• 융합보안논문지
• /
• 제12권4호
• /
• pp.97-108
• /
• 2012

본 연구는 이메일을 활용한 멀웨어 공격 중 국내 국방 분야 및 방산 분야에 대한 공격 동향을 분석하고, 새로운 공격 유형을 예측하였다. 국방 분야와 방산업계 대상으로 발생하는 멀웨어 배포는 주로 사회공학적으로 수집된 개인정보를 바탕으로, 특정 기능이 포함된 악성코드가 포함된 문서 파일로 배포한다. 배포된 멀웨어는 피해자 사용 단말기의 정보를 습득하려는 의도로 사용된다. 본 연구는 실제 사례들에 대한 분석을 통해 이메일을 활용한 멀웨어 배포 동향을 분석하여, 향후 시도될 것으로 예상되는 멀웨어 배포 유형을 예측했다.

• ETRI Journal
• /
• 제42권6호
• /
• pp.965-975
• /
• 2020

This paper proposes a new framework for the development and deployment of honeypots for evolving malware threats. As new technological concepts appear and evolve, attack surfaces are exploited. Internet of things significantly increases the attack surface available to malware developers. Previously independent devices are becoming accessible through new hardware and software attack vectors, and the existing taxonomies governing the development and deployment of honeypots are inadequate for evolving malicious programs and their variants. Malware-propagation and compromise methods are highly automated and repetitious. These automated and repetitive characteristics can be exploited by using embedded reinforcement learning within a honeypot. A honeypot for automated and repetitive malware (HARM) can be adaptive so that the best responses may be learnt during its interaction with attack sequences. HARM deployments can be agile through periodic policy evaluation to optimize redeployment. The necessary enhancements for adaptive, agile honeypots require a new development and deployment framework.

• 정보보호학회논문지
• /
• 제32권5호
• /
• pp.997-1008
• /
• 2022

오늘날 AI(Artificial Intelligence) 기술은 악성코드 분야를 비롯하여 다양한 분야에서 광범위하게 연구되고 있다. 중요한 의사결정 및 자원을 보호하는 역할에 AI 시스템을 도입하기 위해서는 신뢰할 수 있는 AI 모델이어야 한다. 학습 데이터셋에 의존적인 AI 모델은 새로운 공격에 대해서도 견고한지 확인이 필요하다. 공격자는 악성코드를 새로 생성하기보단, 기존에 탐지되었던 악성코드의 변종을 대량 생산하여 공격에 성공하는 악성코드를 탐색다. AI 모델의 Misclassification을 유도하는 Adversarial attack과 같이 대부분의 공격은 기존 공격에 약간에 변형을 가해 만든 공격들이다. 이러한 변종에도 대응 가능한 Robust한 모델이 필요하며, AI 평가지표로 많이 사용되는 Accuracy, Recall 등으로는 모델의 Robustness 수준을 측정할 수 없다. 본 논문에서는 Adversarial attack 중 하나인 C&W attack을 기반으로 Adversarial sample을 생성하여 Robustness 수준을 측정하고 Adversarial training 을 통해 Robustness 수준을 개선하는 방법을 실험한다. 본 연구의 악성코드 데이터셋 기반 실험을 통해 악성코드 분야에서 해당 제안 방법의 한계 및 가능성을 확인하였다.

• International Journal of Computer Science & Network Security
• /
• 제23권12호
• /
• pp.107-114
• /
• 2023

The attack technique by the malware distribution form is a dangerous, difficult to detect and prevent attack method. Current malware detection studies and proposals are often based on two main methods: using sign sets and analyzing abnormal behaviors using machine learning or deep learning techniques. This paper will propose a method to detect malware on Endpoints based on Event IDs using deep learning. Event IDs are behaviors of malware tracked and collected on Endpoints' operating system kernel. The malware detection proposal based on Event IDs is a new research approach that has not been studied and proposed much. To achieve this purpose, this paper proposes to combine different data mining methods and deep learning algorithms. The data mining process is presented in detail in section 2 of the paper.

• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1121-1129
• /
• 2013

최근 악성코드 유포는 단순한 개인적 피해를 넘어 3 20 사이버테러와 같은 사회적인 심각한 문제점을 야기하고 있다. 특히 취약한 웹을 통한 유포방법인 드라이브 바이 다운로드(Drive-by download) 공격은 가장 심각한 위협이 되고 있다. 따라서 드라이브 바이 다운로드 공격에 사용되는 악성코드 유포 네트워크(Malware Distribution Network, MDN)를 효과적으로 분석하는 것은 악성코드로 인한 피해를 예방하기 위해 매우 중요하다. 악성코드 유포 네트워크를 효과적으로 분석하기 위해서는 웹페이지 내에 포함된 난독화하고 은닉화한 스크립트를 식별해야 하며, 본 논문에서는 이를 식별하기 위해 멀티레벨 에뮬레이션 기법을 제안한다. 이를 통해 다양한 형태로 숨겨져 있는 유포지로 연결하는 링크를 분석하여 악성코드 유포 네트워크 분석의 기반을 제공하고자 한다.

• 정보보호학회논문지
• /
• 제29권2호
• /
• pp.431-438
• /
• 2019

파일리스 악성코드는 악성 행위를 수행할 페이로드의 흔적을 은닉하기 위해 메모리 주입 공격을 이용한다. 메모리 주입 공격 중 프로세스 할로윙이라는 이름의 공격은 시스템 프로세스 등을 일시정지 상태로 생성시킨 다음, 해당 프로세스에 악성 페이로드를 주입시켜 정상 프로세스인 것처럼 위장해 악성행위를 수행하는 방법이다. 본 논문은 프로세스 할로윙 공격이 발생했을 경우, 악성 행위 실제 수행 여부와 상관없이 메모리 주입 여부를 검출할 수 있는 방법을 제안한다. 메모리 주입이 의심되는 프로세스와 동일한 실행 조건을 갖는 복제 프로세스를 실행시키고, 각 프로세스 가상 메모리 영역에 속해있는 데이터 집합을 퍼지 해시를 이용해 비교한 다음 유사도를 산출한다.

• 인터넷정보학회논문지
• /
• 제21권2호
• /
• pp.1-8
• /
• 2020

최근 악성코드를 활용한 APT(Advanced Persistent Threat) 공격의 수가 점차 증가하면서 이를 예방하고 탐지하기 위한 연구가 활발히 진행되고 있다. 이러한 공격들은 공격이 발생하기 전에 탐지하고 차단하는 것도 중요하지만, 발생 공격 사례 또는 공격 유형에 대한 정확한 분석과 공격 분류를 통해 효과적인 대응을 하는 것 또한 중요하며, 이러한 대응은 해당 공격의 공격 그룹을 분석함으로써 정할 수 있다. 따라서 본 논문에서는 공격자 그룹의 특징을 파악하고 분석하기 위한 악성코드를 활용한 유전 알고리즘 기반 공격자 그룹 특징 추출 프레임워크를 제안한다. 해당 프레임워크에서는 수집된 악성코드를 디컴파일러와 디셈블러를 통해 관련 코드를 추출하고 코드 분석을 통해 저자와 관련된 정보들을 분석한다. 악성코드에는 해당 코드만이 가지고 있는 고유한 특징들이 존재하며, 이러한 특징들은 곧 해당 악성코드의 작성자 또는 공격자 그룹을 식별할 수 있는 특징이라고 할 수 있다. 따라서 우리는 저자 클러스터링 방법을 통해 바이너리 및 소스 코드에서 추출한 다양한 특징들 중에 특정 악성코드 작성자 그룹만이 가지고 있는 특징들을 선별하고, 정확한 클러스터링 수행을 위해 유전 알고리즘을 적용하여 주요 특징들을 유추한다. 또한 각 악성코드 저자 그룹들이 가지고 있는 특성들을 기반으로 각 그룹들만을 표현할 수 있는 특징들을 찾고 이를 통해 프로필을 작성하여 작성자 그룹이 정확하게 군집화되었는지 확인한다. 본 논문에서는 실험을 통해 유전 알고리즘을 활용하여 저자가 정확히 식별되는 지와 유전 알고리즘을 활용하여 주요 특징 식별이 가능한지를 확인 할 것이다. 실험 결과, 86%의 저자 분류 정확도를 보이는 것을 확인하였고 유전 알고리즘을 통해 추출된 정보들 중에 저자 분석에 사용될 특징들을 선별하였다.

• 한국통신학회논문지
• /
• 제42권1호
• /
• pp.193-204
• /
• 2017

인터넷 시스템의 보안은 백신을 최신으로 업데이트하고, 신종 악성코드를 탐지해 내는 능력에 달려있다. 하지만, 급변하는 인터넷 환경과 더불어, 악성코드는 끊임없이 변종을 만들어내고 더욱 지능적으로 진화하고 있어 현재 운용중인 시그니쳐 기반 탐지체계로 탐지되지 않는다. 따라서, 본 연구에서는 악성코드의 네트워크 행위 패턴을 추출하여 DNA 서열 유사도를 비교하여 활용하는 유사 시퀀스 정렬 알고리즘을 적용하여 악성코드를 분류하는 기법을 제안한다. 제안한 기법을 실제 네트워크에서 수집된 악성코드 샘플 766개에 적용하여 유사도를 비교한 결과 40.4%의 정확도를 얻었다. 이는 코드나 다른 특성을 배제하고 악성코드의 네트워크 행위만으로 분류했다는 점을 미루어 볼 때 앞으로 더 발전 가능성이 있을 것으로 기대된다. 또한 이를 통해 공격그룹을 예측하거나 추가적인 공격을 예방할 수 있다.

• 인터넷정보학회논문지
• /
• 제24권1호
• /
• pp.17-26
• /
• 2023

A smart city is a massive internet of things (IoT) environment, where all terminal devices are connected to a network to create and share information. In accordance with massive IoT environments, millions of IoT devices are connected, and countless data are generated in real time. However, since heterogeneous IoT devices are used, collecting the logs for each IoT device is difficult. Due to these issues, when an IoT device is invaded or is engaged in malicious behavior, such as infection with malware, it is difficult to respond quickly, and additional damage may occur due to information leakage or stopping the IoT device. To solve this problem, in this paper, we propose identifying the attack technique used for initial access to IoT devices through MITRE ATT&CK, collect the logs that can be generated from the identified attack technique, and use them to identify the cause of malware infection.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권6호
• /
• pp.3258-3279
• /
• 2019

Recently, ransomware has earned itself an infamous reputation as a force to reckon with in the cybercrime landscape. However, cybercriminals are adopting other unconventional means to seamlessly attain proceeds of cybercrime with little effort. Cybercriminals are now acquiring cryptocurrencies directly from benign Internet users without the need to extort a ransom from them, as is the case with ransomware. This paper investigates advances in the cryptovirology landscape by examining the state-of-the-art cryptoviral attacks. In our approach, we perform digital autopsy on the malware's source code and execute the different malware variants in a contained sandbox to deduce static and dynamic properties respectively. We examine three cryptoviral attack structures: browser-based crypto mining, memory resident crypto mining and cryptoviral extortion. These attack structures leave a trail of digital forensics evidence when the malware interacts with the file system and generates noise in form of network traffic when communicating with the C2 servers and crypto mining pools. The digital forensics evidence, which essentially are IOCs include network artifacts such as C2 server domains, IPs and cryptographic hash values of the downloaded files apart from the malware hash values. Such evidence can be used as seed into intrusion detection systems for mitigation purposes.