KR101234066B1 - 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법 - Google Patents
웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법 Download PDFInfo
- Publication number
- KR101234066B1 KR101234066B1 KR1020100131412A KR20100131412A KR101234066B1 KR 101234066 B1 KR101234066 B1 KR 101234066B1 KR 1020100131412 A KR1020100131412 A KR 1020100131412A KR 20100131412 A KR20100131412 A KR 20100131412A KR 101234066 B1 KR101234066 B1 KR 101234066B1
- Authority
- KR
- South Korea
- Prior art keywords
- malicious code
- automatic
- malware
- management
- url
- Prior art date
Links
- 238000007726 management method Methods 0.000 claims abstract description 99
- 238000004458 analytical method Methods 0.000 claims abstract description 83
- 238000001514 detection method Methods 0.000 claims abstract description 45
- 208000015181 infectious disease Diseases 0.000 claims abstract description 29
- 230000003068 static effect Effects 0.000 claims abstract description 12
- 238000000034 method Methods 0.000 claims abstract description 10
- 230000004044 response Effects 0.000 claims description 17
- 238000013515 script Methods 0.000 claims description 10
- 230000009193 crawling Effects 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 5
- 238000011084 recovery Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 3
- 230000007480 spreading Effects 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000002498 deadly effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/60—Business processes related to postal services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Information Transfer Between Computers (AREA)
Abstract
본 발명은 악성코드 자동 관리 시스템에 있어서, 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 감염 PC 자동 분석 시스템; 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 악성코드 경유/유포지 탐지 시스템; 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템; 및 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 악성코드 자동 분석 시스템;을 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템을 제공한다.
또한, 본 발명은 악성코드 자동 관리방법에 있어서, 감염 PC 자동 분석 시스템이 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 단계; 악성코드 경유/유포지 탐지 시스템이 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 단계; 관리모듈 및 수집모듈을 구비한 악성코드 자동 수집 시스템이 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계; 및 악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계;를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법을 제공한다.
또한, 본 발명은 악성코드 자동 관리방법에 있어서, 감염 PC 자동 분석 시스템이 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 단계; 악성코드 경유/유포지 탐지 시스템이 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 단계; 관리모듈 및 수집모듈을 구비한 악성코드 자동 수집 시스템이 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계; 및 악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계;를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법을 제공한다.
Description
본 발명은 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법은 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템을 포함하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법에 관한 것이다.
최근 악성코드로 인한 사이버 공격 대응 시간 단축이 되면서 사전 예방기술 확보가 필요하게 되었다. DDoS 공격, 개인정보 탈취 등 대부분의 사이버 공격에 악용되는 다양한 악성코드가 급증하고 있으며, 빈번히 발생하는 협박형 DDoS 공격 및 침해사고에서 볼 수 있듯이 그로 인한 피해가 점차 커지고 있는 상황인 것을 알 수가 있다.
따라서, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하는 기술을 통해 사이버 공격을 사전에 예방할 수 있는 시스템 구축이 필요한 문제점이 있다.
따라서, 본 발명은 종래 기술에 제기된 문제점을 해결하기 위한 것으로, 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법을 제공하는데 그 목적이 있다.
상기의 목적을 달성하기 위한 본 발명은 악성코드 자동 관리 시스템에 있어서, 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 감염 PC 자동 분석 시스템; 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 악성코드 경유/유포지 탐지 시스템; 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템; 및 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 악성코드 자동 분석 시스템;을 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템을 제공한다.
또한, 상기 관리모듈은, 악성코드 자동 수집을 위해 EML 로그를 분석하고, 검색엔진을 연동하고, URL 블랙 리스트를 수집하는 Seed URL 수집부; 상기 URL 중복과 통계를 관리하는 URL 큐관리부; HTTP Request 생성 및 Response 다운로드, HTML Document 추출 및 분석, 스크립트 난독화를 검사하는 웹 컨텐츠 크롤링부; 및상기 웹 컨텐츠 크롤링부로부터 의심 URL 분석 결과를 저장하고 조회하는 제 1 DB 관리부;를 포함할 수 있다.
또한, 상기 관리모듈은, 관리 UI으로부터 가상 머신 복구 요청을 받아 게스트 OS Rever로 복구하는 가상 머신 제어부; 관리 UI으로부터 F/W 정책 조회, 변경 제어를 관리하는 F/W 관리부; 및 정책관리 UI를 통해 상기 Seed URL 수집부, URL 큐관리부, 웹 컨텐츠 크롤링부의 설정을 조회하고 변경하는 설정관리부;를 포함할 수 있다.
또한, 상기 수집모듈은, 상기 관리모듈로부터 의심 URL 정보를 주기적으로 HTTP로 전송받는 통신관리부; Secure FS 파일을 추가, 삭제, 복사, 조회하는 Secure FS 관리부; 상기 Secure FS 관리부의 초기화, URL 로딩 실행, 정보를 공유하는 URL 로딩 실행부; 상기 URL 로딩 실행부로부터 분석된 결과를 저장, 조회하는 제 2 DB 관리부; 상기 URL 로딩 실행부로부터 출력된 스크립트 함수 및 COM Object를 후킹하는 후킹 DLL부; 상기 후킹 DLL부로부터 후킹된 데이터를 수신받아 페이지 리다이렉션 및 악성 Active X를 분석하는 결과 분석부; 및 IRP 후커를 통해 IRP MSG 수신받아 분석하고, PID를 관리하는 IRP MSG 후커부;를 포함할 수 있다.
상기의 목적을 달성하기 위한 본 발명은 악성코드 자동 관리방법에 있어서,감염 PC 자동 분석 시스템이 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 단계; 악성코드 경유/유포지 탐지 시스템이 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 단계; 관리모듈 및 수집모듈을 구비한 악성코드 자동 수집 시스템이 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계; 및 악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계;를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법을 제공한다.
또한, 악성코드 자동 수집 시스템이 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계는, (a)상기 악성코드 경유/유포지 탐지 시스템이 상기 악성코드 자동 수집 시스템에 악성 웹사이트 방문을 요청하는 단계; (b) 상기 악성코드 수집 시스템은 해당 URL 조회하고 그 결과를 반환하여 상기 악성코드 경유/유포지 탐지 시스템에 방문 요청을 응답하는 단계; (c) 상기 악성코드 자동 수집 시스템의 관리모듈은 상기 수집모듈에 방문처리 결과를 전송하는 단계; 및 (d) 상기 악성코드 경유/유포지 탐지 시스템은 상기 악성코드 자동 수집 시스템에 방문결과를 요청하는 단계;로 이루어질 수 있다.
또한, 악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계는, (a) 상기 악성코드 자동 분석 시스템은 의심 URL 분석하는 단계; (b) 의심 URL 분석 결과를 DB에 저장하는 단계; (c) 생성파일이 존재하는지 여부를 판단하는 단계; (d) 생성파일 존재시 생성 파일 및 파일 정보를 저장하는 단계; (e) 생성 파일 정보를 XML 파일로 작성하는 단계; 및 (f) XML 파일로 작성된 수집 파일을 상기 분석하는 단계;로 이루어질 수 있다.
이상에서, 본 발명은 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템에 대한 구성도이다.
도 2는 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템에 채용되는 관리모듈에 대한 세부 구성도이다.
도 3은 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템에 채용되는 수집모듈에 대한 세부 구성도이다.
도 4는 본 발명의 실시에에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법에 대한 순서도이다.
도 5은 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법에서 악성코드 자동 수집 시스템과 악성코드 경유/유포지 탐지 시스템에 대한 연동 흐름도이다.
도 6는 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법에서 악성코드 자동 분석 시스템에 대한 연동 흐름도이다.
도 2는 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템에 채용되는 관리모듈에 대한 세부 구성도이다.
도 3은 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템에 채용되는 수집모듈에 대한 세부 구성도이다.
도 4는 본 발명의 실시에에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법에 대한 순서도이다.
도 5은 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법에서 악성코드 자동 수집 시스템과 악성코드 경유/유포지 탐지 시스템에 대한 연동 흐름도이다.
도 6는 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법에서 악성코드 자동 분석 시스템에 대한 연동 흐름도이다.
본 발명에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법에 대한 기술적 구성을 비롯한 작용효과에 관한 사항은 본 발명의 바람직한 실시예가 도시된 도면을 참조하여 아래의 상세한 설명에 의해서 명확하게 이해될 것이다.
웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템
도 1 내지 도 3을 참조하여 설명하면, 본 발명은 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템(100)은 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 감염 PC 자동 분석 시스템(110), 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 악성코드 경유/유포지 탐지 시스템(120), 상기 감염 PC 자동 분석 시스템(110)으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈(140) 및 상기 관리모듈(140)로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈(150)을 구비하는 악성코드 자동 수집 시스템(130) 및 상기 악성코드 자동 수집 시스템(130)과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 악성코드 자동 분석 시스템(170)을 포함하여 이루어질 수 있다.
상기 감염 PC 자동 분석 시스템(110)은 악성코드 감염 PC에 설치되어, 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하고, 수집된 악성코드를 악성코드 자동 수집 시스템(130)으로 전송할 수 있다.
상기 악성코드 경유/유포지 탐지 시스템(120)은 악성코드 경유/유포지 탐지 시그니처를 이용하여, 경유/유포지를 탐지하는 시스템으로 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 주기적으로 악성코드 자동 수집 시스템(130)으로 전송할 수 있다.
상기 악성코드 자동 수집 시스템(130)은 상기 감염 PC 자동 분석 시스템(110)으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받을 수 있다.
그리고 상기 악성코드 자동 수집 시스템(130)은 상기 경유/유포지 리스트 및 미 분석 리스트를 관리 저장하는 관리모듈(140) 및 상기 관리모듈(140)로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈(150)을 구비하고 있다. 또한, 상기 악성코드 자동 수집 시스템(130)은 관리 수집된 정보를 악성코드 DB(160)에 전송한다.
상기 관리모듈(140)은 악성코드 자동 수집을 위한 Seed URL 수집, 분석을 통해 의심 URL 선별하고, 웹 컨텐츠 크롤링을 위한 설정, 검사 결과 기준 변경 기능 및 수집 시스템 관리를 위한 UI를 제공하며, 수집 시스템 제어를 위해 VMWare API를 사용한다.
보다 자세하게 설명하면 도 2에 도시된 바와 같이 관리모듈(140)은 Seed URL 수집부(141), URL 큐관리부(142), 웹 컨텐츠 크롤링부(143), 제 1 DB 관리부(144), 가상 머신 제어부(145), F/W 관리부(146), 설정관리부(147)로 구성될 수 있다.
상기 Seed URL 수집부(141)는 악성코드 자동 수집을 위해 EML 로그를 분석하고, 검색엔진을 연동하고, URL 블랙 리스트를 수집할 수 있다. 이때, 상기 Seed URL 수집부는 시작 시점에 설정 파일을 참고하여, EML 로그 저장 경로, 검색 주기, 검색 Keyword, 블랙 리스트 도메인 목록 등과 같은 설정 파일을 읽는다. 또한, 검색 엔진 연동은 키워드 별 검색 엔진 응답 결과 중 중복 URL을 제거하고 URL 큐 관리부(142)에 저장할 수 있다.
상기 URL 큐관리부(142)는 상기 URL 중복과 통계를 관리할 수 있다. 이때, 상기 URL 큐관리부는 URL 큐는 파일, DB, 메모리 등과 같은 다양한 저장 공간에 구현 가능하며, 구현 및 상세 설계에서 구체화 예정이다.
그리고 상기 URL 큐관리부(142)는 URL 개채 확인을 통해 Seed URL 수집모듈과 연동되고 수집되어진 URL의 값이 실제 웹 페이지의 URL인지 다운받을 파일의 URL인지 판단하며, 다운 받을 파일인 경우 해당 URL값과 파일을 DB에 저장할 수 있다. 또한, 상기 URL 큐관리부 URL 중복 조회를 통해 URL 개채 확인을 통과한 URL은 설정된 중복 금지 Time 동안 중복이 되는지 체크한 다음 중복이 없는 URL에 대해서만 URL 큐에 저장하고 URL 추출을 통해 상기 웹 컨텐츠 크롤링부(143)로부터 URL 조회 요청을 수신 한뒤, URL 큐에 저장된 URL을 삭제 후 상기 웹 컨텐츠 크롤링부(143)에 전달할 수 있다.
상기 웹 컨텐츠 크롤링부(143)는 HTTP Request 생성 및 Response 다운로드, HTML Document 추출 및 분석, 스크립트 난독화를 검사할 수 있다. 이때, 상기 웹 컨텐트 크롤링부(143)는 HTTP Request 생성을 통해 URL 큐 관리모듈로부터 전달 받은 URL을 이용하여, HTTP Request 생성하고, HTTP Request의 User-Agent정보는 설정 정보를 이용하며, 생성된 HTTP Request 정보는 HTTP Request 전송 및 Response 수신으로 전달할 수 있다. 그리고 상기 웹 컨텐츠 크롤링부(143)는 HTTP Request 전송 및 Response 수신을 통해 생성된 HTTP Request를 해당 URL로 전송하고, URL로부터 HTTP Response 수신 후 응답 코드 분석하며, 응답코드가 302 (리다이렉트)일 경우, HTTP Request의 Reffer 정보를 설정한 다음 HTTP Request 재송신하고 응답 코드가 200일 경우, HTTP Response를 HTML Document 추출 & 분석으로 전달할 수 있다. 상기 웹 컨텐츠 크롤링부는 HTTP Document 추출 & 분석을 통해 HTTP Response로부터 HTML Document 추출 및 분석하고, HTML Document에 Hidden Iframe이 존재할 경우, 의심 URL로 DB에 저장할 수 있다. 이때, 상기 Hidden IFrame 정의는 <iframe src=http://www.kisa.or.kr width=0 height=0>, </iframe> <iframe src=http://www.kisa.or.kr width=1 height=0></iframe>, <iframe src=http://www.kisa.or.kr width=0% height=1%></iframe>, <iframe src=“http://www.kisa.or.kr” width=150 height=100 style=“display:none;”></iframe>, src 값이 External site일 경우만 Hidden iframe으로 간주, width값과 height값의 곱이 0인 경우 Hidden iframe으로 간주할 수 있다.
그리고 상기 웹 컨텐츠 크롤링부(143)는 HTML Document에 JavaScript 태그가 존재할 경우, HTML 문서 전체, 웹 문서안의 JavaScript 전체와 각 JavaScript 블록 별 스크립트 난독화 검사가 이루어지고, 스크립트가 난독화 되어 있을 경우, 의심 URL로 DB에 저장하며,자바스크립트 난독화와 Hidden iframe의 결과는 동일한 레벨에서 점검될 수 있다.
이때, 상기 스크립트 난독화 강도 검사는 자바스크립트, 사용된 문자, 함수와 변수 이름 Entropy를 통해 JavaScript 전체 Entropy, JavaScript Block 평균 Entropy 측정하여 기준 값과 비교하여 악성 난독화 의심 웹사이트 판별하고, 사용된 문자를 기준으로 특수문자, 비특수문자의 각 Entropy를 구하여 측정값 그 차이를 이용하여 악성 난독화 의심 웹사이트 판별하고, 변수와 함수 이름 평균 Entropy를 측정하여 판별하는데 단, 변수와 함수 이름의 크기가 3이상인 경우 점검한다. (사이즈가 1또는 2인 경우 점검 시 무의미한 데이터 과잉 현상이 발생, 예. 분기문, 반복문등에 사용되는 변수 크기는 대부분 2이하의 크기를 보임) 그리고 특정 문자와 특정 함수 발생 빈도를 통해 난독화 해독에 사용되는 특정 함수(Substring, fromCharCode, eval, setTimeout, document.write, document.createElement, replace)의 발생 빈도를 점검하여 악성 난독화 의심 웹사이트 판별하며, 특정 문자를 이용하여 다른 방식으로 표현하는 Encoding Mark의 발생 빈도를 측정하여 높은 수치를 보이는 경우 난독화로 판별하고, % 문자의 사용 빈도를 측정하여 일정 값 이상일 경우 난독화로 판별할 수 있다. 그리고 단일 문자열 최대 길이를 통해 문자 구분자( (,),{,},[,],“,‘ 등)를 중심으로 단일 문자열 길이를 측정하여 문자열의 길이가 200이상일 경우 난독화 되었다고 판단하는데 이때, 단일 문자열 중 HTTP 링크에 포함된 문자열은 단일 문자열에 포함하지 않는다.
상기 제 1 DB 관리부(144)는 상기 웹 컨텐츠 크롤링부(143)로부터 의심 URL 분석 결과를 저장하고 조회한다.
상기 가상 머신 제어부(145)는 관리 UI으로부터 가상 머신 복구 요청을 받아 게스트 OS Rever로 복구할 수 있다. 상기 가상 머신 제어부(145)는 관리 UI로부터 가상 머신 복구 요청을 수신 받아 원격에 존재하는 악성코드 수집 시스템 복구(Revert)하고 원격 가상 머신 제어를 위해 VMWare API 사용하며, 가상머신 복구 요청 수신 시 전달 받은 IP 주소를 이용하여, 원격 제어를 수행할 수 있다.
상기 F/W 관리부(146)는 관리 UI으로부터 F/W 정책 조회, 변경 제어를 관리할 수 있다. 상기 F/W 관리부(146)는 관리 UI로부터 등록된 수집시스템 정보 수정 요청을 수신하여, 수정 요청에 포함된 수집시스템의 IP주소를 F/W 정책에 반영하고 F/W 설정 파일 변경 후 F/W 제어를 통해 F/W 재시작함으로써, F/W 정책을 수정할 수 있다. 또한, 상기 F/W 관리부(146)는 설치된 F/W에 따라 재시작 기능을 구현함으로써 F/W 제어할 수 있다.
상기 설정 관리부(147)는 정책관리 UI를 통해 상기 Seed URL 수집부(141), URL 큐관리부(142), 웹 컨텐츠 크롤링부(143)의 설정을 조회하고 변경할 수 있다.
상기 수집모듈(150)은 상기 관리모듈(140)로 의심 URL(분석 대상) 정보를 주기적으로 조회하고, 응답 받은 의심 URL을 웹 브라우저를 이용하여 직접 방문 후 악성코드를 수집하며, 수집된 악성코드는 HTTP를 통해 관리 시스템으로 업로드하고 수집 시스템은 VMWare ESX와 의심 URL 방문을 담당하는 게스트 OS로 구성할 수 있다.
보다 자세하게 설명하면 도 3에 도시된 바와 같이 상기 수집모듈(150)은 통신관리부(151), Secure FS 관리부(152), URL 로딩 실행부(153), 제 2 DB 관리부(154), 후킹 DLL부(155), 결과 분석부(156), IRP MSG 후커부(157)로 구성될 수 있다.
상기 통신관리부(151)는 상기 관리모듈(140)로부터 의심 URL 정보를 주기적으로 HTTP로 전송받는다.
상기 Secure FS 관리부(152)는 Secure FS 파일을 추가, 삭제, 복사, 조회할 수 있다. 상기 Secure FS 관리부(152)는 상기 URL 로딩 실행부(153)로부터 Secure FS 초기화 요청을 수신하고, 생성된 파일이 존재할 경우 상기 통신 관리부를 통해 관리모듈로 전송하며, URL 로딩 실행부(153)로부터 SecureFS초기화 요청 수신받으며, SecureFS 에 생성된 파일이 존재하는지 체크하고, 생성된 파일이 있을 경우 기존 NTFS로 복사 후 업로드할 수 있다.
상기 URL 로딩 실행부(153)는 상기 Secure FS 관리부(152)의 초기화, URL 로딩 실행, 정보를 공유할 수 있다. 상기 URL 로딩 실행부(153)는 시작 프로그램으로 등록되어 시스템 부팅 시 자동 실행되며, 초기화를 통해 웹브라우저, SecureFS 관리 실행을 담당하고, 실행 중인 웹브라우저에 후킹 DLL 삽입(Injection)한다, 그리고 상기 URL 로딩 실행부(153)는 정보공유를 통해 초기화에서 실행한 웹브라우저와 SecureFS의 프로세스 ID 정보를 상기 IRP MSG 후커부(157)로 전달하고 PID 정보 공유는 미리 정의된 공유 메모리 주소를 이용한다. 그리고 상기 URL 로딩 실행부(153)는 URL 정보 로딩&실행을 통해 상기 관리모듈(140)로부터 의심 URL을 전달받아, 실행 중인 브라우저(IE)에 실행하여 분석 완료 메시지 수신을 위해 Timer 및 이벤트 수신 대기하고 분석 완료 후 분석 URL 정보 저장할 수 있다. 그리고 상기 URL 로딩 실행부(153)는 Timer를 통해 설정된 시간 동안 분석 완료 메시지 수신을 대기하고 타이머 설정 시간 분석 완료 메시지를 수신하지 못했을 경우, 해당 URL 분석 실패로 분석 결과 저장하며, 이벤트 수신을 통해 결과 분석 모듈로부터 URL 분석 완료 메시지 수신 대기할 수 있다.
상기 제 2 DB 관리부(154)는 상기 URL 로딩 실행부(153)로부터 분석된 결과를 저장, 조회할 수 있으며, 상기 후킹 DLL부(155)는 상기 URL 로딩 실행부(153)로부터 출력된 스크립트 함수 및 COM Object를 후킹할 수 있다.
상기 결과 분석부(156)는 상기 후킹 DLL부(155)로부터 후킹된 데이터를 수신받아 페이지 리다이렉션 및 악성 Active X를 분석할 수 있다. 상기 결과 분석부(156)는 후킹 결과 분석을 통해 후킹 DLL부로터 후킹 결과를 수신하고 CoCreateinstance API 후킹 결과는 CLSID 값을 취약 ActiveX 여부 분석으로 전달하며, Eval, Document.write, Document.writeln, appendChild 후킹 결과는 페이지 리다이렉션 분석으로 전달할 수 있다. 그리고 상기 결과 분석부(156)는 취약 ActiveX 여부 분석을 통해 상기 후킹 DLL부(155)로부터 수신한 CLSID와 killbit리스트의 CLSID 비교하며, 동일 CLSID를 보유한 경우 악성 URL로 판단하고, 분석 결과 이벤트 생성 후 전송할 수 있다. 그리고 상기 결과 분석부(156)는 페이지 리다이렉션 분석을 통해 후킹 DLL부(155)로부터 수신한 동적 생성 스크립트에 iframe 포함 여부를 분석하고, iframe이 포함된 경우 악성 URL로 판단하고, 분석 결과 이벤트 생성 후 전송할 수 있다.
상기 IRP MSG 후커부(157)는 IRP 후커를 통해 IRP MSG 수신받아 분석하고, PID를 관리할 수 있다. 이때, 상기 IRP MSG 후커부(157)는 Filter Manager로부터 IRP 메시지를 수신받을 수 있다. 그리고 상기 IRP MSG 후커부(157)는 수신받은 IRP 메시지 분석을 통해 IRP 메시지의 PID 값과 PID 매니저에서 관리하는 브라우저, SecureFS 관리 PID 리스트와 비교하고 브라우저로부터의 파일 생성 IRP 메시지는 SecureFS로 리다이렉하며, 브라우저로부터의 파일 읽기 IRP 메시지는 NTFS IRP 메시지는 기존 NTFS의 파일 읽기만 허용할 수 있다.
상기 악성코드 자동 분석 시스템(170)은 악성코드 자동 분석 시스템은 수집된 악성코드 정보를 주기적으로 전달 받아 정적/동적 분석을 수행할 수 있다. 또한, 상기 악성코드 자동 분석 시스템(170)은 분석된 정보를 악성코드 DB(160)에 전송한다.
웹/이메일을 통해 유포되는 악성코드 자동 관리방법
도 4 내지 도 6을 참조하여 설명하면, 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법은 앞서 설명한 도 1 내지 도 3과 같은 구성으로 이루어진 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템(100)을 통한 관리 방법으로 이하 중복되는 설명은 생략한다.
먼저, 감염 PC 자동 분석 시스템(110)이 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행한다.(S100)
다음으로 악성코드 경유/유포지 탐지 시스템(120)이 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지한다.(S110)
다음으로 관리모듈(140) 및 수집모듈(150)을 구비한 악성코드 자동 수집 시스템(130)이 상기 감염 PC 자동 분석 시스템(110)으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는다.(S120) 이때, 악성코드 자동 수집 시스템(130)이 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계는 도 5에 도시된 바와 같이, (a)상기 악성코드 경유/유포지 탐지 시스템(120)이 상기 악성코드 자동 수집 시스템(130)에 악성 웹사이트 방문을 요청하는 단계, (b) 상기 악성코드 수집 시스템(130)은 해당 URL 조회하고 그 결과를 반환하여 상기 악성코드 경유/유포지 탐지 시스템(120)에 방문 요청을 응답하는 단계, (c) 상기 악성코드 자동 수집 시스템(130)의 관리모듈(140)은 상기 수집모듈(150)에 방문처리 결과를 전송하는 단계 및 (d) 상기 악성코드 경유/유포지 탐지 시스템(120)은 상기 악성코드 자동 수집 시스템에 방문결과를 요청하는 단계로 이루어질 수 있다.
다음으로 악성코드 자동 분석 시스템(170)이 상기 악성코드 자동 수집 시스템(130)과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행한다.(S130) 이때, 상기 악성코드 자동 분석 시스템(170)이 상기 악성코드 자동 수집 시스템(130)과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계는 (a) 상기 악성코드 자동 분석 시스템(170)은 의심 URL 분석하는 단계, (b) 의심 URL 분석 결과를 DB에 저장하는 단계, (c) 생성파일이 존재하는지 여부를 판단하는 단계, (d) 생성파일 존재시 생성 파일 및 파일 정보를 저장하는 단계, (e) 생성 파일 정보를 XML 파일로 작성하는 단계 및 (f) XML 파일로 작성된 수집 파일을 상기 분석하는 단계로 이루어질 수 있다.
이처럼, 본 발명은 감염 PC 자동 분석 시스템(110)으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈(140) 및 상기 관리모듈(140)로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈(150)을 구비하는 악성코드 자동 수집 시스템(130)을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있다.
이상에서 설명한 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 당해 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 수 있을 것이다.
따라서, 본 발명의 권리 범위는 개시된 실시예에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변경 및 개량 형태 또는 본 발명의 권리 범위에 속하는 것으로 보아야 할 것이다.
100 : 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템
110 : 감염 PC 자동 분석 시스템
120 : 악성코드 경유/유포지 탐지 시스템
130 : 악성코드 자동 수집 시스템
140 : 관리모듈 150 : 수집모듈
160 : 악성코드 DB
170 : 악성코드 자동 분석 시스템
110 : 감염 PC 자동 분석 시스템
120 : 악성코드 경유/유포지 탐지 시스템
130 : 악성코드 자동 수집 시스템
140 : 관리모듈 150 : 수집모듈
160 : 악성코드 DB
170 : 악성코드 자동 분석 시스템
Claims (7)
- 악성코드 자동 관리 시스템에 있어서,
악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 감염 PC 자동 분석 시스템;
악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 악성코드 경유/유포지 탐지 시스템;
상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템; 및
상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 악성코드 자동 분석 시스템을 포함하여 구성되며,
상기 관리모듈은,
악성코드 자동 수집을 위해 EML 로그를 분석하고, 검색엔진을 연동하고, URL 블랙 리스트를 수집하는 Seed URL 수집부,
상기 URL 중복과 통계를 관리하는 URL 큐관리부,
HTTP Request 생성 및 Response 다운로드, HTML Document 추출 및 분석, 스크립트 난독화를 검사하는 웹 컨텐츠 크롤링부 및
상기 웹 컨텐츠 크롤링부로부터 의심 URL 분석 결과를 저장하고 조회하는 제 1 DB 관리부를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템.
- 삭제
- 제 1항에 있어서,
상기 관리모듈은,
관리 UI으로부터 가상 머신 복구 요청을 받아 게스트 OS Rever로 복구하는 가상 머신 제어부;
관리 UI으로부터 F/W 정책 조회, 변경 제어를 관리하는 F/W 관리부; 및
정책관리 UI를 통해 상기 Seed URL 수집부, URL 큐관리부, 웹 컨텐츠 크롤링부의 설정을 조회하고 변경하는 설정관리부;
를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템.
- 제 1항에 있어서,
상기 수집모듈은,
상기 관리모듈로부터 의심 URL 정보를 주기적으로 HTTP로 전송받는 통신관리부;
Secure FS 파일을 추가, 삭제, 복사, 조회하는 Secure FS 관리부;
상기 Secure FS 관리부의 초기화, URL 로딩 실행, 정보를 공유하는 URL 로딩 실행부;
상기 URL 로딩 실행부로부터 분석된 결과를 저장, 조회하는 제 2 DB 관리부;
상기 URL 로딩 실행부로부터 출력된 스크립트 함수 및 COM Object를 후킹하는 후킹 DLL부;
상기 후킹 DLL부로부터 후킹된 데이터를 수신받아 페이지 리다이렉션 및 악성 Active X를 분석하는 결과 분석부; 및
IRP 후커를 통해 IRP MSG 수신받아 분석하고, PID를 관리하는 IRP MSG 후커부;
를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템.
- 악성코드 자동 관리방법에 있어서,
감염 PC 자동 분석 시스템이 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 단계;
악성코드 경유/유포지 탐지 시스템이 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 단계;
관리모듈 및 수집모듈을 구비한 악성코드 자동 수집 시스템이 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계; 및
악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계를 포함하여 이루어지며,
상기 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계는,
(a)상기 악성코드 경유/유포지 탐지 시스템이 상기 악성코드 자동 수집 시스템에 악성 웹사이트 방문을 요청하는 단계;
(b) 상기 악성코드 수집 시스템은 해당 URL 조회하고 그 결과를 반환하여 상기 악성코드 경유/유포지 탐지 시스템에 방문 요청을 응답하는 단계;
(c) 상기 악성코드 자동 수집 시스템의 관리모듈은 상기 수집모듈에 방문처리 결과를 전송하는 단계; 및
(d) 상기 악성코드 경유/유포지 탐지 시스템은 상기 악성코드 자동 수집 시스템에 방문결과를 요청하는 단계를 포함하여 구성되는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법.
- 삭제
- 제 5항에 있어서,
악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계는,
(a) 상기 악성코드 자동 분석 시스템은 의심 URL 분석하는 단계;
(b) 의심 URL 분석 결과를 DB에 저장하는 단계;
(c) 생성파일이 존재하는지 여부를 판단하는 단계;
(d) 생성파일 존재시 생성 파일 및 파일 정보를 저장하는 단계;
(e) 생성 파일 정보를 XML 파일로 작성하는 단계; 및
(f) XML 파일로 작성된 수집 파일을 상기 분석하는 단계;
로 이루어지는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100131412A KR101234066B1 (ko) | 2010-12-21 | 2010-12-21 | 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100131412A KR101234066B1 (ko) | 2010-12-21 | 2010-12-21 | 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20120070025A KR20120070025A (ko) | 2012-06-29 |
| KR101234066B1 true KR101234066B1 (ko) | 2013-02-15 |
Family
ID=46687983
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100131412A KR101234066B1 (ko) | 2010-12-21 | 2010-12-21 | 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101234066B1 (ko) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101401949B1 (ko) * | 2012-11-06 | 2014-05-30 | 한국인터넷진흥원 | 악성코드 유포지 및 경유지 주기 점검 시스템 및 방법 |
| KR101400680B1 (ko) * | 2013-03-12 | 2014-05-29 | 주식회사 윈스 | 악성코드 자동 수집 시스템 |
| KR102159399B1 (ko) * | 2013-12-03 | 2020-09-23 | 주식회사 케이티 | 웹서버 모니터링 및 악성코드 분석 장치 |
| KR101543237B1 (ko) | 2014-12-03 | 2015-08-11 | 한국인터넷진흥원 | 코드 패턴을 이용한 정적 분석과 api 흐름을 이용한 동적 분석을 통한 악성 스크립트 탐지 차단 장치, 시스템 및 방법 |
| KR102001814B1 (ko) * | 2016-12-27 | 2019-07-19 | 한국인터넷진흥원 | 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060055147A (ko) * | 2004-11-18 | 2006-05-23 | 한제헌 | 네트워크 악성실행코드 차단장치 및 방법 |
| KR20100070623A (ko) * | 2008-12-18 | 2010-06-28 | 한국인터넷진흥원 | 봇 수집ㆍ분석시스템 및 그 방법 |
-
2010
- 2010-12-21 KR KR1020100131412A patent/KR101234066B1/ko not_active IP Right Cessation
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060055147A (ko) * | 2004-11-18 | 2006-05-23 | 한제헌 | 네트워크 악성실행코드 차단장치 및 방법 |
| KR20100070623A (ko) * | 2008-12-18 | 2010-06-28 | 한국인터넷진흥원 | 봇 수집ㆍ분석시스템 및 그 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20120070025A (ko) | 2012-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Milajerdi et al. | Poirot: Aligning attack behavior with kernel audit records for cyber threat hunting | |
| US9596255B2 (en) | Honey monkey network exploration | |
| US8499283B2 (en) | Detection of scripting-language-based exploits using parse tree transformation | |
| Canali et al. | Prophiler: a fast filter for the large-scale detection of malicious web pages | |
| Egele et al. | Defending browsers against drive-by downloads: Mitigating heap-spraying code injection attacks | |
| Sukwong et al. | Commercial antivirus software effectiveness: an empirical study | |
| Kirda et al. | Noxes: a client-side solution for mitigating cross-site scripting attacks | |
| KR101514984B1 (ko) | 홈페이지 악성코드 유포 탐지 시스템 및 방법 | |
| US7287279B2 (en) | System and method for locating malware | |
| Feng et al. | Understanding and securing device vulnerabilities through automated bug report analysis | |
| Kapravelos et al. | Escape from monkey island: Evading high-interaction honeyclients | |
| Chen et al. | WebPatrol: Automated collection and replay of web-based malware scenarios | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| US20110083180A1 (en) | Method and system for detection of previously unknown malware | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| US20110219454A1 (en) | Methods of identifying activex control distribution site, detecting security vulnerability in activex control and immunizing the same | |
| Hsu et al. | Browserguard: A behavior-based solution to drive-by-download attacks | |
| US20060075468A1 (en) | System and method for locating malware and generating malware definitions | |
| Schlumberger et al. | Jarhead analysis and detection of malicious java applets | |
| Cao et al. | JShield: Towards real-time and vulnerability-based detection of polluted drive-by download attacks | |
| KR101234066B1 (ko) | 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법 | |
| JP5752642B2 (ja) | 監視装置および監視方法 | |
| US20060075490A1 (en) | System and method for actively operating malware to generate a definition | |
| KR100961149B1 (ko) | 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체 | |
| CN105791250B (zh) | 应用程序检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| LAPS | Lapse due to unpaid annual fee |