KR101181843B1 - 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법 - Google Patents

후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법 Download PDF

Info

Publication number
KR101181843B1
KR101181843B1 KR1020100131403A KR20100131403A KR101181843B1 KR 101181843 B1 KR101181843 B1 KR 101181843B1 KR 1020100131403 A KR1020100131403 A KR 1020100131403A KR 20100131403 A KR20100131403 A KR 20100131403A KR 101181843 B1 KR101181843 B1 KR 101181843B1
Authority
KR
South Korea
Prior art keywords
hooking
code
function
iframe
malicious
Prior art date
Application number
KR1020100131403A
Other languages
English (en)
Other versions
KR20120070018A (ko
Inventor
오주형
임채태
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020100131403A priority Critical patent/KR101181843B1/ko
Publication of KR20120070018A publication Critical patent/KR20120070018A/ko
Application granted granted Critical
Publication of KR101181843B1 publication Critical patent/KR101181843B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Abstract

본 발명은 악성 웹 사이트 탐지방법에 있어서, 난독화된 자바 스트립트 코드를 포함하는 HTML 문서를 입력받는 단계; jscript.dll의 eval함수, mshtml.dll의 doccument.write 함수 및 element.appendChild 함수에 인라인 후킹 기술을 적용하는 단계; 상기 후킹 결과에 Hidden Iframe코드 존재여부를 확인하는 단계; 상기 HTML 문서를 포함하고 있던 웹 서버를 악성코드 경유지로 탐지하는 단계; 상기 Hidden Iframe코드의 SRC 주소를 CoCreateInstance함수 후킹 기술이 적용된 브라우저에서 실행하는 단계; 및 Active X 객체 생성여부를 확인하는 단계; 를 포함하는 것을 특징으로 하는 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법을 제공한다.

Description

후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법{JavaScript obfuscation by hooking automatically decrypted and how to detect malicious Web sites}
본 발명은 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법에 관한 것으로, 난독화된 자바 스크립트 복원 및 취약한 Active X 생성에 사용되는 주요 함수에 대해 후킹 기술을 적용한 브라우저를 이용하여 난독화된 스크립트를 자동으로 해독하고, 악성코드 경유/유포지로 악용되는 웹 서버를 팀지할 수 있는 기술 방법을 제공하는 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법에 관한 것이다.
기업이나 비영리 기관의 웹서버를 악성코드 감염을 위한 매개지로 이용하는 사례가 꾸준히 증가하고 있다. 악성코드 경유/유포지로 악용되는 웹서버의 대부분은 무작위 SQL 삽입 공격등을 통해 악성 스크립트 코드가 특정 웹 페이지에 삽입되어 있는 형태이며, 접속하는 사용자의 악성코드 감염을 유도하게 된다. 삽입된 악성 스크립트 코드는 악성코드 유포 사이트로의 리다이랙션 코드와 악성코드 감엽을 위한 익스플로잇 코드로 나눌 수 있다. 주로 사용되는 리다이렉션 코드는 높이 0의 Hidden Iframe을 통해서 악성코드가 있으며, 익스플로잇 코드의 경우 취약한 Active X 생성 스크립트 코드와 공격코드로 이루어져 있다.
취약한 웹 서버의 특정 페이지에 삽입되어 있는 악성 스크립트는 시그니처 기반 악성 웹 서버 탐지 시스템을 통해 탐지할 수 있다. 그러나 최근 시그니처 기반 탐지 회피를 위해 인코딩, 암호화, 동적 스크립트 생성 등을 이용한 다양한 난독화 기술이 사용됨에 따라 탐지에 어려움이 있다. MS사의 2008년 보고 자료에 따르면, 삽입된 악성 자바 스크립트 코드의 90%이상이 난독화 기술이 적용되어 있으며, 최근 다양한 난독화 패턴이 적용되어 분석 및 탐지가 더욱 어려운 실정이다.
따라서, 웹 사이트를 주기적으로 점검해서 악용되는지 점검하고, 유포되는 악성코드를 수집할 수 있는 다양한 관련 기술이 연구되고 있다.
YoungHan CHoi는 자바 스크립트의 스트링 패턴 분석을 통해 난독화된 자바 스크립트를 포함하고 있는 악성 웹 사이트 탐지 기술을 제안하였다. 난독화된 자바 스크립트의 경우, 긴 문자열을 포함, 특수 문자의 반복적인 사용 등의 특징을 포함하고 있으므로, 이와 같은 패턴분석을 통해 난독화된 자바 스크립트 여부를 판단하고, 이를 분석할 수 있는 기술을 제안하였다. YoungHan CHoi가 제안한 기술은 의심스러운 자바 스크립트 실행없이 스트링과 문자 패턴 분석을 통해 난독화 여부를 판단하고 있으므로, 행위 기반 분석 기술에 비해 빠른 속도로 탐지가 가능하다, 그러나, 금융 결제, 전자 상거래 등에 사용되는 중요한 스크립트 보호등에 난독화 기술이 사용되고 있으므로, 난독화된 스크립트를 포함하고 있는 웹 서버를 무조건 악성으로 판단하기에는 오답이 존재한. 또한 새로운 난독화 패턴이 나올 경우 난독화 여부를 판단하지 못하는 단점이 있다.
다음으로 Andreas Dewald는 [x]에서 자바 스크립트 샌드 박스를 이용한 난독화 자바 스크립트 해독 및 악성 웹 사이트 탐지 기술 ADsandbox를 제안하였다. ADsandbox는 내부적으로 오픈소스 기반의 자바 스크립트 실행 엔진 SpiderMonkey를 포함하고 있어, 인터넷 브라우저 없이 자바 스크립트 실행 및 출력 결과 확인이 가능하다. 따라서, 의심 URL로부터 응답 HTML 문서를 다운로드 받은 다음 의심스러운 자바 스크립트 블락들을 추출하여, 실행하는 구조를 채택하고 있다. 그러나 자바 스크립트 블럭들이 인터넷 브라우저에서 제공하는 HTML 코드 또는 DOM 코드들을 포함하고 있기 때문에 모든 자바 스크립트 블럭에 대해서 실행이 불가능한 단점이 존재한다.
마지막으로 Feinstein은 난독화된 자바 스크립트 해독을 위해 Caffeine Monkey를 제안하였다. 그는 ADsandbox의 접근방식과 비슷하게 SpiderMonkey를 이용하여, 난독화된 자바 스크립트를 실행하는 구조를 가지고 있다. 차이점은 SpiderMonkey를 수정해서 자바스크립트 eval 함수와 스크립트 결합 함수에 후킹 기법을 적용하여, 난독화된 자바 스크립트가 복호화되는 시점에 악의적인 원본 스크립트 코드를 얻을 수 있게 된다. 그러나, ADsandbox와 같이 인터넷 브라우저에서 제공하는 HTML 코드 또는 DOM코드들을 포함한 자바 스크립트 실행에 어려움이 있다.
따라서, 본 발명은 종래 기술에 제기된 문제점을 해결하기 위한 것으로, 난독화된 자바 스크립트가 악성 스크립트 복원을 위해 사용하는 주요 함수에 후킹 기술을 적용한 브라우저에서 실행한 다음 난독화된 스크립트를 해독하고, 악성 웹사이트 URL을 탐지할 수 있는 기술 방법을 제안함으로써, 자바 스크립트를 웹 브라우저에서 실행하기 때문에 기존 분석 기법에 비해 높은 탐지율과 낮은 오탐율을 보장받을 수 있는 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법을 제공하는데 그 목적이 있다.
상기의 목적을 달성하기 위한 본 발명은 악성 웹 사이트 탐지방법에 있어서,난독화된 자바 스트립트 코드를 포함하는 HTML 문서를 입력받는 단계; jscript.dll의 eval함수, mshtml.dll의 doccument.write 함수 및 element.appendChild 함수에 인라인 후킹 기술을 적용하는 단계; 상기 후킹 결과에 Hidden Iframe코드 존재여부를 확인하는 단계; 상기 HTML 문서를 포함하고 있던 웹 서버를 악성코드 경유지로 탐지하는 단계; 상기 Hidden Iframe코드의 SRC 주소를 CoCreateInstance함수 후킹 기술이 적용된 브라우저에서 실행하는 단계; 및 Active X 객체 생성여부를 확인하는 단계;를 포함하는 것을 특징으로 하는 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법을 제공한다.
또한, acript.dll의 eval함수, mshtml.dll의 doccument.write 함수 및 element.appendChild 함수에 인라인 후킹 기술을 적용하는 단계에서, 인라인 함수 후킹 기술은 원본 함수의 코드 리라이팅 기술을 통해 드림블린 함수로 호출을 리다이렉션 한 다음 입력 파라미터를 후킹하는 방법일 수 있다.
또한, 상기 HTML 문서를 포함하고 있던 웹 서버를 악성코드 경유지로 탐지하는 단계에서, 상기 웹 서버는 Hidden Iframe코드를 포함하는 것으로 판단될 수 있다.
또한, 상기 후킹 결과에 Hidden Iframe코드 존재여부를 확인하는 단계에서, 상기 Hidden Iframe코드는 <iframe src=A.COM width=0 height=0></iframe>, <iframe src=A.COM width=1 height=0></iframe>, <iframe src=A.COM width=0% height=0%></iframe>, <iframe src="A.COM" width=150 height=100 style="display:none;"></iframe> 패턴을 기준으로 탐지될 수 있다.
또한, 상기 Hidden Iframe코드의 SRC 주소를 CoCreateInstance함수 후킹 기술이 적용된 브라우저에서 실행하는 단계에서, CoCreateInstance함수는 Com 객체 생성을 위해 최종적으로 호출되는 함수로 인터넷 익스플로어에서 Active X 생성시 호출된 경우 입력파라미터로서, CLSID 정보를 포함할 수 있다.
그리고 Active X 객체 생성여부를 확인하는 단계 이후에, 생성된 상기 Active X 객체의 정보는 취약점이 보고된 Active X 정보를 포함하고 있는 Killbit리스트와 비교되는 단계가 더 포함될 수 있다.
그리고 Active X 객체 생성여부를 확인하는 단계 이후에, 악성코드 경유지에서 리다이렉션 되는 사이트가 취약한 Active X 객체 생성을 시도할 경우 악성코드 유포 사이트로 탐지하는 단계가 포함될 수 있다.
이상에서, 본 발명은 난독화된 자바 스크립트가 악성 스크립트 복원을 위해 사용하는 주요 함수에 후킹 기술을 적용한 브라우저에서 실행한 다음 난독화된 스크립트를 해독하고, 악성 웹사이트 URL을 탐지할 수 있는 기술 방법을 제안함으로써, 자바 스크립트를 웹 브라우저에서 실행하기 때문에 기존 분석 기법에 비해 높은 탐지율과 낮은 오탐율을 보장받을 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따른 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법에 대한 프로세스를 나타낸 도면이다.
도 2는 본 발명의 실시예에 채용되는 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 기술 방법에 대한 개략도를 나타낸 도면이다.
본 발명에 따른 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법에 대한 기술적 구성을 비롯한 작용효과에 관한 사항은 본 발명의 바람직한 실시예가 도시된 도면을 참조하여 아래의 상세한 설명에 의해서 명확하게 이해될 것이다.
도 1 및 도 2를 참조하여 설명하면, 본 발명은 크게 난독화된 자바 스트립트 코드를 포함하는 HTML 문서를 입력받는 단계(S100), jscript.dll의 eval함수, mshtml.dll의 doccument.write 함수 및 element.appendChild 함수에 인라인 후킹 기술을 적용하는 단계(S120), 상기 후킹 결과에 Hidden Iframe코드 존재여부를 확인하는 단계(S130), 상기 HTML 문서를 포함하고 있던 웹 서버를 악성코드 경유지로 탐지하는 단계(S140), 상기 Hidden Iframe코드의 SRC 주소를 CoCreateInstance함수 후킹 기술이 적용된 브라우저에서 실행하는 단계 및 Active X 객체 생성여부를 확인하는 단계(S150), 악성코드 경유지에서 리다이렉션 되는 사이트가 취약한 Active X 객체 생성을 시도할 경우 악성코드 유포 사이트로 탐지하는 단계(S160)를 포함하여 이루어진다.
즉, 본 발명은 난독화된 자바 스크립트 코드를 포함하는 HTML 문서를 입력받아, jscript.dll의 eval함수, mshtml.dll의 doccument.write 함수 및 element.appendChild 함수에 인라인 후킹 기술이 적용된 브라우저 실행한 다음 후킹 결과로 출력되는 Hidden Iframe이 있을 경우 악성코드 경유지로 탐지한다. 또한, Hidden Iframe의 SRC 주소를 CoCreateInstance 함수에 후킹 기술이 적용된 IE에서 실행한 다음 후킹 결과에 포함된 CLSID 값이 취약한 Active X 객체일 경우 악성코드 유포지로 탐지하게 된다.
먼저, 자바 스크립트 난독화 기법은 코드 인코딩, 암호화 등의 기법을 이용해 악성코드 유포 사이트로의 리다이렉션 코드, 악성코드 감염을 위한 악성 익스플로잇코드를 숨기는 것을 목적으로 한다. 또한, 난독화된 스크립트 코드는 최종적으로 사용자의 인터넷 브라우저에서 eval, doccument.write, appendChild 등의 함수를 이용해서 동적으로 악의적인 스크립트를 복원하게 된다. 따라서, 난독화된 스크립트 코드는 사용자의 인터넷 브라우저에서 복원되는 시점에 후킹을 걸어서 자동 해독이 가능하다. 본 발명에서는 인터넷 익스플로어의 자바 스크립트 실행을 담당하는 jsacript.dll의 eval()함수, 문서 객체 처리를 담당하는 mshtml.dll의 doccument.write() 함수 및 element.appendChild() 함수에 인라인 후킹 기술을 적용해서 악의적인 스크립트가 복원되기 직전에 획득할 수 있게 된다.
이때, 인라인 함수 후킹 기술은 Detour 라이브러리를 이용하여 원본 함수의 코드 리라이팅 기술을 통해 트렘블린 함수로 호출을 리다이렉션 한 다음 입력 파라미터를 후킹하는 기법이다.
또한, jscript.dll의 eval함수의 경우, 인터넷 익스플로어가 실행된 이후 메모리상의 437350EA에 로딩되기 때문에 해당 메모리 번지에 우리가 생성한 DetouredJsEval 함수로 점프하는 코드를 삽입하게 된다. 따라서, 브라우저에서 실행되는 JsEval 호출은 DetouredJsEval 함수로 리다이렉션 되게 되고, string 형태의 입력 해독 스트링을 얻을 수 있다. 따라서, 도 1에서 보는 바와 같이 eval, doccument.write등을 통해서 동적으로 생성되는 Hidden Iframe과 같은 해독 코드를 얻을 수 있다. 대부분의 악성 웹 사이트는 악성코드 감영 사이트의 존재를 숨기기 위해 악성코드 경유지를 두고 있으며 악성코드 경유지에서 악성코드 공유 사이트로의 연결을 위해 Hidden Iframe을 포함하고 있다.
따라서, 난독화 기술을 이용해서 Hidden Iframe을 포함하고 있는 웹서버는 악성코드 경유지로 탐지되게 된다. 이때, Hidden Iframe은 <iframe src=A.COM width=0 height=0></iframe>, <iframe src=A.COM width=1 height=0></iframe>, <iframe src=A.COM width=0% height=0%></iframe>, <iframe src="A.COM" width=150 height=100 style="display:none;"></iframe>와 같은 4가지 패턴을 기준으로 탐지될 수 있다.
다음으로, 스크립트 난도화 해독 기술을 통해 탐지된 Hidden Iframe의 목적지 주소에 대해서 CoCreateInstance 함수 후킹 기술이 적용된 브라우저에서 다시 한번 실행하게 된다. 이때, CoCreateInstance 함수는 Com 객체 생성을 위해 최종적으로 호출되는 함수로 인터넷 익스플로어에서 Active X 객체 생성시 호출된 경우 입력파라미터로 CLSID 정보를 포함하게 된다. 따라서, CoCreateInstance 함수에 후킹 기술을 적용할 경우 생성되는 Active X 객체를 탐지할 수 있다. 생성되는 Active X 객체 정보는 마이크로소프트사에서 제공하는 killbit 리스트와 비교하게 된다. 이때, killbit 리스트는 취약점이 보고된 특정 버전의 Active X 정보를 포함하고 있다. 따라서, 악성코드 경유지에서 리다이렉션 되는 사이트가 취약한 Active X 객체 생성을 시도할 경우 악성코드 유포 사이트로 탐지(간주)하게 된다.
이와 같은 본 발명에서 제안하는 후킹 기법을 이용한 난독화 자바 스크립트 자동 해독 및 악성 웹 사이트 탐지 방법의 성능 검증을 위해 2010년 7월부터 9월까지 malwaredomainlist, .blade, defender 등과 같은 악성 URL 공유 사이트에서 수집된 193개의 웹페이지 URL 샘플을 이용하여, 난독화된 자바 스크립트 해독 및 악성 웹사이트 탐지 방법 기능을 평가하였다.
또한, Heritrix Crawler를 이용하여, 수집된 악성 웹페이지로부터 응답 HTML 문서를 다운로드 받아, 동적 스크립트 출력 함수 및 COM 객체 생성 함수에 대한 후킹 기술이 적용된 인터넷 익스플로어에서 실행한 다음, 결과를 다음과 같이 분석하였다. 첫번째로는 http://sharonsten---/p7/index.php에서 HTML 다운로드, 두번째로 후킹 기술이 적용된 IE에서 HTML 문서 실행, 세번째로 후킹 결과 분석(CLASSID : CA8A9780-280D-11CF-A24D-444553540000를 가지는 취약한 Active X 생성 탐지), 네번째로는 난독화가 해독된 악성 스크립트 분석(Document.write 함수 후킹 결과 분석) 순서대로 분석하였다.
이에 따른 분석 결과 성능은 아래 [표 1]에서 보는 것과 같이, 수집된 193개의 193개의 웹사이트 URL 샘플 리스트로부터 120개의 URL의 악성으로 탐지되었다.
전체 URL 193개
전체 중 악성 URL 120개
전체 중 난독화된 자바 스크립트 포함 120개
전체 중 취약한 Active X 생성 80개
전체 중 리다이렉트 코드 포함 URL 60개
전체 중 정상 URL 73개
전체 중 악성스크립트 코드 없는 URL 40개
전체 중 HTML 문서 실행 오류 33개
120개 악성 중 URL 중 Adobe Acrobat PDF Active X의 취약점 공격 익스플로잇 코드 등 다양한 악성 스크립트 코드를 동적으로 생성하는 80개의 URL을 탐지하였으며, 120개의 악성 URL 중 60개의 웹사이트에서 외부 도메인으로의 페이지 리다이렉션을 유도하는 Hidden Iframe이 존재하는 것을 탐지하였다.
그리고 193개의 샘플 URL 중 정상 탐지된 73개 URL을 선별하여, HTML 문서 상세 분석을 수행한 결과 문서내에 난독화된 스크립트 코드가 존재하지 않는 40개의 정상 웹사이트가 포함되어 있음을 분석하였다. 또한, 33개의 웹사이트는 해커에 의한 웹 해킹과정에서 HTML코드 또는 정상 자바 스크립트 코드의 일부가 삭제되어 정상적인 실행이 되지 않는 것을 확인하였다.
이처럼, 본 발명은 난독화된 자바 스크립트가 악성 스크립트 복원을 위해 사용하는 주요 함수에 후킹 기술을 적용한 브라우저에서 실행한 다음 난독화된 스크립트를 해독하고, 악성 웹사이트 URL을 탐지할 수 있는 기술 방법을 제안함으로써, 자바 스크립트를 웹 브라우저에서 실행하기 때문에 기존 분석 기법에 비해 높은 탐지율과 낮은 오탐율을 보장받을 수 있다.
이상에서 설명한 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 당해 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 수 있을 것이다.
따라서, 본 발명의 권리 범위는 개시된 실시예에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변경 및 개량 형태 또는 본 발명의 권리 범위에 속하는 것으로 보아야 할 것이다.

Claims (7)

  1. 악성 웹 사이트 탐지방법에 있어서,
    난독화된 자바 스트립트 코드를 포함하는 HTML 문서를 입력받는 단계;
    jscript.dll의 eval함수, mshtml.dll의 doccument.write 함수 및 element.appendChild 함수에 인라인 후킹 기술을 적용하는 단계;
    상기 후킹 결과에 Hidden Iframe코드 존재여부를 확인하는 단계;
    상기 후킹 결과에 Hidden Iframe코드가 존재하는 경우, 상기 HTML 문서를 포함하고 있던 웹 서버를 악성코드 경유지로 탐지하는 단계;
    CoCreateInstance함수에 후킹 기술을 적용한 브라우저에서, 상기 Hidden Iframe코드의 SRC 주소를 실행하는 단계; 및
    취약한 Active X 객체의 생성여부를 확인하는 단계를 포함하여 구성되며,
    상기 인라인 함수 후킹 기술은 원본 함수의 코드 리라이팅 기술을 통해 트렘블린 함수로 호출을 리다이렉션 한 다음 입력 파라미터를 후킹하는 방법인 것을 특징으로 하는 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법.
  2. 삭제
  3. 삭제
  4. 제 1항에 있어서,
    상기 후킹 결과에 Hidden Iframe코드 존재여부를 확인하는 단계에서,
    상기 Hidden Iframe코드는 <iframe src=A.COM width=0 height=0></iframe>, <iframe src=A.COM width=1 height=0></iframe>, <iframe src=A.COM width=0% height=0%></iframe>, <iframe src="A.COM" width=150 height=100 style="display:none;"></iframe> 패턴을 기준으로 탐지되는 것을 특징으로 하는 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법.
  5. 제 1항에 있어서, 상기 CoCreateInstance함수는
    Com 객체 생성을 위해 최종적으로 호출되는 함수로 인터넷 익스플로어에서 Active X 생성시 호출된 경우 입력파라미터로서, CLSID 정보를 포함하는 것을 특징으로 하는 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법.
  6. 제 1항에 있어서,
    상기 취약한 Active X 객체가 생성된 것으로 확인되면, 상기 취약한 Active X 객체의 정보는 취약점이 보고된 Active X 정보를 포함하고 있는 Killbit리스트와 비교되는 단계를 더 포함하는 것을 특징으로 하는 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법.
  7. 제 1항에 있어서,
    상기 취약한 Active X 객체가 생성된 것으로 확인되면, 악성코드 경유지에서 리다이렉션 되는 사이트를 악성코드 유포 사이트로 간주하는 단계를 더 포함하는 것을 특징으로 하는 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법.
KR1020100131403A 2010-12-21 2010-12-21 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법 KR101181843B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100131403A KR101181843B1 (ko) 2010-12-21 2010-12-21 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100131403A KR101181843B1 (ko) 2010-12-21 2010-12-21 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법

Publications (2)

Publication Number Publication Date
KR20120070018A KR20120070018A (ko) 2012-06-29
KR101181843B1 true KR101181843B1 (ko) 2012-09-11

Family

ID=46687976

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100131403A KR101181843B1 (ko) 2010-12-21 2010-12-21 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법

Country Status (1)

Country Link
KR (1) KR101181843B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101256463B1 (ko) * 2012-09-25 2013-04-19 주식회사 안랩 악성 코드 검사 장치 및 방법
CN108694042A (zh) * 2018-06-15 2018-10-23 福州大学 网页中的JavaScript代码解混淆方法
KR20210094883A (ko) * 2020-01-22 2021-07-30 네이버클라우드 주식회사 스토리지 암호화의 동적 적용을 위한 방법 및 시스템

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101526500B1 (ko) * 2013-12-20 2015-06-09 고려대학교 산학협력단 정보 엔트로피를 이용한 악성 의심 웹사이트 탐지 방법 및 시스템
CN112000568A (zh) * 2020-07-10 2020-11-27 西安广和通无线软件有限公司 技术代码测试方法、装置、计算机设备和存储介质
KR102494837B1 (ko) * 2022-09-27 2023-02-06 시큐레터 주식회사 난독화 된 자바스크립트를 탐지하고 복호화하기 위한 방법 및 이를 위한 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100503387B1 (ko) 2003-03-14 2005-07-26 주식회사 안철수연구소 악성 암호화 스크립트에 대한 분석 및 해독 방법
KR100985071B1 (ko) 2008-02-01 2010-10-05 주식회사 안철수연구소 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100503387B1 (ko) 2003-03-14 2005-07-26 주식회사 안철수연구소 악성 암호화 스크립트에 대한 분석 및 해독 방법
KR100985071B1 (ko) 2008-02-01 2010-10-05 주식회사 안철수연구소 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101256463B1 (ko) * 2012-09-25 2013-04-19 주식회사 안랩 악성 코드 검사 장치 및 방법
CN108694042A (zh) * 2018-06-15 2018-10-23 福州大学 网页中的JavaScript代码解混淆方法
CN108694042B (zh) * 2018-06-15 2021-08-31 福州大学 网页中的JavaScript代码解混淆方法
KR20210094883A (ko) * 2020-01-22 2021-07-30 네이버클라우드 주식회사 스토리지 암호화의 동적 적용을 위한 방법 및 시스템
KR102325986B1 (ko) 2020-01-22 2021-11-12 네이버클라우드 주식회사 스토리지 암호화의 동적 적용을 위한 방법 및 시스템

Also Published As

Publication number Publication date
KR20120070018A (ko) 2012-06-29

Similar Documents

Publication Publication Date Title
Reis et al. Site isolation: Process separation for web sites within the browser
Lu et al. Blade: an attack-agnostic approach for preventing drive-by malware infections
Stock et al. Precise client-side protection against {DOM-based}{Cross-Site} scripting
KR101083311B1 (ko) 악성 스크립트 분석 시스템 및 그를 이용한 악성 스크립트 분석 방법
Heiderich et al. Iceshield: Detection and mitigation of malicious websites with a frozen dom
JP6624771B2 (ja) クライアントベースローカルマルウェア検出方法
Kirda et al. Noxes: a client-side solution for mitigating cross-site scripting attacks
KR101181843B1 (ko) 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법
US20150163234A1 (en) System and methods for protecting computing devices from malware attacks
KR101190261B1 (ko) 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법
Egele et al. Mitigating drive-by download attacks: Challenges and open problems
US11586726B2 (en) Secure web framework
Continella et al. Prometheus: Analyzing WebInject-based information stealers
Van Acker et al. Monkey-in-the-browser: malware and vulnerabilities in augmented browsing script markets
Shalini et al. Prevention of cross-site scripting attacks (xss) on web applications in the client side
Kishore et al. Browser JS Guard: Detects and defends against Malicious JavaScript injection based drive by download attacks
Panja et al. Handling cross site scripting attacks using cache check to reduce webpage rendering time with elimination of sanitization and filtering in light weight mobile web browser
Tajbakhsh et al. A sound framework for dynamic prevention of Local File Inclusion
CN115270126B (zh) 一种检测Java内存马的方法、装置、电子设备及存储介质
US20120278883A1 (en) Method and System for Protecting a Computing System
Dai et al. Holography: a behavior‐based profiler for malware analysis
Sayed et al. Detection and mitigation of malicious JavaScript using information flow control
Sachin et al. SurfGuard JavaScript instrumentation-based defense against Drive-by downloads
Zhang et al. File Guard: automatic format-based media file sanitization: A black-box approach against vulnerability exploitation
Etaher et al. Understanding the threat of banking malware

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150828

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee