을 분석하고 우회 방안을 찾아낼 수 있다.

• 정보보호학회논문지
• /
• 제21권2호
• /
• pp.37-47
• /
• 2011

네트워크 및 컴퓨터의 발전에 따라 악성코드 역시 폭발적인 증가 추이를 보이고 있으며, 새로운 악성코드의 출현과 더불어 기존의 악성코드를 이용한 변종 역시 큰 몫을 차지하고 있다. 특히 실행압축 기술과 코드 난독화를 이용한 변종들은 제작이 쉬울 뿐만 아니라, 자신의 시그너쳐 혹은 구문적 특징을 변조할 수 있어, 악성코드 제작자들이 널리 사용하는 기술이다. 이러한 변종 및 신종 악성코드를 빠르게 탐지하기 위해, 본 연구에서는 행위 그래프 분석을 통한 악성코드 모듈별 유사도 분석 기법을 제안한다. 우리는 우선 악성코드들에서 일반적으로 사용하는 2,400개 이상의 API 들을 분석하여 총 128개의 행위로 추상화 하였다. 또한 동적 분석을 통해 악성코드들의 API 호출 순서를 추상화된 그래프로 변환하고 부분 그래프들을 추출하여, 악성코드가 가진 모든 행위 부분 집합을 정리하였다. 마지막으로, 이렇게 추출된 부분 집합들 간의 비교 분석을 통하여 해당 악성코드들이 얼마나 유사한지를 분석하였다. 실험에서는 변종 을 포함한 실제 악성코드 273개를 이용하였으며, 총 10,100개의 분석결과를 추출하였다. 실험결과로부터 행위 그래프를 이용하여 변종 악성코드가 모두 탐지 가능함을 보였으며, 서로 다른 악성코드들 간에 공유되는 행위 모델 역시 분석할 수 있었다.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.105-115
• /
• 2019

최근 지능화된 안드로이드 악성코드는 정적 분석만으로는 악성행위에 대한 탐지가 어려워지고 있다. SO파일, 동적로딩을 이용한 코드 호출 및 문자열 난독화를 적용한 악성코드의 경우 분석을 위해 다양한 툴을 이용하여도 원본 코드에 대한 정보 추출이 어렵다. 이 문제를 해결하기 위해서 다양한 동적 분석기법이 있지만, 동적 분석은 루팅 환경이나 에뮬레이터 환경을 요구한다. 그러나 동적 분석의 경우 악성코드들이 루팅 및 에뮬레이터 탐지를 실시하여 분석 환경을 탐지 하고 있다. 본 논문은 이를 해결하고자 다양한 루팅 탐지 기법을 조사하여 실단말에서 루팅탐지 우회 환경을 구축하였다. 또한, Xposed를 이용하여 안드로이드 악성코드 분석을 위한 SDK 코드 후킹 모듈을 설계하였고, 코드 흐름을 위한 인텐트 추적, 동적 로딩 파일에 대한 정보, 다양한 API 정보 추출을 구현하였다. 이를 통해 악성코드의 난독화 된 정보 및 다양한 악성 행위 정보를 분석하고자 한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제11권10호
• /
• pp.363-372
• /
• 2022

최근 코로나 19 팬더믹 이후 원격근무의 확대와 더불어 랜섬웨어 팬더믹이 심화하고 있다. 현재 안티바이러스 백신 업체들이 랜섬웨어에 대응하고자 노력하고 있지만, 기존의 파일 시그니처 기반 정적 분석은 패킹의 다양화, 난독화, 변종 혹은 신종 랜섬웨어의 등장 앞에 무력화될 수 있다. 이러한 랜섬웨어 탐지를 위한 다양한 연구가 진행되고 있으며, 시그니처 기반 정적 분석의 탐지 방법과 행위기반의 동적 분석을 이용한 탐지 연구가 현재 주된 연구유형이라고 볼 수 있다. 본 논문에서는 단일 분석만을 이용하여 탐지모델에 적용하는 것이 아닌 ".text Section" Opcode와 실제 사용하는 Native API의 빈도수를 추출하고 K-means Clustering 알고리즘, 코사인 유사도, 피어슨 상관계수를 이용하여 선정한 특징정보들 사이의 연관성을 분석하였다. 또한, 타 악성코드 유형 중 웜과 Cerber형 랜섬웨어를 분류, 탐지하는 실험을 통해, 선정한 특징정보가 특정 랜섬웨어(Cerber)를 탐지하는 데 특화된 정보임을 검증하였다. 위와 같은 검증을 통해 최종 선정된 특징정보들을 결합하여 기계학습에 적용하여, 최적화 이후 정확도 93.3% 등의 탐지율을 나타내었다.

• 융합보안논문지
• /
• 제19권4호
• /
• pp.43-53
• /
• 2019

최근 북한 소행으로 의심되는 군 인트라넷 침투 정황이 다수 발견되고 있다. 기존의 군 정보체계에 접근할 수 있는 사용자 인증 데이터 변조가 가능하여 취약점이 발생할 수 있다는 문제점이 존재했다. 본 논문에서는 FIDO(Fast IDentity Online) 표준을 따르는 웹 브라우저에서 인증 취약점을 해결하기 위하여 상호 검증 기법과 API(Application Programming Interface) 위/변조 차단 및 난독화를 적용하였다. 또한 별도의 프로그램 설치를 요구하지 않는 No-Plugin을 구현함으로써 사용자의 편의성도 향상된다. 성능 테스트 결과 RSA 키 생성 속도 기준으로 대부분의 브라우저에서 약 0.1ms의 성능을 보인다. 또한 서버의 전자서명 검증 속도에서도 0.1초 이하의 성능을 보여 상용화에 사용할 수 있음을 검증하였다. 해당 서비스는 안전한 웹 저장소를 구축하여 브라우저 인증이라는 대체방안으로서 군 정보체계 보안 향상에 유용하게 사용될 것으로 예상한다.

• 한국통신학회논문지
• /
• 제40권4호
• /
• pp.709-719
• /
• 2015

본 논문은 자바 언어로 작성된 코드에 선언된 임의의 변수에 관하여, 해당 변수가 사용되는 행위를 기반으로 적절한 이름을 붙여주는 리네이밍 서비스와 이러한 분석 기술에 대응하는 보안 서비스를 소개한다. 소개하는 리네이밍 서비스는 API 기반과 반복문 내부 조건문 기반의 2가지 방법으로 구분된다. 본문에서 제안 기법의 알고리즘과 함께 알려진 자바 난독화 기술과 도구를 다루어 독자의 이해를 돕고, 프로토타입을 구현하여 실용성을 보였다. 프로토타입을 이용한 실험 결과 73%의 변수명 리네이밍 성공률을 보였다. 제안 기법을 활용하면, 공동 작업자가 직관적으로 코드 전체를 파악할 수 있도록 도울 수 있다. 또한, 악성코드 분석가가 변수명을 통하여 행위를 예측할 수 있어 분석에 도움을 줄 수도 있다. 하지만, 자바로 개발한 어플리케이션의 소스코드에 제안 기법을 적용하면, 해커에게 쉽게 노출될 수 있다. 따라서 자바 어플리케이션의 코드를 보호하는 방법도 소개한다.