KR101234063B1 - Malicious code, the system automatically collects - Google Patents

Malicious code, the system automatically collects Download PDF

Info

Publication number
KR101234063B1
KR101234063B1 KR1020100131406A KR20100131406A KR101234063B1 KR 101234063 B1 KR101234063 B1 KR 101234063B1 KR 1020100131406 A KR1020100131406 A KR 1020100131406A KR 20100131406 A KR20100131406 A KR 20100131406A KR 101234063 B1 KR101234063 B1 KR 101234063B1
Authority
KR
South Korea
Prior art keywords
securefs
reparsing
management
file
path
Prior art date
Application number
KR1020100131406A
Other languages
Korean (ko)
Other versions
KR20120070021A (en
Inventor
권진현
김기현
김상철
김병익
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020100131406A priority Critical patent/KR101234063B1/en
Publication of KR20120070021A publication Critical patent/KR20120070021A/en
Application granted granted Critical
Publication of KR101234063B1 publication Critical patent/KR101234063B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 밞명은 악성코드 자동 수집 시스템에 있어서, 악성코드 경유/유포지 탐지 시스템으로부터 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 URL 분석정보를 추출하고 추출된 정보를 관리저장하는 관리단; 상기 관리단으로부터 생성된 파일 및 파일 정보를 수집하는 수집단;을 포함하며 상기 수집단은, Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈을 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템을 제공한다.According to the present invention, an automatic malware collection system includes: a management unit for extracting URL analysis information and un-analyzed lists detected from a route / distribution site detection system through malicious code, extracting URL analysis information, and managing and storing the extracted information; And a collection stage for collecting files and file information generated by the management stage, wherein the collection stage includes a process policy and a list of reparsing target objects, a request for inquiry and setting of an operating environment, and before a driver is started. SecureFS management module for processing the process information settings of the Reparsing target object, and converts the target path, the SecureFS driver module for processing the access control function for the execution operation of the reparsing target path, and manages data Provides automatic malware collection system.

Description

악성코드 자동 수집 시스템{Malicious code, the system automatically collects}Malicious code, the system automatically collects}

본 발명은 악성코드 자동 수집 시스템에 관한 것으로, Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈을 포함하는 악성코드 자동 수집 시스템에 관한 것이다.
The present invention relates to a system for automatically collecting malware, and processes a process policy and a list of a reparsing target object, processes an inquiry and setting of an operating environment, and processes a process information setting before a driver is started. The present invention relates to an automatic malicious code collection system including a SecureFS driver module for converting a target path of the reparsing target object, processing an access control function for an execution operation of the reparsing target path, and managing data.

최근 악성코드로 인한 사이버 공격 대응 시간 단축이 되면서 사전 예방기술 확보가 필요하게 되었다. DDoS 공격, 개인정보 탈취 등 대부분의 사이버 공격에 악용되는 다양한 악성코드가 급증하고 있으며, 빈번히 발생하는 협박형 DDoS 공격 및 침해사고에서 볼 수 있듯이 그로 인한 피해가 점차 커지고 있는 상황인 것을 알 수가 있다. Recently, as cyber attack response time is shortened due to malware, it is necessary to secure proactive technologies. Various malwares used in most cyber attacks, such as DDoS attacks and personal information takeovers, are rapidly increasing. As can be seen from the frequently intimidating DDoS attacks and infringement incidents, the damages are gradually increasing.

따라서, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하는 기술을 통해 사이버 공격을 사전에 예방할 수 있는 시스템 구축이 필요한 문제점이 있다.
Therefore, there is a problem in that it is necessary to construct a system that can prevent cyber attacks in advance through a technology of early collecting malicious codes that may pose a deadly threat and generating / distributing corresponding signatures from the analyzed results.

따라서, 본 발명은 악성코드 자동 수집 시스템에 관한 것으로, Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있는 악성코드 자동 수집 시스템을 제공하는데 그 목적이 있다.
Accordingly, the present invention relates to a system for automatically collecting malware, processing a process policy and a list of reparsing target objects, requesting an inquiry and setting of an operating environment, and managing SecureFS to process process information settings before a driver is started. By including a module and a SecureFS driver module that converts the target path of the object to be reparsed, handles the access control function for the execution operation of the reparsing object path, and manages data, it is possible to preempt malicious code that may pose a deadly threat. Its purpose is to provide an automated malware collection system that can prevent cyber attacks by collecting and generating corresponding signatures from the analyzed results.

상기의 목적을 달성하기 위한 본 발명은 악성코드 자동 수집 시스템에 있어서, 악성코드 경유/유포지 탐지 시스템으로부터 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 URL 분석정보를 추출하고 추출된 정보를 관리저장하는 관리단; 상기 관리단으로부터 생성된 파일 및 파일 정보를 수집하는 수집단;을 포함하며 상기 수집단은, Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈을 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템을 제공하는 것을 목적으로 한다.In the present invention for achieving the above object, in the automatic malicious code collection system, the URL / information distribution and un-analyzed list detected from the route through the malicious code / distribution site detection system is received to extract URL analysis information and manage the extracted information A management unit for storing; And a collection stage for collecting files and file information generated by the management stage, wherein the collection stage includes a process policy and a list of reparsing target objects, a request for inquiry and setting of an operating environment, and before a driver is started. SecureFS management module for processing the process information settings of the Reparsing target object, and converts the target path, the SecureFS driver module for processing the access control function for the execution operation of the reparsing target path, and manages data The purpose is to provide an automatic malware collection system.

또한, 상기 SecureFS 관리 모듈은, 상기 Reparsing할 대상객체의 경로와 목적 경로 및 프로세스 정책의 조회, 추가, 수정, 삭제 요청을 처리하는 Reparse point 정책관리하고, 운영 환경의 조회 및 설정 요청을 처리하고, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하며 기 SecureFS 관리 모듈 드라이버를 구동시키는 SecureFS 관리 서브부를 포함할 수 있다.In addition, the SecureFS management module manages a reparse point policy for processing a request, add, modify, and delete a request for a path, a target path, and a process policy of the target object to be reparsed, and processes an inquiry and a setup request for an operating environment. It may include a SecureFS management subsection that processes the process information setting before the driver is started and drives the existing SecureFS management module driver.

또한, 상기 SecureFS 관리 모듈은, 상기 SecureFS 관리 모듈에서 생성된 파일 정보를 수집하고 상기 SecureFS 관리 모듈에서 생성된 실행 파일 차단 로그를 수집하는 감사관리 서브부를 포함할 수 있다.The SecureFS management module may include an audit management subunit which collects file information generated by the SecureFS management module and collects execution file blocking logs generated by the SecureFS management module.

또한, 상기 SecureFS 드라이버 모듈은, 상기 Reparsing 대상객체에 대한 주체 프로세스의 읽기, 생성 및 실행 오퍼레이션에 대하여 상기 Reparsing 목적 경로로 경로를 변환하여 IO Manager로 반환함으로써, 상기 Reparsing 기능을 제공하고, 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대하여 접근통제 기능을 수행하며, 상기 Reparsing 대상 목록, 프로세스 목록, 운영 모드, 위반 감사 로그, 파일 생성 정보, 파일 생성 정보 생성, 위반 감사 로그 생성 데이터를 관리하는 커널관리 서브부를 포함할 수 있다.In addition, the SecureFS driver module converts a path into the reparsing destination path for the read, create, and execute operations of the subject process for the reparsing target object and returns it to the IO Manager, thereby providing the reparsing function and providing the reparsing purpose. Access control function for the execution operation of the path, and includes a kernel management sub-unit for managing the reparsing target list, process list, operating mode, violation audit log, file creation information, file generation information generation, violation audit log generation data can do.

또한, 상기 SecureFS 드라이버 모듈은, 상기 IO Manager로부터 전송받은 파일 경로를 재설정하거나 파일 실행을 차단하는 파일 생성관리 서브부를 포함할 수 있다.
In addition, the SecureFS driver module may include a file generation management sub unit for resetting the file path received from the IO Manager or block file execution.

이상에서, 본 발명은 Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있는 효과가 있다.
In the above description, the present invention provides a SecureFS management module for processing a process policy and a list of a reparsing target object, processing a query and setting of an operating environment, and processes a process information setting before a driver is started, and an object of the reparsing target object. It includes a SecureFS driver module that converts paths, handles access control functions for execution operations of the reparsing destination paths, and manages data so that malicious code that can pose a critical threat is collected early and responded from the analyzed result. By creating / distributing signatures, it is possible to prevent cyber attacks in advance.

도 1은 본 발명의 실시예에 따른 악성코드 자동 수집 시스템에 대한 구성도이다.
도 2는 본 발명의 실시예에 따른 악성코드 자동 수집 시스템에 채용되는 수집단에 대한 구성도이다.
도 3은 본 발명의 실시예에 따른 악성코드 자동 수집 시스템에 채용되는SecureFS 관리 서브부에 대한 구성도이다.
도 4는 본 발명의 실시예에 따른 악성코드 자동 수집 시스템에 채용되는 감사관리 서브부에 대한 구성도이다.
도 5는 본 발명의 실시예에 따른 악성코드 자동 수집 시스템에 채용되는 커널관리 서브부에 대한 구성도이다.
도 6은 본 발명의 실시예에 따른 악성코드 자동 수집 시스템에 채용되는 파일 생성관리 서브부에 대한 구성도이다.1 is a block diagram of an automatic malicious code collection system according to an embodiment of the present invention.
2 is a block diagram of a collecting stage employed in the automatic malware collection system according to an embodiment of the present invention.
Figure 3 is a block diagram of a SecureFS management sub-unit employed in the automatic malware collection system according to an embodiment of the present invention.
4 is a block diagram of an audit management sub-unit employed in the automatic malware collection system according to an embodiment of the present invention.
5 is a block diagram of the kernel management sub-unit employed in the automatic malware collection system according to an embodiment of the present invention.
6 is a block diagram of a file generation management sub-unit employed in the automatic malicious code collection system according to an embodiment of the present invention.

본 발명에 따른 악성코드 자동 수집 시스템에 대한 기술적 구성을 비롯한 작용효과에 관한 사항은 본 발명의 바람직한 실시예가 도시된 도면을 참조하여 아래의 상세한 설명에 의해서 명확하게 이해될 것이다.Matters regarding the operational effects including the technical configuration of the automatic malicious code collection system according to the present invention will be clearly understood by the following detailed description with reference to the drawings in which preferred embodiments of the present invention are shown.

도 1 및 도 6을 참조하여 설명하면, 본 발명의 실시예에 따른 악성코드 자동 수집 시스템(100)에 있어서, 악성코드 경유/유포지 탐지 시스템으로부터 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 URL 분석정보를 추출하고 추출된 정보를 관리저장하는 관리단(120), 상기 관리단(120)으로부터 생성된 파일 및 파일 정보를 수집하는 수집단(130)을 포함하여 이루어질 수 있다. 1 and 6, in the automatic malicious code collection system 100 according to an exemplary embodiment of the present invention, a diesel / distributed list and unanalyzed list detected by the malicious / neutral / distributed site detection system are received. The management unit 120 may extract URL analysis information and manage and store the extracted information, and the collection unit 130 may collect files and file information generated from the management unit 120.

여기서, 상기 악성코드 경유/유포지 탐지 시스템(110)은 악성코드 경유/유포지 탐지 시그니처를 이용하여, 경유/유포지를 탐지하는 시스템(110)에서 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 주기적으로 악성코드 자동 수집 시스템(100)으로 전송하는 역할을 한다. 그리고 상기 악성코드 자동 수집 시스템(100)은 수집된 악성코드 정보를 주기적으로 악성코드 자동 분석 시스템(160)에 전송하는 역할을 한다.In this case, the malicious code route / distribution detection system 110 periodically uses malicious code route / distribution detection signatures to periodically scan the route / distribution list and unanalyzed list detected by the system 110 for detecting route / distribution. It transmits to the code automatic collection system 100. In addition, the automatic malicious code collection system 100 periodically transmits the collected malicious code information to the automatic malicious code analysis system 160.

상기 수집단(130)은 도 2에 도시된 바와 같이, 크게 SecureFS 관리 모듈(140) 및 SecureFS 드라이버 모듈(150)을 포함하여 구성될 수 있다. 상기 SecureFS 관리 모듈(140)은 Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리할 수 있다. 상기 SecureFS 드라이버 모듈(150)은 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리할 수 있다. 이때, 상기 SecureFS 관리 모듈(140)은 SecureFS 관리 서브부(141), 감사관리 서브부(142)로 구성되며 상기 SecureFS 드라이버 모듈(150)은 커널관리 서브부(151a,b), 파일 생성관리 서브부(152)로 구성되어 이에 대한 설명은 이후 자세하게 하도록 한다.As shown in FIG. 2, the collection unit 130 may largely include a SecureFS management module 140 and a SecureFS driver module 150. The SecureFS management module 140 may process a process policy and a list of a reparsing object, process an inquiry and setting of an operating environment, and process process information setting before a driver is started. The SecureFS driver module 150 may convert a target path of the reparsing target object, process an access control function for an execution operation of the reparsing target path, and manage data. At this time, the SecureFS management module 140 is composed of a SecureFS management subunit 141, an audit management subunit 142, the SecureFS driver module 150 is a kernel management subunit (151a, b), file creation management sub It is composed of a section 152 to be described in detail later.

상기 SecureFS 관리 모듈(140)은 도 3에 도시된 바와 같이, 상기 Reparsing할 대상객체의 경로와 목적 경로 및 프로세스 정책의 조회, 추가, 수정, 삭제 요청을 처리하는 Reparse point 정책관리하고, 운영 환경의 조회 및 설정 요청을 처리하고, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하며 기 SecureFS 관리 모듈(140) 드라이버를 구동시키는 SecureFS 관리 서브부(141)를 포함할 수 있다.As shown in FIG. 3, the SecureFS management module 140 manages a reparse point policy for processing an inquiry, addition, modification, and deletion request of a path, a target path, and a process policy of a target object to be reparsed, and an operation environment. It may include a SecureFS management subunit 141 that processes the inquiry and configuration request, processes the process information setting before the driver is started, and drives the existing SecureFS management module 140 driver.

상기 SecureFS 관리 서브부(141)는 기능 중 드라이버 구동, 시작, 중지, 프로세스 목록 설정 및 Reparsing point 설정 등과 같이 SecureFS 드라이버 모듈과 서로 상호작용을 하여야 하는 기능들은 제어 시스템(100) 함수를 호출하여 명령을 SecureFS 드라이버 모듈로 전달한다. SecureFS 관리 서브부(141)가 관리하는 Reparsing point 정책 관련 데이터는 물리적으로는 시스템(100)의 사용자 영역의 파일로 존재하지만 해당 기능이 시작될 때 커널 메모리 영역으로 복사해주어야 한다.The SecureFS management subunit 141 may call commands to the control system 100 for functions that need to interact with the SecureFS driver module, such as driver start, start, stop, process list setting, and reparsing point setting. Pass to SecureFS driver module. Reparsing point policy related data managed by the SecureFS management subunit 141 physically exists as a file in the user area of the system 100, but should be copied to the kernel memory area when the corresponding function is started.

또한, 상기 SecureFS 관리 모듈(140)은 도 4에 도시된 바와 같이, 상기 SecureFS 관리 모듈(140)에서 생성된 파일 정보를 수집하고 상기 SecureFS 관리 모듈(140)에서 생성된 실행 파일 차단 로그를 수집하는 감사관리 서브부(142)를 포함할 수 있다.In addition, the SecureFS management module 140 collects file information generated by the SecureFS management module 140 and collects execution file blocking logs generated by the SecureFS management module 140 as shown in FIG. 4. The audit management sub unit 142 may be included.

상기 SecureFS 드라이버 모듈(150)은 도 5에 도시된 바와 같이, 상기 Reparsing 대상객체에 대한 주체 프로세스의 읽기, 생성 및 실행 오퍼레이션에 대하여 상기 Reparsing 목적 경로로 경로를 변환하여 IO Manager로 반환함으로써, 상기 Reparsing 기능을 제공하고, 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대하여 접근통제 기능을 수행하며, 상기 Reparsing 대상 목록, 프로세스 목록, 운영 모드, 위반 감사 로그, 파일 생성 정보, 파일 생성 정보 생성, 위반 감사 로그 생성 데이터를 관리하는 커널관리 서브부(151a,b)를 포함할 수 있다.As shown in FIG. 5, the SecureFS driver module 150 converts a path into the reparsing destination path and returns to the IO manager for the read, create, and execute operations of the subject process for the reparsing target object. Provide a function, perform an access control function for the execution operation of the reparsing destination path, generate the reparsing target list, process list, operation mode, violation audit log, file generation information, file generation information, violation audit log generation data Kernel management sub-units (151a, b) for managing the may include.

상기 커널관리 서브부(151a,b)는 파일 생성관리 서브부(152)의 시작 및 정지, 커널의 메모리에 저장되는 Reparsing Point 정책 DB의 관리 등을 담당하는 곳으로 SecureFS 관리 서브부에서 제어시스템 콜을 통하여 시작된다. SecureFS 관리 서브부(141)는 제어시스템 콜을 호출하여 기능 및 관리 업무를 커널관리 서브부(151a,b)으로 전달하게 된다. 따라서, 커널관리 서브부(151a,b)의 기능은 SecureFS 관리 서브부(141)의 보안기능과 일대일로 대응을 하게 된다.The kernel management subparts 151a and b are responsible for starting and stopping the file generation management subpart 152 and managing the Reparsing Point policy DB stored in the kernel memory. It starts through. The SecureFS management subunit 141 calls the control system call to deliver functions and management tasks to the kernel management subunits 151a, b. Therefore, the functions of the kernel management subunits 151a and b correspond one-to-one with the security functions of the SecureFS management subunit 141.

이때, 상기 Reparsing Point 정책 DB 등은 커널 메모리 상에 저장되어 파일생성관리 서브부(152)에서 이를 참조하고 있으나, 상기 SecureFS 드라이버 모듈(150)이 운영체제에 탑재되었을 때는 정책 DB가 존재하지 않는다. 그러므로, SecureFS 관리 서브부(141)가 파일로 관리하고 있는 Reparsing Point 정책 DB를 제어시스템 콜을 사용하여 커널관리 서브부(151a,b)으로 전달해주어야 한다. 상기 커널관리 서브부(151a,b)는 넘겨받은 Reparsing Point 정책 DB를 커널 메모리 상에 저장하는 역할을 담당한다. SecureFS 관리 서브부(141)에서는 정책의 변경에 따라서 상기 커널관리 서브부(151a,b)로 이를 통보하고 동일한 내용을 파일에 저장하는 역할을 담당한다. In this case, the reparsing point policy DB is stored in the kernel memory and referred to the file generation management sub-module 152, but the policy DB does not exist when the SecureFS driver module 150 is mounted in the operating system. Therefore, the Reparsing Point policy DB managed by the SecureFS management subunit 141 as a file must be delivered to the kernel management subunits 151a and b using a control system call. The kernel management subparts 151a and b play a role of storing the received Reparsing Point policy DB on the kernel memory. The SecureFS management subpart 141 is responsible for notifying the kernel management subparts 151a and b according to the policy change and storing the same contents in a file.

상기 SecureFS 드라이버 모듈(150)은 상기 IO Manager(145)로부터 전송받은 파일 경로를 재설정하거나 파일 실행을 차단하는 파일 생성관리 서브부(152)를 포함할 수 있다.The SecureFS driver module 150 may include a file generation management subunit 152 that resets a file path received from the IO Manager 145 or blocks file execution.

상기 파일 생성관리 서브부(152)는 전달된 시스템 콜(IRP_MJ_CREATE) 요청에 따라 파일 경로 재설정 과정, 파일 실행 통제 과정을 수행한다. 즉, 상기 파일 생성관리 서브부는 파일 경로 재설정은 객체 즉 파일 경로가 Reparsing point 정책 중 대상 경로에 해당하는 경로인 경우 목적 경로로 파일 경로를 변환하여 파일 경로를 재설정하는 방법이다. 이때, 파일 경로 재설정 정책은 객체에 접근하는 프로세스 식별에 기초하여, 접근하는 객체에 대하여 파일 경로를 변환한다. 또한 파일 경로가 목적 경로이면서 실행 오퍼레이션을 경우 파일 실행을 차단할 수 있다.The file generation management subunit 152 performs a file path resetting process and a file execution control process according to the transmitted system call IRP_MJ_CREATE request. That is, the file generation management sub unit resets the file path by converting the file path into the destination path when the object path, that is, the file path is the path corresponding to the target path in the reparsing point policy. At this time, the file redirection policy converts the file path with respect to the accessing object based on the process identification accessing the object. You can also block the execution of a file if the file path is the destination path and executes.

이와 같이 구성된 본 발명에 따른 수집단(130)의 데이터 구조는 아래의 [표1]과 같다.The data structure of the collection stage 130 according to the present invention configured as described above is as shown in Table 1 below.

데이터 저장소Data store 설명Explanation 저장형식Save Format 서브부Serve 설치환경Installation environment 설정경로를 저장Save setting path 레지스트리Registry
SecureFS 관리
SecureFS Management
운영모드Operating mode 운영 모드를 저장Save operating mode 레지스트리Registry Reparsing Point 정책 Reparsing Point Policy Reparsing Point 정책 목록Reparsing Point Policy List 파일 DBFile DB 위반 로그 데이터Violation log data 위반 감사기록 데이터를 저장Save violation audit record data 파일 DBFile DB 감사관리
Audit Management
생성 파일 데이터Generate file data 생성 파일 데이터를 저장Save generated file data 파일 DBFile DB Reparsing Point 테이블 Reparsing Point Table Reparsing Point 정책을 관리 Manage Reparsing Point Policies 커널메모리Kernel memory

커널관리

Kernel Management
프로세스 테이블Process table 프로세스 정보를 관리Manage process information 커널메모리Kernel memory 위반 로그 테이블Violation log table 위반 로그를 관리Manage violation logs 커널메모리Kernel memory 셍상 파일 테이블Sangsang file table 생성 파일 데이터를관리Manage generated file data 커널메모리Kernel memory

그리고 상기 수집단(130)의 프로세스 테이블은, SecureFS 드라이버 모듈(150)이 운영체제에 탑재되었을 때는 프로세스 테이블이 존재하지 않는다. 따라서 SecureFS 관리 서브부가 아래의 [표2]와 같은 구조로 이루어진 프로세스 테이블을 제어시스템 콜을 사용하여 커널관리 서브부(151a,b)로 전달해주어야 한다. 그 후에는 프로세스 생성/삭제 Callback 함수를 통하여 프로세스 정보를 받는다. 프로세스가 생성되는 시점에 프로세스 테이블에 저장한다. 프로세스 소멸 시에는 프로세스 정보가 테이블에서 삭제된다.The process table of the collection unit 130 does not have a process table when the SecureFS driver module 150 is mounted in the operating system. Therefore, SecureFS management sub-parts must deliver the process table with the structure as shown in [Table 2] below to kernel management sub-parts 151a, b using control system calls. After that, process information is received through the process creation / deletion callback function. When the process is created, it is stored in the process table. When the process is destroyed, the process information is deleted from the table.

FieldField typetype 설명Explanation hProcIDhProcID pid_t (8Bytes)pid_t (8Bytes) process idprocess id hParentIDhParentID pid_t (8Bytes)pid_t (8Bytes) parent process idparent process id acProcNameacProcName char [32] char [32] 프로세스 명Process name

또한, Reparsing Point 정책 DB 등은 커널 메모리 상에 저장되어 파일생성관리 서브부(152)에서 이를 참조한다. 아래 [표 3]은 Reparsing Point 테이블 구조에 대한 표이다.In addition, the Reparsing Point policy DB is stored in the kernel memory and referred to by the file generation management subunit 152. [Table 3] below is the table of Reparsing Point table structure.

FieldField typetype 설명Explanation dwIDdwID ULONG (4)ULONG (4) Rule ID (Max : 16)Rule ID (Max: 16) dwLastCompdwLastComp ULONG (4)ULONG (4) 하위 폴더 적용 여부
(TRUE : 하위 폴더 적용)
(FALSE : 현재 폴더만 적용)Whether to apply subfolders
(TRUE: Apply subfolder)
(FALSE: Current folder only) dwReserveddwReserved ULONG (4)ULONG (4) ReservedReserved dwProcLendwProcLen ULONG (4)ULONG (4) 프로세스명 LengthProcess name Length dwPathLendwPathLen ULONG (4)ULONG (4) 대상 경로명 LengthDestination Path Name Length dwReparseLendwReparseLen ULONG (4)ULONG (4) 목적 경로명 LengthDestination Path Name Length acProcNameacProcName char [256]char [256] 프로세스 명Process name acPathacPath char [256]char [256] 대상 경로Destination path acReparsePathacReparsePath char [256]char [256] 목적 경로Destination path

이처럼, 본 발명은 Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈(140) 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈(150)을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있다. As described above, the present invention processes the process policy and list of the object to be reparsed, processes the request and setting of the operating environment, and processes the process information setting before the driver is started, and the SecureFS management module 140 and the object to be reparsed. By including the SecureFS driver module 150 for converting the destination path of the destination path, processing the access control function for the execution operation of the reparsing destination path, and managing data, it collects malicious code that may pose a critical threat early, Corresponding signatures can be generated / distributed from the analyzed results to prevent cyber attacks in advance.

이상에서 설명한 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 당해 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 수 있을 것이다.Although the preferred embodiments of the present invention described above have been described in detail, those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom.

따라서, 본 발명의 권리 범위는 개시된 실시예에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변경 및 개량 형태 또는 본 발명의 권리 범위에 속하는 것으로 보아야 할 것이다. Accordingly, the scope of the present invention should not be limited to the disclosed embodiments but should be regarded as belonging to various modifications and improvements of those skilled in the art using the basic concept of the present invention as defined in the following claims, or the scope of the present invention. .

100 : 악성코드 자동 수집 시스템
110 : 악성코드 경유/유포지 탐지 시스템
120 : 관리단 130 : 수집단
140 : SecureFS 관리 모듈 150 : SecureFS 드라이버 모듈
160 : 악성코드 자동 분석 시스템100: Automatic malware collection system
110: malicious code via / dissemination system
120: management group 130: collection
140: SecureFS management module 150: SecureFS driver module
160: Automatic Malware Analysis System

Claims (5)

악성코드 자동 수집 시스템에 있어서,
악성코드 경유/유포지 탐지 시스템으로부터 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 URL 분석정보를 추출하고 추출된 정보를 관리저장하는 관리단과;
상기 관리단으로부터 생성된 파일 및 파일 정보를 수집하는 수집단;을 포함하여 구성되며,
상기 수집단은, Reparsing 대상객체의 프로세스 정책 및 목록 처리하고, 운영환경의 조회 및 설정을 요청 처리하며, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하는 SecureFS 관리 모듈 및 상기 Reparsing 대상객체의 목적 경로를 변환하고 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대한 접근통제 기능을 처리하며, 데이터를 관리하는 SecureFS 드라이버 모듈을 포함하며,
상기 SecureFS 관리 모듈은, 상기 Reparsing할 대상객체의 경로와 목적 경로 및 프로세스 정책의 조회, 추가, 수정, 삭제 요청을 처리하는 Reparse point 정책관리하고, 운영 환경의 조회 및 설정 요청을 처리하고, 드라이버가 시작되기 이전의 프로세스 정보 설정을 처리하며 기 SecureFS 관리 모듈 드라이버를 구동시키는 SecureFS 관리 서브부를 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
In the automatic malware collection system,
A management unit which receives URL analysis and distribution lists detected from the malware detection system and distribution site and the unanalyzed list, extracts URL analysis information, and manages and stores the extracted information;
It is configured to include; and a collection stage for collecting files and file information generated from the management stage,
The collection unit processes a process policy and a list of a reparsing target object, processes an inquiry and setting of an operating environment, and processes a process information setting before a driver is started, and a destination path of the reparsing target object. It includes a SecureFS driver module for converting and processing the access control function for the execution operation of the reparsing destination path, and manages the data,
The SecureFS management module manages a reparse point policy for processing a query, add, modify, and delete a request for a path, a target path, and a process policy of a target object to be reparsed, and processes a query and a setup request for an operating environment. An automatic malware collection system, comprising a SecureFS management sub-unit that processes process information settings before starting and drives the existing SecureFS management module driver.
삭제delete 제 1항에 있어서, 상기 SecureFS 관리 모듈은,
상기 SecureFS 관리 모듈에서 생성된 파일 정보를 수집하고 상기 SecureFS 관리 모듈에서 생성된 실행 파일 차단 로그를 수집하는 감사관리 서브부를 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
The method of claim 1, wherein the SecureFS management module,
And an audit management sub-unit configured to collect file information generated by the SecureFS management module and collect execution file blocking logs generated by the SecureFS management module.
제 1항에 있어서,
상기 SecureFS 드라이버 모듈은,
상기 Reparsing 대상객체에 대한 주체 프로세스의 읽기, 생성 및 실행 오퍼레이션에 대하여 상기 Reparsing 목적 경로로 경로를 변환하여 IO Manager로 반환함으로써, 상기 Reparsing 기능을 제공하고, 상기 Reparsing 목적 경로의 실행 오퍼레이션에 대하여 접근통제 기능을 수행하며, 상기 Reparsing 대상 목록, 프로세스 목록, 운영 모드, 위반 감사 로그, 파일 생성 정보, 파일 생성 정보 생성, 위반 감사 로그 생성 데이터를 관리하는 커널관리 서브부를 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템.
The method of claim 1,
The SecureFS driver module,
By converting the path into the reparsing destination path for the read, create and execute operations of the subject process for the reparsing target object and returning it to the IO Manager, the reparsing function is provided and the access control is executed for the execution operation of the reparsing destination path. It performs a function, malicious code, characterized in that it comprises a kernel management sub-unit for managing the reparsing target list, process list, operation mode, violation audit log, file generation information, file generation information generation, violation audit log generation data Collection system.
제 4항에 있어서,
상기 SecureFS 드라이버 모듈은,
상기 IO Manager로부터 전송받은 파일 경로를 재설정하거나 파일 실행을 차단하는 파일 생성관리 서브부를 포함하는 것을 특징으로 하는 악성코드 자동 수집 시스템.5. The method of claim 4,
The SecureFS driver module,
Automatically collect malware, characterized in that it comprises a file generation management sub-unit for resetting the file path received from the IO Manager or block file execution.
KR1020100131406A 2010-12-21 2010-12-21 Malicious code, the system automatically collects KR101234063B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100131406A KR101234063B1 (en) 2010-12-21 2010-12-21 Malicious code, the system automatically collects

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100131406A KR101234063B1 (en) 2010-12-21 2010-12-21 Malicious code, the system automatically collects

Publications (2)

Publication Number Publication Date
KR20120070021A KR20120070021A (en) 2012-06-29
KR101234063B1 true KR101234063B1 (en) 2013-02-15

Family

ID=46687979

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100131406A KR101234063B1 (en) 2010-12-21 2010-12-21 Malicious code, the system automatically collects

Country Status (1)

Country Link
KR (1) KR101234063B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101585968B1 (en) 2014-06-16 2016-01-15 주식회사 예티소프트 Apparatus for detecting a web shell and method for controlling function execution using the same

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060133728A (en) * 2005-06-21 2006-12-27 주식회사 안철수연구소 Method and apparatus and system for cutting malicious codes
KR100688604B1 (en) * 2004-11-18 2007-03-02 고려대학교 산학협력단 Apparatus and method for intercepting malicious executable code in the network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100688604B1 (en) * 2004-11-18 2007-03-02 고려대학교 산학협력단 Apparatus and method for intercepting malicious executable code in the network
KR20060133728A (en) * 2005-06-21 2006-12-27 주식회사 안철수연구소 Method and apparatus and system for cutting malicious codes

Also Published As

Publication number Publication date
KR20120070021A (en) 2012-06-29

Similar Documents

Publication Publication Date Title
CN102413142A (en) Active defense method based on cloud platform
CN101667232B (en) Terminal credible security system and method based on credible computing
JP5144488B2 (en) Information processing system and program
CN103020524A (en) Computer virus monitoring system
CN108121914A (en) A kind of document, which is divulged a secret, protects tracing system
CN104392176A (en) Mobile terminal and method for intercepting device manager authority thereof
JP2017527864A (en) Patch file analysis system and analysis method
CN103473501B (en) A kind of Malware method for tracing based on cloud security
CN101877039A (en) Fault detection technology of server operating system
CN104270467A (en) Virtual machine managing and controlling method for mixed cloud
CN102882875B (en) Active defense method and device
CN103049695A (en) Computer virus monitoring method and device
US20160371492A1 (en) Method and system for searching and killing macro virus
KR101068931B1 (en) Web Shell Monitoring System and Method based on Pattern Detection
CN104881483B (en) Automatic detection evidence collecting method for the attack of Hadoop platform leaking data
CN110688653A (en) Client security protection method and device and terminal equipment
JP2013257773A (en) Monitoring device and monitoring method
US20060015939A1 (en) Method and system to protect a file system from viral infections
CN103001937B (en) The system and method for isolated island formula Ethernet defence mobile memory medium virus
CN103430153B (en) Inoculator and antibody for computer security
KR101234066B1 (en) Web / email for distributing malicious code through the automatic control system and how to manage them
CN116708033B (en) Terminal security detection method and device, electronic equipment and storage medium
KR101234063B1 (en) Malicious code, the system automatically collects
CN105893376A (en) Database access supervision method
CN105791221B (en) Rule issuing method and device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee