• 제목/요약/키워드: Cuckoo Sandbox

검색결과 6건 처리시간 0.027초

Cuckoo Sandbox를 이용한 포렌식 침해지표 자동생성 및 활용 방안 (Automatic Creation of Forensic Indicators with Cuckoo Sandbox and Its Application)

  • 강봉구;윤종성;이민욱;이상진
    • 정보처리학회논문지:컴퓨터 및 통신 시스템
    • /
    • 제5권11호
    • /
    • pp.419-426
    • /
    • 2016
  • 침해사고에 대한 위협이 지속적으로 증가하고 있는 가운데, 이에 대한 원인을 식별하고 해당 내용을 공유하여 유사한 침해사고에 대해 빠르게 대응하기 위한 침해지표(IOC, Indicators of Compromise)의 필요성이 증가하고 있다. 하지만, 국내의 경우 일부 업체에서만 이를 활용할 뿐 외국에 비해 침해지표의 활용 방안에 대한 연구가 많이 부족한 상황이다. 본 논문에서는 Cuckoo Sandbox의 악성코드 분석 결과를 바탕으로 빠르고 표준화된 침해지표 자동생성 방법과 이에 대한 활용 방안을 제안한다.

유저 모드 기반의 은닉된 네이티브 API 호출 탐지 기법 연구 (A Study on the Method for detecting Stealth Native API calls in User-mode)

  • 최심현
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2018년도 추계학술발표대회
    • /
    • pp.264-267
    • /
    • 2018
  • 본 연구에서는 API 호출을 은닉할 수 있는 새로운 유형의 유저모드 기반 루트킷으로 Cuckoo Sandbox를 회피하는 기법과 이를 탐지하기 위한 연구를 한다. Cuckoo Sandbox의 행위 분석을 회피하기 위해 잠재적으로 출현 가능한 은닉된 코드 이미지 기반의 신종 루트킷 원리를 연구하고 탐지하기 위한 방안을 함께 연구한다. 네이티브 API 호출 코드 영역을 프로세스 공간에 직접 적재하여 네이티브 API를 호출하는 기법은 Cuckoo Sandbox에서 여전히 잠재적으로 행위 분석 회피가 가능하다. 본 연구에서는 은닉된 외부주소 호출 코드 영역의 탐지를 위해 프로세스의 가상메모리 공간에서 실행 가능한 페이지 영역을 탐색 후 코사인 유사도 분석으로 이미지 탐지 실험을 하였으며, 코드 영역이 맵핑된 정렬 단위의 4가지 실험 조건에서 평균 83.5% 유사도 탐지 결과를 확인하였다.

실머신 기반 악성코드 자동 분석 시스템에서의 네트워크 덤프 (Network Dump of Automated Malware Analysis System based on Real Machine)

  • 조영훈;나재찬;윤종희
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2014년도 추계학술발표대회
    • /
    • pp.553-554
    • /
    • 2014
  • 이전에 쿠쿠 샌드박스(Cuckoo Sandbox)에서 가지고 있었던 가상환경의 분석환경시스템에서 실머신 기반에서 분석이 가능하도록 구현하는 과정에서 네트워크 덤프(Network Dump)와 관련된 문제가 존재한다. 이런 문제를 해결하기 위해 Server PC와 실머신을 NAT(Network Address Translation)를 사용하여 해결할 수 있는지 알아보고 분석한 결과를 가상머신으로 분석한 결과와 비교하여 차이점이 있는지 알아보고자 한다.

악성코드 자동 분석 시스템의 결과를 이용한 악성코드 분류 및 분석 (Malware Classification and Analysis of Automated Malware Analysis System)

  • 나재찬;조영훈;윤종희
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2014년도 추계학술발표대회
    • /
    • pp.490-491
    • /
    • 2014
  • 쿠쿠 샌드박스(Cuckoo Sandbox)는 가상머신을 이용해 악성코드를 자동으로 동적 분석할 수 있는 도구이다. 우선 악성코드의 MD5값을 이용하여 VirusTotal을 이용해 종류를 분류하고, 쿠쿠 샌드박스로 악성코드 동적을 분석하여 결과파일을 이용해 악성코드에서 호출한 API들에 대한 정보를 추출하고, 다양한 종류별 악성코드 그룹에 대해서 API빈도를 종합하고, 또한 다른 종류군의 악성코드 그룹과 API 빈도를 비교해 특정 종류의 악성코드 그룹에 대한 특징적인 API를 찾아내어 향후 이런 특징 API들을 이용해 악성코드의 종류를 자동으로 판정하기 위한 방법을 제시한다.

실머신 기반 악성코드 자동 분석 시스템에서의 메모리 덤프 (Memory Dump of Automated Malware Analysis System based on Real Machine)

  • 나재찬;김현우;조영훈;윤종희
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2014년도 춘계학술발표대회
    • /
    • pp.429-430
    • /
    • 2014
  • 쿠쿠 샌드박스(Cuckoo Sandbox)는 가상머신을 이용해 악성코드를 효율적으로 분석할 수 있는 도구이다. 가상머신에서 동작하기 때문에 악성코드에 거상머신 탐지기법(VM Detect)이 있다면, 분석을 하는데 어려움이 있다. 이러한 경우 악성코드를 분석하기 위해 실머신 기반에서 분석이 가능하도록 구현하고, 구현 과정에서 메모리 덤프(Memory Dump)문제가 존재한다. 이전 방식은 가상머신 소프트웨어들이 메모리 덤프 파일을 따로 만들고 해당 파일을 분석하였지만, 실머신에서는 메모리파일을 따로 가지지 않는다. 이러한 문제를 해결하기 위해 실머신에서는 어떻게 메모리덤프 문제를 해결할 수 있는지를 알아보고 덤프를 하였을 때, 가상머신과 실머신에서 어떤 차이점이 나타나는지 알아보고자 한다.

API 호출 구간 특성 기반 악성코드 탐지 기술 (Malware Detection Technology Based on API Call Time Section Characteristics)

  • 김동엽;최상용
    • 정보보호학회논문지
    • /
    • 제32권4호
    • /
    • pp.629-635
    • /
    • 2022
  • 최근 사회적 변화와 IC T 기술의 발전에 따라 사이버 위협 또한 증가되고 있으며, 사이버위협에 사용되는 악성코드는 분석을 어렵게 하기 위해 분석환경 회피기술, 은닉화, 파일리스 유포 등 더욱 고도화 지능화되고 있다. 이러한 악성코드를 효과적으로 분석하기 위해 머신러닝 기술이 활용되고 있지만 분류의 정확도를 높이기 위한 많은 노력이 필요하다. 본 논문에서는 머신러닝의 분류성능을 높이기 위해 API호출 구간 특성 기반 악성코드 탐지 기술을 제안한다. 제안하는 기술은 악성코드와 정상 바이너리의 API 호출 순서를 시간을 기준으로 구간으로 분리하여 각 구간별 API의 호출특성과 바이너리의 엔트로피 등의 특성인자를 추출한 후 SVM(Support Vector Mechine) 알고리즘을 이용하여 제안하는 방법이 악성바이너리를 잘 분석할 수 있음을 검증하였다.