KR101296716B1 - 피디에프 문서형 악성코드 탐지 시스템 및 방법 - Google Patents
피디에프 문서형 악성코드 탐지 시스템 및 방법 Download PDFInfo
- Publication number
- KR101296716B1 KR101296716B1 KR1020110134208A KR20110134208A KR101296716B1 KR 101296716 B1 KR101296716 B1 KR 101296716B1 KR 1020110134208 A KR1020110134208 A KR 1020110134208A KR 20110134208 A KR20110134208 A KR 20110134208A KR 101296716 B1 KR101296716 B1 KR 101296716B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- javascript
- malicious code
- script
- module
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
문서 형태에 심어진 악성 코드를 효율적으로 검출하기 위한 PDF 문서형 악성코드 탐지 시스템 및 방법이 개시된다. 본 발명에 따르면, 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보를 찾아 추출하는 객체 추출 모듈; 상기 추출된 복수 개의 객체 정보에서 각 제1 자바 스크립트 정보를 병합하여 제2 자바 스크립트 정보를 생성하는 스크립트 병합 모듈; 상기 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있을 경우, 상기 난독화/인코딩된 제2 자바 스크립트 정보를 복호화/디코딩하여 제3 자바 스크립트 정보를 생성하는 난독화 해제 모듈; 상기 생성된 제3 자바 스크립트 정보를 파싱하여 악성 코드로 의심되는 함수/패턴 정보를 추출하는 스크립트 정적 모듈; 상기 함수와 패턴 정보가 포함된 제4 자바 스크립트 정보를 실행하여 악성 행위에 따른 행위 정보를 생성하는 스크립트 동적 모듈; 및 상기 악성 코드 생성 여부가 확인된 경우, 상기 행위 정보로부터 악성 코드 정보를 추출하는 악성 코드 추출 모듈;를 포함하는 PDF 문서형 악성코드 탐지 시스템이 제공된다.
이에, 본 발명은 PDF 문서내의 자바 스크립트에 대하여 동적, 정정 분석을 실행하고, PDF 문서를 실행시켜 PDF 동적 분석을 실시함으로써, PDF 문서 내부에 심어진 악성 코드에 대하여 효율적으로 추출이 가능한 효과가 달성된다.
이에, 본 발명은 PDF 문서내의 자바 스크립트에 대하여 동적, 정정 분석을 실행하고, PDF 문서를 실행시켜 PDF 동적 분석을 실시함으로써, PDF 문서 내부에 심어진 악성 코드에 대하여 효율적으로 추출이 가능한 효과가 달성된다.
Description
본 발명은 PDF 문서형 악성코드 탐지 시스템 및 방법에 관한 것으로서, 더욱 상세하게는 문서 형태에 심어진 악성 코드를 효율적으로 검출하기 위한 PDF 문서형 악성코드 탐지 시스템 및 방법에 관한 것이다.
컴퓨터 바이러스는 파일 감염을 목적으로 하는 바이러스로부터 네트워크를 통한 급속 확산을 시도하는 웜, 그리고 데이터 유출을 위한 트로이 목마에 이르기까지 다양한 모습으로 발전하였다.
이와 같은 악성코드의 등장은 매년 증가하고 있으며, 특히 새로운 유형의 악성 코드 유포가 발생되고 있어, 컴퓨터 사용자로 하여금 더욱더 불안하게 만들고 있는 것이 사실이다.
최근에 유포되고 있는 유형으로는, PDF(Portable Document Format) 문서를 통한 악성 코드 유포를 들 수 있다. 이러한 유포는 PDF만이 갖고 있는 취약점으로 인하여 발생되었다.
예를 들면, cooltype.dll 파일의 0x0803dcf9 모듈에서 TTF 글꼴을 적절하게 파싱(parsing)하지 못하는 취약점, 'AcroJS'라 자바 스크립트를 자동으로 실행이 가능하도록 하는 취약점 등의 원인으로 인하여 악성 코드 유포가 쉬어질 수 밖에 없다.
이에 따라, 최근 증가되고 있는 PDF 문서를 통한 악성 코드 유포에 대처하기 위해서는 PDF 문서 내의 악성 코드 유형을 분석하여 자동적으로 쉽게 탐지 가능한 새로운 기법이 제시되어야만 하는 실정이다.
본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 PDF 문서에 심어진 악성 코드를 검출하기 위하여 객체 정보 내의 자바 스크립트와 그 속의 악성 코드 패턴을 동적 및/또는 정적 분석하여 효율적으로 악성 코드를 탐지해낼 수 있는 PDF 문서형 악성코드 탐지 시스템 및 방법을 제공하고자 한다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 기능을 수행하기 위한, 본 발명의 특징은 다음과 같다.
본 발명의 일 태양에 따르면, 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보를 찾아 추출하는 객체 추출 모듈; 상기 추출된 복수 개의 객체 정보에서 각 제1 자바 스크립트 정보를 병합하여 제2 자바 스크립트 정보를 생성하는 스크립트 병합 모듈; 상기 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있을 경우, 상기 난독화/인코딩된 제2 자바 스크립트 정보를 복호화/디코딩하여 제3 자바 스크립트 정보를 생성하는 난독화 해제 모듈; 상기 생성된 제3 자바 스크립트 정보를 파싱하여 악성 코드로 의심되는 함수/패턴 정보를 추출하는 스크립트 정적 모듈; 상기 함수와 패턴 정보가 포함된 제4 자바 스크립트 정보를 실행하여 악성 행위에 따른 행위 정보를 생성하는 스크립트 동적 모듈; 및 상기 악성 코드 생성 여부가 확인된 경우, 상기 행위 정보로부터 악성 코드 정보를 추출하는 악성 코드 추출 모듈;를 포함하는 PDF 문서형 악성코드 탐지 시스템이 제공된다.
여기서, 본 발명의 PDF 문서형 악성코드 탐지 시스템은 PDF 동적 모듈을 더 포함하고, 상기 PDF 동적 모듈은, 상기 추출된 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 없을 경우 상기 저장된 PDF 문서를 실행하여 행위 분석을 수행할 수 있다.
또한, 상기 악성 코드 추출 모듈은, 상기 행위 분석을 통해 확인된 악성 코드 정보를 추출할 수 있다.
또한, 상기 객체 추출 모듈은, 각 텍스트 정보, 제1 자바 스크립트 정보 및 테이블 정보 중 적어도 하나 이상을 포함하는 복수 개의 객체 정보를 추출할 수 있다.
또한, 상기 스크립트 정적 모듈은, URL, PE 파일(실행 파일), JS. HTM 파일, Run, Shell 코드 명령어, Copy 및 Create 코드 명령어 중 적어도 하나 이상을 포함하는 함수/패턴 정보를 추출할 수 있다.
또한, 본 발명의 다른 일 태양에 따르면, (a) 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보를 구문 분석하는 단계; (b) 상기 분석 결과, 상기 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 있는지를 판단하는 단계; (c) 상기 판단 결과 제1 자바 스크립트 정보가 있다고 판단되면, 상기 제1 자바 스크립트 정보를 병합하는 단계; (d) 상기 병합에 의해 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있는지를 판단하는 단계; (e) 상기 판단 결과 난독화/인코딩되어 있을 경우 상기 제2 자바 스크립트 정보를 복호화/디코딩하는 단계; (f) 상기 복호화/디코딩되어 생성된 제3 자바 스크립트 정보를 파싱하여 스크립트 정적 분석하는 단계; (g) 상기 스크립트 동적 분석에 의해 획득된 행위 정보로부터 악성 코드 정보를 추출하는 단계; 및 (h) 상기 스크립트 동적 분석에 의해 확인되어진 악성 코드 정보를 추출하는 단계;를 포함하는 PDF 문서형 악성코드 탐지 방법이 제공된다.
여기서, (i) 상기 (b) 단계의 판단 결과 제1 자바 스크립트 정보가 없다고 판단되면, 상기 수집된 PDF 문서를 실행시켜 동적 행위 분석하는 단계;를 더 포함할 수 있다.
또한, 상기 (h) 단계는, (h-1) 상기 (i) 단계의 동적 행위 분석을 통해 획득된 행위 정보로부터 악성 코드 정보를 추출하는 단계;를 더 포함할 수 있다.
또한, 상기 (d) 단계의 판단 결과 난독화/인코딩되어 있지 않을 경우, 상기 (f) 단계는, 상기 제2 자바 스크립트 정보를 파싱하여 스크립트 정적 분석을 수행할 수 있다.
또한, 상기 제2 자바 스크립트 정보에 의한 스크립트 정정 분석 후, 그 결과에 대하여 상기 (g) 단계와 (h) 단계를 수행할 수 있다.
이상과 같이, 본 발명에 의하면, PDF 문서 내부에 포함된 복수 개의 객체 정보로부터 자바 스크립트를 추출 병합하고, 이를 파싱하여 스크립트 정적 분석을 실시하고, 이 분석에 의해 생성된 함수/패턴 정보를 포함한 자바 스크립트를 동적 분석을 실시함으로써, PDF 문서 내부에 심어진 악성 코드에 대하여 효율적으로 추출이 가능한 효과가 달성된다.
또한, 본 발명에 의하면, 상기와 같이 병합된 PDF 문서 내의 자바 스크립트가 난독화/인코딩이 되어있더라도 이를 해제하여 스크립트 정정 분석과 동적 분석을 실시함으로써, PDF 문서 내의 난독화/인코딩에 의한 악성 코드에 대해서도 효율적으로 추출이 가능한 효과가 달성된다.
또한, 본 발명에 의하면, PDF 문서 내에 자바 스크립트가 없는 경우라도 동적 행위 분석을 통해 PDF 문서 내의 악성 코드를 효율적으로 추출 가능한 효과가 있다.
도 1은 본 발명의 제1 실시예에 따른 PDF 문서형 악성코드 탐지 시스템(100)을 예시적으로 나타낸 도면이다.
도 2는 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100)을 예시적으로 나타낸 도면이다.
도 3은 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100) 중 핵심 단계(S160~S180)를 도식화하여 나타낸 도면이다.
도 2는 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100)을 예시적으로 나타낸 도면이다.
도 3은 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100) 중 핵심 단계(S160~S180)를 도식화하여 나타낸 도면이다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
제1 실시예
도 1은 본 발명의 제1 실시예에 따른 PDF 문서형 악성코드 탐지 시스템(100)을 예시적으로 나타낸 도면이다.
도 1에 도시된 바와 같이, 본 발명의 제1 실시예에 따른 PDF 문서형 악성코드 탐지 시스템(100)은 PDF 문서에 심어진 악성 코드를 추출하기 위한 장치로서, 객체 추출 모듈(110), 스크립트 병합 모듈(120), 난독화 해제 모듈(130), 스크립트 정적 모듈(140), 스크립트 동적 모듈(150), 악성 코드 추출 모듈(160) 및 제어 모듈(170)을 포함하여 구성된다.
먼저, 객체 추출 모듈(110)은 악성 코드 감염이 예상되는 PDF 문서를 수집한 후, PDF 문서의 구문(구조) 분석을 통하여 PDF 문서 내부에 포함된 복수 개의 객체 정보(object information)를 추출하는 기능을 수행한다. PDF 문서의 구조 분석은 통상적으로 널리 알려진 툴에 의한다.
여기서, 추출되어진 복수 개의 객체 정보는 PDF 문서에 기록된 텍스트 정보 뿐만 아니라, 소스 코드에 해당되는 제1 자바 스크립트 정보 및 테이블 정보와 같은 정보들을 적어도 하나 이상을 각각 담고있다.
다음으로, 스크립트 병합 모듈(120)은 우선 객체 추출 모듈(110)에 의해 추출된 복수 개의 객체 정보에서 확인된 제1 자바 스크립트 정보를 병합하는 기능을 수행한다. 상기 제1 자바 스크립트 정보는 객체 정보마다 링크 관계로 얽혀져 있거나 흩어져 있는 등, 복잡한 연결 구조 또는 형식을 취하고 있어 모든 제1 자바 스크립트 정보를 찾아내기란 쉽지 않다.
이에 대해, 스크립트 병합 모듈(120)은 객체 정보내의 구문 구조와 제1 자바 스크립트 구조를 종합적으로 판단하여 복수 개의 객체 정보 내에 있는 모든 제1 자바 스크립트를 병합하게 된다. 이때, 객체 정보에 포함된 제1 자바 스크립트와는 구분하기 위하여 스크립트 병합 모듈(120)에 의해 병합된 결과를 '제2 자바 스크립트 정보'라 지칭한다.
다음으로, 난독화 해제 모듈(130)은 스크립트 병합 모듈(120)에 의하여 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있는지를 확인 후, 난독화/인코딩된 제2 자바 스크립트 정보를 복호화/디코딩하는 기능을 수행한다.
이때, 제2 자바 스크립트 정보가 난독화/인코딩 형태로 되어 있다는 것은 해석(분석)이 불가능하도록 악성 코드를 심어놓았다는 것을 의미하므로, 이를 풀기 위하여 복호화/디코딩을 수행하게 되는 것이다.
그러나, 제2 자바 스크립트 정보안에 난독화/인코딩되지 않은 경우라 하더라도 그 안에 악성 코드들이 존재할 수 있기 때문에 이러한 경우에 대해서는 스크립트 병합 모듈(120)에 의하여 획득된 제2 자바 스크립트 정보를 이후에 설명될 스크립트 정적 모듈(140)로 보내지도록 한다. 한편, 난독화 해제 모듈(130)에 의해 복호화/디코딩되어 생성된 정보를 가리켜 '제3 자바 스크립트 정보'라 명명한다.
다음으로, 스크립트 정적 모듈(140)은 난독화 해제 모듈(130)에 의하여 생성된 제3 자바 스크립트 정보를 정정 분석하는 모듈로서, 상기 제3 자바 스크립트 정보를 파싱(parsing)하여 악성 코드로 의심되는 함수/패턴 정보를 추출하는 기능을 수행한다.
제3 자바 스크립트 정보를 파싱하게 되면, URL, PE 파일(실행 파일), JS. HTM 파일, Run, Shell 코드 명령어, Copy 및 Create 코드 명령어 중 적어도 하나 이상을 포함하는 함수/패턴 정보가 뷰어(viewer)처럼 보여진다. 이때, 보여진 함수/패턴 정보가 포함된 자바 스크립트를 가리켜 '제4 자바 스크립트 정보'라 명명한다. 결국, 스크립트 정적 모듈(140)은 함수/패턴 정보가 포함된 제4 자바 스크립트 정보를 생성하는 기능을 수행한다.
다음으로, 스크립트 동적 모듈(150)은 스크립트 정적 모듈(140)에 의하여 생성된 함수와 패턴 정보가 포함된 제4 자바 스크립트를 실행하여 동적 분석을 수행한다. 획득된 제4 자바 스크립트를 실행시켜 동적 분석을 하게 되면, 악성 코드로 의심되는 행위들을 얻을 수 있다.
예를 들면, 생성 파일 현황, 레지스트리의 접근 현황, 변화, 시스템 설정 변화 현황, 네트워크 접속 현황, 서비스 접근 현황, 시스템 접근 현황, DLL 로드 현황과 같은 행위 정보들을 얻을 수 있다. 이와 같이 획득된 제4 자바 스크립트의 실행을 통해 행위 정보들을 얻음으로써, 본 발명의 스크립트 동적 모듈(150)은 악성 코드 생성 여부를 확인할 수 있게 되는 것이다.
다음으로, 악성 코드 추출 모듈(160)은 스크립트 동적 모듈(150)의 동적 분석을 통해 확인되어진 악성 코드 정보를 추출(탐지)하는 기능을 수행한다. 이와 같이 탐지된 악성 코드 정보는 악성 코드 분석 시스템(200)으로 보내져 자동 분석됨으로써, PDF 문서에 삽입된 악성 코드를 정밀 분석하게 되는 것이다.
마지막으로, 제어 모듈(170)은 객체 추출 모듈(110), 스크립트 병합 모듈(120), 난독화 해제 모듈(130), 스크립트 정적 모듈(140), 스크립트 동적 모듈(150), 악성 코드 추출 모듈(160) 및 PDF 동적 모듈(170) 간의 데이터 흐름을 제어하며, 이로써 객체 추출 모듈(110), 스크립트 병합 모듈(120), 난독화 해제 모듈(130), 스크립트 정적 모듈(140), 스크립트 동적 모듈(150) 및 악성 코드 추출 모듈(160)에서 각각 고유의 데이터 처리를 수행하게 된다.
이와 같이, 본 제1 실시예에서는 PDF 문서에 포함된 자바 스크립트를 난독화/인코딩 해제하여 파싱하고, 이를 동적과 정적 분석을 수행함으로써, PDF 문서내에 심어진 악성 코드를 자동적으로 탐지할 수 있다.
한편, 본 발명의 제1 실시예에 따른 PDF 문서형 악성코드 탐지 시스템(100)은 PDF 동적 모듈(180)을 더 포함하여 구성할 수도 있다. PDF 동적 모듈(180)은 객체 추출 모듈(110)에 의해 추출된 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 없는 경우에 한하여 실시된다. 제1 자바 스크립트 정보가 없어도 악성 코드가 PDF 문서 내에 존재할 수 있기 때문이다.
따라서, PDF 동적 모듈(180)은 객체 추출 모듈(110)에 의해 추출된 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 없는 경우 저장된 PDF 문서를 실행하여 행위 분석을 수행하는 기능을 수행한다.
이러한 PDF 동적 모듈(180)은 앞서 설명한 스크립트 동적 모듈(150)과 마찬가지로 동적 분석(행위 분석)을 통한 행위 정보들을 얻을 수 있다. 다만, 스크립트 동적 모듈(150)은 획득된 제4 자바 스크립트 정보를 실행시켜 행위 정보들을 얻고 있는 반면, PDF 동적 모듈(180)은 악성 코드 탐지 대상인 자바 스크립트를 획득하지 못하고, 바로 PDF 문서를 실행시켜서 행위 정보들을 얻고 있다는 점에서 차이가 있을 뿐이다.
이러한 PDF 동적 모듈(180)에 의하여 행위 분석이 완료되면, 행위 분석을 통해 확인된 악성 코드 정보는 앞서 설명한 악성 코드 추출 모듈(160)로 보내진다. 따라서, 악성 코드 추출 모듈(160)에서 PDF 동적 모듈(180)의 행위 분석을 통해 확인된 악성 코드 정보를 추출하게 되는 것이다. 이와 같이 추출된 악성 코드 정보는 악성 코드 분석 시스템(200)으로 보내져 자동 분석된다. 한편, PDF 동적 모듈(180)은 에뮤레이터나 가상 머신 환경 하에 동적 분석(행위 분석)을 행하는 것이 바람직하다. 한편, PDF 동적 모듈(180)은 제어 모듈(170)에 의해 제어됨은 물론이다.
이와 같은 PDF 동적 모듈(180)을 더 구비하게 되면, 자바 스크립트를 이용하지 않고 악성 코드를 PDF 문서에 존재하더라도 PDF 문서에 대한 동적 분석을 통해 쉽게 악성 코드를 쉽게 탐지할 수 있다.
제2 실시예
도 2는 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100)을 예시적으로 나타낸 도면이고, 도 3은 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100) 중 핵심 단계(S160~S180)를 도식화하여 나타낸 도면이다.
도시된 바와 같이, 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100)은 PDF 문서에 포함된 악성 코드를 탐지하기 위한 방법으로서, S110 단계로 내지 S190 단계로 이루어진다. 여기서, 설명될 각 정보의 의미는 앞서 도 1에서 충분히 설명되었으므로 그 설명은 생략한다.
먼저, S110 단계에서는 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보에 대하여 구문 분석을 실시한다.
이후, S120 단계에서는 S110 단계에 의해 분석된 결과, 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 있는지를 판단한다. 제1 자바 스크립트 정보가 있으면 S130 단계를 실시하며, 그렇지 않을 경우에는 S110 단계를 실시한다. 이때, 제1 자바 스크립트 정보가 없어도 PDF 문서내에 악성 코드가 있을 수도 있기 있기 때문에 S110 단계를 실시한다. 상기 S110 단계에 대해서는 추후 설명하기로 한다.
이후, S130 단계에서는 S120 단계의 판단 결과 제1 자바 스크립트 정보가 있다고 판단되면, 각 객체 정보마다 흩어져 있는 제1 자바 스크립트 정보를 병합한다.
이후, S140 단계에서는 S130 단계의 병합에 의해 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있는지를 판단한다. 여기서, 난독화/인코딩이 되어있다라는 것은 PDF 문서 내에 악성 코드가 심어져 있는 것으로 해석하여도 무방한 상태이다. 판단 결과, 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있으면S150 단계를 실시하고, 그렇지 않을 경우에는 S160 단계를 실시한다.
이후, S150 단계에서는 S140 단계의 판단 결과 제2 자바 스크립트 정보에 난독화/인코딩되어 있을 경우 상기 제2 자바 스크립트 정보를 복호화/디코딩을 실시한다. 이때, 제2 자바 스크립트 정보를 복호화/디코딩하는 것은 난독화/인코딩을 해제하는 과정이다.
정상적으로 제2 자바 스크립트 정보에 대하여 복호화/디코딩이 이루어지면, 복호화/디코딩된 제3 자바 스크립트를 생성하여 다시 S140 단계와 S160 단계로 보내진다.
이후, S160 단계에서는 S140 단계에 의해 제2 자바 스크립트 정보가 난독화/인코딩이 되어있지 않다고 판단되면 복호화/디코딩되어 생성된 제3 자바 스크립트 정보를 파싱하여 스크립트 정적 분석을 실시한다. 제3 자바 스크립트 정보를 파싱(parsing)하면, 악성 코드로 의심되는 함수/패턴 정보를 획득할 수 있다.
획득된 함수/패턴 정보에는 URL, PE 파일(실행 파일), JS. HTM 파일, Run, Shell 코드 명령어, Copy 및 Create 코드 명령어 중 적어도 하나 이상을 포함하고 있을 수 있다. 이러한 함수/패턴 정보를 획득함으로써, 악성 코드 탐지에 근접하게 접근하였음을 알 수 있다. 따라서, S160 단계에서는 악성 코드로 의심되는 함수/패턴 정보를 포함한 제4 자바 스크립트를 생성하여 S170 단계로 보낸다.
아울러, S160 단계에서는 S140 단계의 판단 결과 난독화/인코딩되어 있지 않을 경우, S130 단계의 병합에 의해 생성된 제2 자바 스크립트 정보를 파싱하여 스크립트 정적 분석을 수행할 수도 있다. 이때, 파싱에 의한 스크립트 정정 분석은 앞서 설명한 바와 같이 악성 코드로 의심되는 함수/패턴 정보를 획득하고, 제4 자바 스크립트와 같은 형식의 스크립트를 생성하게 되는 것이다.
이후, S170 단계에서는 S160 단계에 의한 스크립트 정적 분석을 통하여 악성 코드로 의심되는 함수/패턴 정보를 포함한 제4 자바 스크립트 정보를 S150 단계로부터 제공받아 상기 제4 자바 스크립트에 대하여 스크립트 동적 분석을 실시한다. 여기서, 제4 자바 스크립트를 실행시키면 동적 분석을 통하여 악성 코드로 의심되는 행위 정보를 획득할 수 있다.
획득된 행위 정보에는 생성 파일 현황, 레지스트리의 접근 현황, 변화, 시스템 설정 변화 현황, 네트워크 접속 현황, 서비스 접근 현황, 시스템 접근 현황 및 DLL 로드 현황과 같은 상황들이 수록되어 있다.
이후, S180 단계에서는 S170 단계에 의한 스크립트 동적 분석에 의해 획득된 행위 정보로부터 악성 코드 정보를 추출할 수 있다. 이와 같이 추출된 악성 코드 정보는 악성 코드 분석 시스템(200)으로 보내져 자동 분석된다(S190).
이와 같이, 본 제2 실시예에서는 PDF 문서에 포함된 자바 스크립트를 난독화/인코딩 해제하여 파싱하고, 이를 동적과 정적 분석을 수행함으로써, 자바 스크립트에 의한 PDF 문서내에 심어진 악성 코드를 자동적으로 탐지하는데 유익함을 준다.
한편, 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100)은 S195 단계를 더 포함할 수 있다. S195 단계에서는 앞서 설명된 S120 단계의 판단 결과, 제1 자바 스크립트 정보가 없다고 판단될 경우 S110 단계에 의해 수집된 PDF 문서를 실행시켜 동적 행위 분석을 실시한다.
동적 행위 분석을 행하게 되면, S170 단계와 마찬가지로 동적 분석(행위 분석)을 통한 행위 정보들을 얻을 수 있다. 다만, S170 단계에서는 획득된 제4 자바 스크립트 정보를 실행시켜 행위 정보들을 얻고 있는 반면, S195 단계에서는 악성 코드 탐지 대상인 자바 스크립트를 획득하지 못하고, 바로 PDF 문서를 실행시켜서 행위 정보들을 얻고 있다는 점에서 차이가 있을 뿐이다.
이러한 S195 단계가 완료되면, S180 단계가 수행된다. 상기 S180 단계에서는 S195 단계에 의해 획득한 행위 정보로부터 악성 코드 정보를 추출할 수 있다. 여기서의 악성 코드는 앞서 S110 단계 내지 S170 단계에 의하여 획득한 악성 코드와는 동일하거나, 다를 수도 있다. 추출된 악성 코드 정보는 악성 코드 분석 시스템(200)에 보내져 분석된다(S190).
이와 같이, S195 단계, S180 단계 S190 단계가 더 수행되면, 자바 스크립트를 이용하지 않고 악성 코드를 PDF 문서에 존재하더라도 PDF 문서 실행을 통한 동적 분석을 행함으로써, 쉽게 악성 코드를 탐지 가능하게 된다.
이상에서와 같이, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.
100 : 악성코드 탐지 시스템 110 : 객체 추출 모듈
120 : 스크립트 병합 모듈 130 : 난독화 해제 모듈
140 : 스크립트 정적 모듈 150 : 스크립트 동적 모듈
160 : 악성 코드 추출 모듈 170 : 제어 모듈
180 : PDF 동적 모듈 200 : 악성 코드 분석 시스템
120 : 스크립트 병합 모듈 130 : 난독화 해제 모듈
140 : 스크립트 정적 모듈 150 : 스크립트 동적 모듈
160 : 악성 코드 추출 모듈 170 : 제어 모듈
180 : PDF 동적 모듈 200 : 악성 코드 분석 시스템
Claims (10)
- 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보를 찾아 추출하는 객체 추출 모듈;
상기 추출된 복수 개의 객체 정보에서 각 제1 자바 스크립트 정보를 병합하여 제2 자바 스크립트 정보를 생성하는 스크립트 병합 모듈;
상기 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있을 경우, 상기 난독화/인코딩된 제2 자바 스크립트 정보를 복호화/디코딩하여 제3 자바 스크립트 정보를 생성하는 난독화 해제 모듈;
상기 생성된 제3 자바 스크립트 정보를 파싱하여 악성 코드로 의심되는 함수/패턴 정보를 추출하는 스크립트 정적 모듈;
상기 추출된 악성 코드로 의심되는 함수와 패턴 정보가 포함된 제4 자바 스크립트 정보를 실행하여 악성 코드로 의심되는 행위 정보를 생성하는 스크립트 동적 모듈;
상기 행위 정보로부터 악성 코드 정보를 추출하는 악성 코드 추출 모듈; 및
상기 객체 추출 모듈에 의해 추출된 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 없는 경우 상기 수집된 PDF 문서를 실행시켜 행위 분석을 수행하는 PDF 동적 모듈;
를 포함하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 시스템. - 삭제
- 제 1항에 있어서,
상기 악성 코드 추출 모듈은,
상기 행위 분석을 통해 확인된 악성 코드 정보를 추출하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 시스템. - 제 3항에 있어서,
상기 객체 추출 모듈은,
각 텍스트 정보, 제1 자바 스크립트 정보 및 테이블 정보 중 적어도 하나 이상을 포함하는 복수 개의 객체 정보를 추출하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 시스템. - 제 1항에 있어서,
상기 스크립트 정적 모듈은,
URL, PE 파일(실행 파일), JS. HTM 파일, Run, Shell 코드 명령어, Copy 및 Create 코드 명령어 중 적어도 하나 이상을 포함하는 함수/패턴 정보를 추출하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 시스템. - (a) 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보를 구문 분석하는 단계;
(b) 상기 분석 결과, 상기 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 있는지를 판단하는 단계;
(c) 상기 판단 결과 제1 자바 스크립트 정보가 있다고 판단되면, 상기 제1 자바 스크립트 정보를 병합하는 단계;
(d) 상기 병합에 의해 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있는지를 판단하는 단계;
(e) 상기 판단 결과 난독화/인코딩되어 있을 경우 상기 제2 자바 스크립트 정보를 복호화/디코딩하는 단계;
(f) 상기 복호화/디코딩되어 생성된 제3 자바 스크립트 정보를 파싱하여 스크립트 정적 분석하는 단계;
(g) 상기 스크립트 정적 분석에 의해 악성 코드로 의심되는 함수/패턴 정보를 포함하여 생성된 제4 자바 스크립트를 스크립트 동적 분석하는 단계;
(h) 상기 스크립트 동적 분석에 의해 획득된 행위 정보로부터 악성 코드 정보를 추출하는 단계; 및
(i) 상기 (b) 단계의 판단 결과 제1 자바 스크립트 정보가 없다고 판단되면, 상기 수집된 PDF 문서를 실행시켜 동적 행위 분석하는 단계;
를 포함하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 방법. - 삭제
- 제 6항에 있어서,
상기 (h) 단계는,
(h-1) 상기 (i) 단계의 동적 행위 분석을 통해 획득된 행위 정보로부터 악성 코드 정보를 추출하는 단계;를 더 포함하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 방법. - 제 6항에 있어서,
상기 (d) 단계의 판단 결과 난독화/인코딩되어 있지 않을 경우, 상기 (f) 단계는, 상기 제2 자바 스크립트 정보를 파싱하여 스크립트 정적 분석하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 방법. - 제 9항에 있어서,
상기 제2 자바 스크립트 정보에 의한 스크립트 정정 분석 후, 그 결과에 대하여 상기 (g) 단계와 (h) 단계를 수행하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 방법.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110134208A KR101296716B1 (ko) | 2011-12-14 | 2011-12-14 | 피디에프 문서형 악성코드 탐지 시스템 및 방법 |
US13/657,303 US20130160127A1 (en) | 2011-12-14 | 2012-10-22 | System and method for detecting malicious code of pdf document type |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110134208A KR101296716B1 (ko) | 2011-12-14 | 2011-12-14 | 피디에프 문서형 악성코드 탐지 시스템 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20130067365A KR20130067365A (ko) | 2013-06-24 |
KR101296716B1 true KR101296716B1 (ko) | 2013-08-20 |
Family
ID=48611679
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020110134208A KR101296716B1 (ko) | 2011-12-14 | 2011-12-14 | 피디에프 문서형 악성코드 탐지 시스템 및 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20130160127A1 (ko) |
KR (1) | KR101296716B1 (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150134172A (ko) * | 2014-05-21 | 2015-12-01 | 삼성에스디에스 주식회사 | 악성코드 탐지 장치 및 방법 |
KR20220060843A (ko) | 2020-11-05 | 2022-05-12 | 국민대학교산학협력단 | 머신러닝과 시그니처 매칭을 결합한 문서형 악성코드 탐지 장치 및 방법 |
Families Citing this family (155)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
US9009459B1 (en) | 2012-03-12 | 2015-04-14 | Symantec Corporation | Systems and methods for neutralizing file-format-specific exploits included within files contained within electronic communications |
US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
US9507943B1 (en) * | 2013-02-19 | 2016-11-29 | Amazon Technologies, Inc. | Analysis tool for data security |
US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
US9239922B1 (en) * | 2013-03-11 | 2016-01-19 | Trend Micro Inc. | Document exploit detection using baseline comparison |
US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
US9686304B1 (en) | 2013-06-25 | 2017-06-20 | Symantec Corporation | Systems and methods for healing infected document files |
US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
US9613157B2 (en) * | 2013-07-03 | 2017-04-04 | Adobe Systems Incorporated | Method and apparatus for translating JAVASCRIPT across different host environments |
KR101481910B1 (ko) * | 2013-08-14 | 2015-01-15 | 한국과학기술원 | 웹 페이지의 비정상 정보 탐지 장치 및 방법 |
US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
US9690936B1 (en) * | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
US10192052B1 (en) * | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
US9507935B2 (en) | 2014-01-16 | 2016-11-29 | Fireeye, Inc. | Exploit detection system with threat-aware microvisor |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
CN104899016B (zh) * | 2014-03-07 | 2018-10-09 | 腾讯科技(深圳)有限公司 | 调用堆栈关系获取方法及装置 |
US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
US9015814B1 (en) | 2014-06-10 | 2015-04-21 | Kaspersky Lab Zao | System and methods for detecting harmful files of different formats |
US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
CN104363240A (zh) * | 2014-11-26 | 2015-02-18 | 国家电网公司 | 基于信息流行为合法性检测的未知威胁的综合检测方法 |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
CN105095756A (zh) * | 2015-07-06 | 2015-11-25 | 北京金山安全软件有限公司 | 可移植文档格式文档的检测方法和装置 |
US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
US9898605B2 (en) | 2015-12-24 | 2018-02-20 | Mcafee, Llc | Monitoring executed script for zero-day attack of malware |
US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
US10476906B1 (en) | 2016-03-25 | 2019-11-12 | Fireeye, Inc. | System and method for managing formation and modification of a cluster within a malware detection system |
US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
RU2634178C1 (ru) * | 2016-10-10 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносных составных файлов |
US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
US10848397B1 (en) | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
US10657252B2 (en) * | 2017-06-22 | 2020-05-19 | Oracle International Corporation | Detecting malicious code embedded in documents |
US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
US11204788B2 (en) * | 2017-12-11 | 2021-12-21 | Comodo Security Solutions, Inc. | Method to protect against fileless infection from command line interpreters or documents |
US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
CN108985064B (zh) * | 2018-07-16 | 2023-10-20 | 中国人民解放军战略支援部队信息工程大学 | 一种识别恶意文档的方法及装置 |
US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
CN110737894B (zh) * | 2018-12-04 | 2022-12-27 | 安天科技集团股份有限公司 | 复合文档安全检测方法、装置、电子设备及存储介质 |
US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
CN112231701A (zh) * | 2020-09-29 | 2021-01-15 | 广州威尔森信息科技有限公司 | Pdf文件处理方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110108491A (ko) * | 2010-03-29 | 2011-10-06 | 한국전자통신연구원 | 악성 스크립트 분석 시스템 및 그를 이용한 악성 스크립트 분석 방법 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8997219B2 (en) * | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US8516590B1 (en) * | 2009-04-25 | 2013-08-20 | Dasient, Inc. | Malicious advertisement detection and remediation |
US8789178B2 (en) * | 2009-08-03 | 2014-07-22 | Barracuda Networks, Inc. | Method for detecting malicious javascript |
US20110030060A1 (en) * | 2009-08-03 | 2011-02-03 | Barracuda Networks, Inc. | Method for detecting malicious javascript |
US8914879B2 (en) * | 2010-06-11 | 2014-12-16 | Trustwave Holdings, Inc. | System and method for improving coverage for web code |
US10395031B2 (en) * | 2010-12-30 | 2019-08-27 | Verisign, Inc. | Systems and methods for malware detection and scanning |
US9436826B2 (en) * | 2011-05-16 | 2016-09-06 | Microsoft Technology Licensing, Llc | Discovering malicious input files and performing automatic and distributed remediation |
US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
-
2011
- 2011-12-14 KR KR1020110134208A patent/KR101296716B1/ko not_active IP Right Cessation
-
2012
- 2012-10-22 US US13/657,303 patent/US20130160127A1/en not_active Abandoned
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110108491A (ko) * | 2010-03-29 | 2011-10-06 | 한국전자통신연구원 | 악성 스크립트 분석 시스템 및 그를 이용한 악성 스크립트 분석 방법 |
Non-Patent Citations (2)
Title |
---|
‘PDF 취약점을 이용한 악성코드의 반란’, ASEC 리포트(안철수연구소), 2010년* |
'PDF 취약점을 이용한 악성코드의 반란', ASEC 리포트(안철수연구소), 2010년 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150134172A (ko) * | 2014-05-21 | 2015-12-01 | 삼성에스디에스 주식회사 | 악성코드 탐지 장치 및 방법 |
KR102292844B1 (ko) * | 2014-05-21 | 2021-08-23 | 삼성에스디에스 주식회사 | 악성코드 탐지 장치 및 방법 |
KR20220060843A (ko) | 2020-11-05 | 2022-05-12 | 국민대학교산학협력단 | 머신러닝과 시그니처 매칭을 결합한 문서형 악성코드 탐지 장치 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR20130067365A (ko) | 2013-06-24 |
US20130160127A1 (en) | 2013-06-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101296716B1 (ko) | 피디에프 문서형 악성코드 탐지 시스템 및 방법 | |
Tahir | A study on malware and malware detection techniques | |
KR101083311B1 (ko) | 악성 스크립트 분석 시스템 및 그를 이용한 악성 스크립트 분석 방법 | |
US10089464B2 (en) | De-obfuscating scripted language for network intrusion detection using a regular expression signature | |
KR101543237B1 (ko) | 코드 패턴을 이용한 정적 분석과 api 흐름을 이용한 동적 분석을 통한 악성 스크립트 탐지 차단 장치, 시스템 및 방법 | |
KR101122650B1 (ko) | 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법 | |
US9870471B2 (en) | Computer-implemented method for distilling a malware program in a system | |
US20150089647A1 (en) | Distributed Sample Analysis | |
US10013555B2 (en) | System and method for detecting harmful files executable on a virtual stack machine based on parameters of the files and the virtual stack machine | |
KR101860546B1 (ko) | 파일 내 포함된 콘텐츠 무력화 장치 및 방법, 그 기록매체 | |
WO2013026320A1 (zh) | 一种网页挂马检测方法及系统 | |
Gianazza et al. | Puppetdroid: A user-centric ui exerciser for automatic dynamic analysis of similar android applications | |
WO2017012241A1 (zh) | 文件的检测方法、装置、设备及非易失性计算机存储介质 | |
KR20150044490A (ko) | 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법 | |
Nguyen et al. | Detecting repackaged android applications using perceptual hashing | |
CN105488399A (zh) | 一种基于程序关键字调用序列的脚本病毒检测方法及系统 | |
KR101181843B1 (ko) | 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법 | |
KR101431192B1 (ko) | 모바일 단말의 루팅 공격 이벤트 검출 방법 | |
KR20090084529A (ko) | 악성 스크립트 코드 복호화 방법 및 시스템 | |
Naderi-Afooshteh et al. | Cubismo: Decloaking server-side malware via cubist program analysis | |
KR101895876B1 (ko) | 애플리케이션 악성 판단 시스템 및 방법, 이를 수행하기 위한 기록 매체 | |
Niu et al. | Clone analysis and detection in android applications | |
WO2018203775A2 (ru) | Система и способ проверки веб-ресурсов на наличие вредоносных вставок | |
CN114741692A (zh) | 一种后门流量识别的方法、系统、设备及可读存储介质 | |
KR101262228B1 (ko) | 문서기반 악성코드 탐지 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |