• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.617-623
• /
• 2018

본 연구는 안드로이드 정적분석을 기반으로 추출된 AndroidManifest 권한 특징을 통해 악성코드를 탐지하고자 한다. 특징들은 AndroidManifest의 권한을 기반으로 분석에 대한 자원과 시간을 줄였다. 악성코드 탐지 모델은 1500개의 정상어플리케이션과 500개의 악성코드들을 학습한 SVM(support vector machine), NB(Naive Bayes), GBC(Gradient Boosting Classifier), Logistic Regression 모델로 구성하여 98%의 탐지율을 기록했다. 또한, 악성앱 패밀리 식별은 알고리즘 SVM과 GPC (Gaussian Process Classifier), GBC를 이용하여 multi-classifiers모델을 구현하였다. 학습된 패밀리 식별 머신러닝 모델은 악성코드패밀리를 92% 분류했다.

• 한국융합학회논문지
• /
• 제8권3호
• /
• pp.49-61
• /
• 2017

안드로이드 플랫폼에서 다양한 모바일 애플리케이션이 개발/배포되면서 편리함과 유용성이 더욱 증가하고 있으나 지속적으로 악성 모바일 애플리케이션(Malicious Mobile Application) 또한 급증하고 있어 스마트폰 사용자도 모르게 단말 내 중요 정보 등이 외부로 유출되고 있다. 악성앱 검출을 위해 안드로이드 플랫폼을 대상으로 다양한 모바일 백신이 개발되었지만 최근에 발견된 서버 기반 다형상 모바일 악성앱인 경우 은닉 우회 기법을 포함하고 있으며, C&C 서버 기반 다형상 생성기에 의해서 각 사용자 단말에 매번 조금씩 다른 형태의 악성앱이 생성 및 설치되기 때문에 기존 모바일 백신에 손쉽게 검출되지 않는다는 문제점이 있다. 이에 본 논문에서는 서버 기반 다형상 모바일 악성앱에 대한 APK 역컴파일 과정을 통해 핵심 악성 코드를 구성하는 DEX 파일내 메소드에 대한 유사도와 접근권한 유사도 측정을 통해 상관관계를 분석하여 SSP 악성앱을 판별하는 기법을 제시하였다. DEX 메소드 유사도와 퍼미션 유사도 분석 결과 SSP 악성앱에 대한 동작 방식의 특징을 추출할 수 있었으며 정상앱과 구별 가능한 차이점을 발견할 수 있었다.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.45-55
• /
• 2019

DEX 파일과, SO 파일로 알려진 공유 라이브러리 파일은 안드로이드 어플리케이션의 행위를 결정짓는 중요한 구성요소이다. DEX 파일은 Java 코드로 구현된 실행파일이며, SO 파일은 ELF 파일 형식을 따르며 C/C++와 같은 네이티브 코드로 구현된다. Java 영역과 네이티브 코드 영역은 런타임에 상호작용할 수 있다. 오늘날 안드로이드 악성코드는 지속적으로 증가하고 있으며, 악성코드로 탐지되는 것을 회피하기 위한 다양한 우회 기법을 적용한다. 악성코드 분석을 회피하기 위하여 분석이 어려운 네이티브 코드에서 악성 행위를 수행하는 어플리케이션 또한 존재한다. 기존 연구는 Java 코드와 네이티브 코드를 모두 포함하는 함수 호출 관계를 표시하지 못하거나, 여러 개의 DEX을 포함하는 어플리케이션을 분석하지 못하는 문제점을 지닌다. 본 논문에서는 안드로이드 어플리케이션의 DEX 파일과 SO 파일을 분석하여 Java 코드 및 네이티브 코드에서 호출 관계를 추출하는 시스템을 설계 및 구현한다.

• 융합정보논문지
• /
• 제8권1호
• /
• pp.139-145
• /
• 2018

랜섬웨어란 악성코드의 일종이다. 랜섬웨어에 감염된 컴퓨터는 시스템 접근이 제한된다. 이를 해제하기 위해서는 악성 코드 제작자에게 대가를 제공해야 한다. 최근 최대 규모의 랜섬웨어 공격이 발생함에 따라 인터넷 보안 환경에 대한 우려가 점점 커지고 있다. 랜섬웨어에 대한 종류와 사이버테러 피해를 막기 위한 대응 방안을 알아본다. 강력한 감염성을 가지며 최근에도 끊임없이 공격해오는 랜섬웨어는 대표적으로 Locky, Petya, Cerber, Samam, Jigsaw가 있고, 점점 공격패턴이 진화중이며 요구 결제 금액 또한 증가하고 있다. 현재로써 랜섬웨어 방어는 100% 특효약이 있는 것이 아니다. 하지만 자동업데이트, 백신설치, 주기적 백업을 통해 랜섬웨어에 대응 할 수 있다. 본 연구에서는 네트워크와 시스템에 도달하지 못하도록 다층적인 접근 방법을 제시하여, 기업과 개인 사용자들의 랜섬웨어 예방 방법을 제시하였다.

• 한국항행학회논문지
• /
• 제17권6호
• /
• pp.816-822
• /
• 2013

최근 악성코드의 다양화와 변종 발생 주기가 기존대비 지극히 단시간에 이루어지고 있으며, 네트워크 환경 또한 기존 보다 그 속도와 데이터 전송량이 급격히 증가하고 있다. 따라서 기존 침입 탐지 연구 및 비정상 네트워크 행위 분석 연구와 같이 정상과 비정상 네트워크 환경을 구성하여 데이터를 수집 분석하는 것은 현실적으로 환경 구성에 어려움이 많다. 본 논문에서는 기존 단순 네트워크 환경이 아닌 근래 많이 연구가 진행되고 서비스가 활발히 이루어지고 있는 클라우드 환경에서의 악성코드 분석 데이터 수집을 통하여 보다 효과적으로 데이터를 수집하고 분석하였다. 또한 단순한 악성 코드 행위가 아닌 DNS 스푸핑이 포함된 봇넷 클라이언트와 서버를 적용하여 보다 실제 네트워크와 유사한 환경에서 악성 코드 데이터를 수집하고 분석하였다.

• 한국정보과학회논문지:정보통신
• /
• 제29권5호
• /
• pp.473-481
• /
• 2002

악성 코드의 감지 및 분석에 있어 암호화된 악성코드의 해독은 필수적인 요소이다. 그러나, 기존의 엑스-레잉 또는 에뮬레이션에 의한 해독 기법들은 이진 형태의 악성 코드를 대상으로 개발되었으므로 스크립트 형태의 악성 코드에는 적합하지 않으며, 특정한 암호화 패턴을 기반으로 하는 접근 방식은 알려지지 않은 악성 스크립트가 암호화되어 있을 경우 대응하기 어렵다. 따라서 본 논문에서는 스크립트 암호화 기법에 대한 분석적인 접근을 통하여, 새로운 암호화 기법의 출현에 유연하게 대처하는 새로운 암호 해독 기법을 제시하고 그 구현에 관해 기술한다.

• 융합보안논문지
• /
• 제15권4호
• /
• pp.83-90
• /
• 2015

최근 해킹과 악성코드 등 사이버 공격기법은 매우 빠르게 변화 발전하고 있으며 그에 따른 사이버공격 기법이 다양해지고 지능화된 악성코드의 수가 증가하고 있다. 악성 코드의 경우 악성 코드의 수가 급격하게 증가함으로서 분류나 이름의 모호함으로 인해 악성코드에 대처함에 있어 어려움이 있다. 본 논문은 이러한 문제점을 해결하기 위해서 국내에 있는 백신업체들의 명명규칙을 조사 분석하고 이를 기반으로 현재까지 나온 탐지규칙의 패턴을 비교 분석해 보안관제 이벤트 탐지규칙에 적합한 명명규칙을 제안 한다.

• 융합보안논문지
• /
• 제6권3호
• /
• pp.59-67
• /
• 2006

최근 개인 PC 해킹과 경제적 이익을 목적으로 하는 게임 해킹이 급증하면서 윈도우즈 시스템을 대상으로 하는 특정 목적의 악성코드들이 늘어나고 있다. 악성코드가 은닉 채널 사용이나 개인 방화벽과 같은 보안 제품 우회, 시스템 내 특정 정보를 획득하기 위한 기술로 대상 프로세스의 메모리 내에 코드나 DLL을 삽입하는 기술이 보편화되었다. 본 논문에서는 대상 프로세스의 메모리 영역에 코드를 삽입하여 실행시키는 기술에 대해 분석한다. 또한 피해 시스템에서 실행중인 프로세스 내에 인젝션 된 DLL을 추출하기 위해 파일의 PE 포맷을 분석하여 IMPORT 테이블을 분석하고, 실행중인 프로세스에서 로딩중인 DLL을 추출하여 명시적으로 로딩된 DLL을 추출하고 분석하는 기법에 대해 설명하였다. 인젝션 기술 분석과 이를 추출하는 기술을 통해 피해시스템 분석시 감염된 프로세스를 찾고 분석하는 시발점이 되는 도구로 사용하고자 한다.

• 정보보호학회논문지
• /
• 제27권5호
• /
• pp.1087-1097
• /
• 2017

스마트 폰의 보급률이 증가함에 따라 스마트 폰을 대상으로 하는 악성코드들이 증가하고 있다. 360 Security의 스마트 폰 악성코드 통계에 따르면 2015년 4분기에 비해 2016년 1분기에 악성코드가 437% 증가하는 수치를 보였다. 특히 이러한 스마트 폰 악성코드 유포의 주요 수단인 악성 어플리케이션들은 사용자 정보 유출, 데이터 파괴, 금전 갈취 등을 목적으로 하는데 운영 체제나 프로그래밍 언어가 제공하는 기능을 제어할 수 있게 해주는 인터페이스인 API에 의하여 동작하는 경우가 대부분이다. 본 논문에서는 정적 분석으로 도출한 어플리케이션 내 API의 패턴을 지도 학습 기법으로 머신에 학습하여 정상 어플리케이션과 악성 어플리케이션 내의 API 패턴의 유사도에 따라 악성 어플리케이션을 탐지하는 메커니즘을 제시하고 샘플 데이터에 대하여 해당 메커니즘을 사용하여 도출한 label 별 탐지율과 탐지율 개선을 위한 기법을 보인다. 특히, 제안된 메커니즘의 경우 신종 악성 어플리케이션의 API 패턴이 기존에 학습된 패턴과 일정 수준 유사한 경우 탐지가 가능하며 향후 어플리케이션의 다양한 feature를 연구하여 본 메커니즘에 적용한다면 anti-malware 체계의 신종 악성 어플리케이션 탐지에 사용될 수 있을 것이라 예상된다.

• 융합보안논문지
• /
• 제19권3호
• /
• pp.37-41
• /
• 2019

최근 다양한 형태의 악성코드 등장으로 인해 기존의 정적 분석은 많은 한계를 노출하고 있다. 정적분석은 (악성)코드를 실제로 실행하지 않고 원시 코드나 목적 코드를 가지고 코드나 프로그램의 구조를 분석하는 것을 의미한다. 한편 정보보안 분야에서의 동적 분석이란 일반적으로 (악성)코드를 직접 실행하여 분석하는 형태로 프로그램의 실행 플로우를 파악하기 위해 (악성)코드의 실행 전후 상태를 비교·조사하여 분석하는 형태를 의미한다. 그러나 동적 분석을 위해서는 막대한 양의 데이터와 로그를 분석해야 하며 모든 실행 플로우를 실제로 저장하기도 어려웠다. 본 논문에서는 윈도우 환경(윈도우 10 R5 이상)에서 2세대 PT를 기반으로 악성코드 탐지 및 실시간 다중 동적 분석을 수행하는 시스템의 전처리기 구조를 제안하였고 이를 구현하였다.