KR101296716B1 - 피디에프 문서형 악성코드 탐지 시스템 및 방법 - Google Patents

Abstract

문서 형태에 심어진 악성 코드를 효율적으로 검출하기 위한 PDF 문서형 악성코드 탐지 시스템 및 방법이 개시된다. 본 발명에 따르면, 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보를 찾아 추출하는 객체 추출 모듈; 상기 추출된 복수 개의 객체 정보에서 각 제1 자바 스크립트 정보를 병합하여 제2 자바 스크립트 정보를 생성하는 스크립트 병합 모듈; 상기 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있을 경우, 상기 난독화/인코딩된 제2 자바 스크립트 정보를 복호화/디코딩하여 제3 자바 스크립트 정보를 생성하는 난독화 해제 모듈; 상기 생성된 제3 자바 스크립트 정보를 파싱하여 악성 코드로 의심되는 함수/패턴 정보를 추출하는 스크립트 정적 모듈; 상기 함수와 패턴 정보가 포함된 제4 자바 스크립트 정보를 실행하여 악성 행위에 따른 행위 정보를 생성하는 스크립트 동적 모듈; 및 상기 악성 코드 생성 여부가 확인된 경우, 상기 행위 정보로부터 악성 코드 정보를 추출하는 악성 코드 추출 모듈;를 포함하는 PDF 문서형 악성코드 탐지 시스템이 제공된다.
이에, 본 발명은 PDF 문서내의 자바 스크립트에 대하여 동적, 정정 분석을 실행하고, PDF 문서를 실행시켜 PDF 동적 분석을 실시함으로써, PDF 문서 내부에 심어진 악성 코드에 대하여 효율적으로 추출이 가능한 효과가 달성된다.

Description

피디에프 문서형 악성코드 탐지 시스템 및 방법{SYSTEM AND METHOD FOR DETECTING MALICIOUS CODE OF PDF DOCUMENT TYPE}

본 발명은 PDF 문서형 악성코드 탐지 시스템 및 방법에 관한 것으로서, 더욱 상세하게는 문서 형태에 심어진 악성 코드를 효율적으로 검출하기 위한 PDF 문서형 악성코드 탐지 시스템 및 방법에 관한 것이다.

컴퓨터 바이러스는 파일 감염을 목적으로 하는 바이러스로부터 네트워크를 통한 급속 확산을 시도하는 웜, 그리고 데이터 유출을 위한 트로이 목마에 이르기까지 다양한 모습으로 발전하였다.

이와 같은 악성코드의 등장은 매년 증가하고 있으며, 특히 새로운 유형의 악성 코드 유포가 발생되고 있어, 컴퓨터 사용자로 하여금 더욱더 불안하게 만들고 있는 것이 사실이다.

최근에 유포되고 있는 유형으로는, PDF(Portable Document Format) 문서를 통한 악성 코드 유포를 들 수 있다. 이러한 유포는 PDF만이 갖고 있는 취약점으로 인하여 발생되었다.

예를 들면, cooltype.dll 파일의 0x0803dcf9 모듈에서 TTF 글꼴을 적절하게 파싱(parsing)하지 못하는 취약점, 'AcroJS'라 자바 스크립트를 자동으로 실행이 가능하도록 하는 취약점 등의 원인으로 인하여 악성 코드 유포가 쉬어질 수 밖에 없다.

이에 따라, 최근 증가되고 있는 PDF 문서를 통한 악성 코드 유포에 대처하기 위해서는 PDF 문서 내의 악성 코드 유형을 분석하여 자동적으로 쉽게 탐지 가능한 새로운 기법이 제시되어야만 하는 실정이다.

본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 PDF 문서에 심어진 악성 코드를 검출하기 위하여 객체 정보 내의 자바 스크립트와 그 속의 악성 코드 패턴을 동적 및/또는 정적 분석하여 효율적으로 악성 코드를 탐지해낼 수 있는 PDF 문서형 악성코드 탐지 시스템 및 방법을 제공하고자 한다.

상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 기능을 수행하기 위한, 본 발명의 특징은 다음과 같다.

본 발명의 일 태양에 따르면, 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보를 찾아 추출하는 객체 추출 모듈; 상기 추출된 복수 개의 객체 정보에서 각 제1 자바 스크립트 정보를 병합하여 제2 자바 스크립트 정보를 생성하는 스크립트 병합 모듈; 상기 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있을 경우, 상기 난독화/인코딩된 제2 자바 스크립트 정보를 복호화/디코딩하여 제3 자바 스크립트 정보를 생성하는 난독화 해제 모듈; 상기 생성된 제3 자바 스크립트 정보를 파싱하여 악성 코드로 의심되는 함수/패턴 정보를 추출하는 스크립트 정적 모듈; 상기 함수와 패턴 정보가 포함된 제4 자바 스크립트 정보를 실행하여 악성 행위에 따른 행위 정보를 생성하는 스크립트 동적 모듈; 및 상기 악성 코드 생성 여부가 확인된 경우, 상기 행위 정보로부터 악성 코드 정보를 추출하는 악성 코드 추출 모듈;를 포함하는 PDF 문서형 악성코드 탐지 시스템이 제공된다.

여기서, 본 발명의 PDF 문서형 악성코드 탐지 시스템은 PDF 동적 모듈을 더 포함하고, 상기 PDF 동적 모듈은, 상기 추출된 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 없을 경우 상기 저장된 PDF 문서를 실행하여 행위 분석을 수행할 수 있다.

또한, 상기 악성 코드 추출 모듈은, 상기 행위 분석을 통해 확인된 악성 코드 정보를 추출할 수 있다.

또한, 상기 객체 추출 모듈은, 각 텍스트 정보, 제1 자바 스크립트 정보 및 테이블 정보 중 적어도 하나 이상을 포함하는 복수 개의 객체 정보를 추출할 수 있다.

또한, 상기 스크립트 정적 모듈은, URL, PE 파일(실행 파일), JS. HTM 파일, Run, Shell 코드 명령어, Copy 및 Create 코드 명령어 중 적어도 하나 이상을 포함하는 함수/패턴 정보를 추출할 수 있다.

또한, 본 발명의 다른 일 태양에 따르면, (a) 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보를 구문 분석하는 단계; (b) 상기 분석 결과, 상기 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 있는지를 판단하는 단계; (c) 상기 판단 결과 제1 자바 스크립트 정보가 있다고 판단되면, 상기 제1 자바 스크립트 정보를 병합하는 단계; (d) 상기 병합에 의해 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있는지를 판단하는 단계; (e) 상기 판단 결과 난독화/인코딩되어 있을 경우 상기 제2 자바 스크립트 정보를 복호화/디코딩하는 단계; (f) 상기 복호화/디코딩되어 생성된 제3 자바 스크립트 정보를 파싱하여 스크립트 정적 분석하는 단계; (g) 상기 스크립트 동적 분석에 의해 획득된 행위 정보로부터 악성 코드 정보를 추출하는 단계; 및 (h) 상기 스크립트 동적 분석에 의해 확인되어진 악성 코드 정보를 추출하는 단계;를 포함하는 PDF 문서형 악성코드 탐지 방법이 제공된다.

여기서, (i) 상기 (b) 단계의 판단 결과 제1 자바 스크립트 정보가 없다고 판단되면, 상기 수집된 PDF 문서를 실행시켜 동적 행위 분석하는 단계;를 더 포함할 수 있다.

또한, 상기 (h) 단계는, (h-1) 상기 (i) 단계의 동적 행위 분석을 통해 획득된 행위 정보로부터 악성 코드 정보를 추출하는 단계;를 더 포함할 수 있다.

또한, 상기 (d) 단계의 판단 결과 난독화/인코딩되어 있지 않을 경우, 상기 (f) 단계는, 상기 제2 자바 스크립트 정보를 파싱하여 스크립트 정적 분석을 수행할 수 있다.

또한, 상기 제2 자바 스크립트 정보에 의한 스크립트 정정 분석 후, 그 결과에 대하여 상기 (g) 단계와 (h) 단계를 수행할 수 있다.

이상과 같이, 본 발명에 의하면, PDF 문서 내부에 포함된 복수 개의 객체 정보로부터 자바 스크립트를 추출 병합하고, 이를 파싱하여 스크립트 정적 분석을 실시하고, 이 분석에 의해 생성된 함수/패턴 정보를 포함한 자바 스크립트를 동적 분석을 실시함으로써, PDF 문서 내부에 심어진 악성 코드에 대하여 효율적으로 추출이 가능한 효과가 달성된다.

또한, 본 발명에 의하면, 상기와 같이 병합된 PDF 문서 내의 자바 스크립트가 난독화/인코딩이 되어있더라도 이를 해제하여 스크립트 정정 분석과 동적 분석을 실시함으로써, PDF 문서 내의 난독화/인코딩에 의한 악성 코드에 대해서도 효율적으로 추출이 가능한 효과가 달성된다.

또한, 본 발명에 의하면, PDF 문서 내에 자바 스크립트가 없는 경우라도 동적 행위 분석을 통해 PDF 문서 내의 악성 코드를 효율적으로 추출 가능한 효과가 있다.

도 1은 본 발명의 제1 실시예에 따른 PDF 문서형 악성코드 탐지 시스템(100)을 예시적으로 나타낸 도면이다.
도 2는 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100)을 예시적으로 나타낸 도면이다.
도 3은 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100) 중 핵심 단계(S160~S180)를 도식화하여 나타낸 도면이다.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.

제1 실시예

도 1은 본 발명의 제1 실시예에 따른 PDF 문서형 악성코드 탐지 시스템(100)을 예시적으로 나타낸 도면이다.

도 1에 도시된 바와 같이, 본 발명의 제1 실시예에 따른 PDF 문서형 악성코드 탐지 시스템(100)은 PDF 문서에 심어진 악성 코드를 추출하기 위한 장치로서, 객체 추출 모듈(110), 스크립트 병합 모듈(120), 난독화 해제 모듈(130), 스크립트 정적 모듈(140), 스크립트 동적 모듈(150), 악성 코드 추출 모듈(160) 및 제어 모듈(170)을 포함하여 구성된다.

먼저, 객체 추출 모듈(110)은 악성 코드 감염이 예상되는 PDF 문서를 수집한 후, PDF 문서의 구문(구조) 분석을 통하여 PDF 문서 내부에 포함된 복수 개의 객체 정보(object information)를 추출하는 기능을 수행한다. PDF 문서의 구조 분석은 통상적으로 널리 알려진 툴에 의한다.

여기서, 추출되어진 복수 개의 객체 정보는 PDF 문서에 기록된 텍스트 정보 뿐만 아니라, 소스 코드에 해당되는 제1 자바 스크립트 정보 및 테이블 정보와 같은 정보들을 적어도 하나 이상을 각각 담고있다.

다음으로, 스크립트 병합 모듈(120)은 우선 객체 추출 모듈(110)에 의해 추출된 복수 개의 객체 정보에서 확인된 제1 자바 스크립트 정보를 병합하는 기능을 수행한다. 상기 제1 자바 스크립트 정보는 객체 정보마다 링크 관계로 얽혀져 있거나 흩어져 있는 등, 복잡한 연결 구조 또는 형식을 취하고 있어 모든 제1 자바 스크립트 정보를 찾아내기란 쉽지 않다.

이에 대해, 스크립트 병합 모듈(120)은 객체 정보내의 구문 구조와 제1 자바 스크립트 구조를 종합적으로 판단하여 복수 개의 객체 정보 내에 있는 모든 제1 자바 스크립트를 병합하게 된다. 이때, 객체 정보에 포함된 제1 자바 스크립트와는 구분하기 위하여 스크립트 병합 모듈(120)에 의해 병합된 결과를 '제2 자바 스크립트 정보'라 지칭한다.

다음으로, 난독화 해제 모듈(130)은 스크립트 병합 모듈(120)에 의하여 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있는지를 확인 후, 난독화/인코딩된 제2 자바 스크립트 정보를 복호화/디코딩하는 기능을 수행한다.

이때, 제2 자바 스크립트 정보가 난독화/인코딩 형태로 되어 있다는 것은 해석(분석)이 불가능하도록 악성 코드를 심어놓았다는 것을 의미하므로, 이를 풀기 위하여 복호화/디코딩을 수행하게 되는 것이다.

그러나, 제2 자바 스크립트 정보안에 난독화/인코딩되지 않은 경우라 하더라도 그 안에 악성 코드들이 존재할 수 있기 때문에 이러한 경우에 대해서는 스크립트 병합 모듈(120)에 의하여 획득된 제2 자바 스크립트 정보를 이후에 설명될 스크립트 정적 모듈(140)로 보내지도록 한다. 한편, 난독화 해제 모듈(130)에 의해 복호화/디코딩되어 생성된 정보를 가리켜 '제3 자바 스크립트 정보'라 명명한다.

다음으로, 스크립트 정적 모듈(140)은 난독화 해제 모듈(130)에 의하여 생성된 제3 자바 스크립트 정보를 정정 분석하는 모듈로서, 상기 제3 자바 스크립트 정보를 파싱(parsing)하여 악성 코드로 의심되는 함수/패턴 정보를 추출하는 기능을 수행한다.

제3 자바 스크립트 정보를 파싱하게 되면, URL, PE 파일(실행 파일), JS. HTM 파일, Run, Shell 코드 명령어, Copy 및 Create 코드 명령어 중 적어도 하나 이상을 포함하는 함수/패턴 정보가 뷰어(viewer)처럼 보여진다. 이때, 보여진 함수/패턴 정보가 포함된 자바 스크립트를 가리켜 '제4 자바 스크립트 정보'라 명명한다. 결국, 스크립트 정적 모듈(140)은 함수/패턴 정보가 포함된 제4 자바 스크립트 정보를 생성하는 기능을 수행한다.

다음으로, 스크립트 동적 모듈(150)은 스크립트 정적 모듈(140)에 의하여 생성된 함수와 패턴 정보가 포함된 제4 자바 스크립트를 실행하여 동적 분석을 수행한다. 획득된 제4 자바 스크립트를 실행시켜 동적 분석을 하게 되면, 악성 코드로 의심되는 행위들을 얻을 수 있다.

예를 들면, 생성 파일 현황, 레지스트리의 접근 현황, 변화, 시스템 설정 변화 현황, 네트워크 접속 현황, 서비스 접근 현황, 시스템 접근 현황, DLL 로드 현황과 같은 행위 정보들을 얻을 수 있다. 이와 같이 획득된 제4 자바 스크립트의 실행을 통해 행위 정보들을 얻음으로써, 본 발명의 스크립트 동적 모듈(150)은 악성 코드 생성 여부를 확인할 수 있게 되는 것이다.

다음으로, 악성 코드 추출 모듈(160)은 스크립트 동적 모듈(150)의 동적 분석을 통해 확인되어진 악성 코드 정보를 추출(탐지)하는 기능을 수행한다. 이와 같이 탐지된 악성 코드 정보는 악성 코드 분석 시스템(200)으로 보내져 자동 분석됨으로써, PDF 문서에 삽입된 악성 코드를 정밀 분석하게 되는 것이다.

마지막으로, 제어 모듈(170)은 객체 추출 모듈(110), 스크립트 병합 모듈(120), 난독화 해제 모듈(130), 스크립트 정적 모듈(140), 스크립트 동적 모듈(150), 악성 코드 추출 모듈(160) 및 PDF 동적 모듈(170) 간의 데이터 흐름을 제어하며, 이로써 객체 추출 모듈(110), 스크립트 병합 모듈(120), 난독화 해제 모듈(130), 스크립트 정적 모듈(140), 스크립트 동적 모듈(150) 및 악성 코드 추출 모듈(160)에서 각각 고유의 데이터 처리를 수행하게 된다.

이와 같이, 본 제1 실시예에서는 PDF 문서에 포함된 자바 스크립트를 난독화/인코딩 해제하여 파싱하고, 이를 동적과 정적 분석을 수행함으로써, PDF 문서내에 심어진 악성 코드를 자동적으로 탐지할 수 있다.

한편, 본 발명의 제1 실시예에 따른 PDF 문서형 악성코드 탐지 시스템(100)은 PDF 동적 모듈(180)을 더 포함하여 구성할 수도 있다. PDF 동적 모듈(180)은 객체 추출 모듈(110)에 의해 추출된 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 없는 경우에 한하여 실시된다. 제1 자바 스크립트 정보가 없어도 악성 코드가 PDF 문서 내에 존재할 수 있기 때문이다.

따라서, PDF 동적 모듈(180)은 객체 추출 모듈(110)에 의해 추출된 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 없는 경우 저장된 PDF 문서를 실행하여 행위 분석을 수행하는 기능을 수행한다.

이러한 PDF 동적 모듈(180)은 앞서 설명한 스크립트 동적 모듈(150)과 마찬가지로 동적 분석(행위 분석)을 통한 행위 정보들을 얻을 수 있다. 다만, 스크립트 동적 모듈(150)은 획득된 제4 자바 스크립트 정보를 실행시켜 행위 정보들을 얻고 있는 반면, PDF 동적 모듈(180)은 악성 코드 탐지 대상인 자바 스크립트를 획득하지 못하고, 바로 PDF 문서를 실행시켜서 행위 정보들을 얻고 있다는 점에서 차이가 있을 뿐이다.

이러한 PDF 동적 모듈(180)에 의하여 행위 분석이 완료되면, 행위 분석을 통해 확인된 악성 코드 정보는 앞서 설명한 악성 코드 추출 모듈(160)로 보내진다. 따라서, 악성 코드 추출 모듈(160)에서 PDF 동적 모듈(180)의 행위 분석을 통해 확인된 악성 코드 정보를 추출하게 되는 것이다. 이와 같이 추출된 악성 코드 정보는 악성 코드 분석 시스템(200)으로 보내져 자동 분석된다. 한편, PDF 동적 모듈(180)은 에뮤레이터나 가상 머신 환경 하에 동적 분석(행위 분석)을 행하는 것이 바람직하다. 한편, PDF 동적 모듈(180)은 제어 모듈(170)에 의해 제어됨은 물론이다.

이와 같은 PDF 동적 모듈(180)을 더 구비하게 되면, 자바 스크립트를 이용하지 않고 악성 코드를 PDF 문서에 존재하더라도 PDF 문서에 대한 동적 분석을 통해 쉽게 악성 코드를 쉽게 탐지할 수 있다.

제2 실시예

도 2는 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100)을 예시적으로 나타낸 도면이고, 도 3은 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100) 중 핵심 단계(S160~S180)를 도식화하여 나타낸 도면이다.

도시된 바와 같이, 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100)은 PDF 문서에 포함된 악성 코드를 탐지하기 위한 방법으로서, S110 단계로 내지 S190 단계로 이루어진다. 여기서, 설명될 각 정보의 의미는 앞서 도 1에서 충분히 설명되었으므로 그 설명은 생략한다.

먼저, S110 단계에서는 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보에 대하여 구문 분석을 실시한다.

이후, S120 단계에서는 S110 단계에 의해 분석된 결과, 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 있는지를 판단한다. 제1 자바 스크립트 정보가 있으면 S130 단계를 실시하며, 그렇지 않을 경우에는 S110 단계를 실시한다. 이때, 제1 자바 스크립트 정보가 없어도 PDF 문서내에 악성 코드가 있을 수도 있기 있기 때문에 S110 단계를 실시한다. 상기 S110 단계에 대해서는 추후 설명하기로 한다.

이후, S130 단계에서는 S120 단계의 판단 결과 제1 자바 스크립트 정보가 있다고 판단되면, 각 객체 정보마다 흩어져 있는 제1 자바 스크립트 정보를 병합한다.

이후, S140 단계에서는 S130 단계의 병합에 의해 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있는지를 판단한다. 여기서, 난독화/인코딩이 되어있다라는 것은 PDF 문서 내에 악성 코드가 심어져 있는 것으로 해석하여도 무방한 상태이다. 판단 결과, 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있으면S150 단계를 실시하고, 그렇지 않을 경우에는 S160 단계를 실시한다.

이후, S150 단계에서는 S140 단계의 판단 결과 제2 자바 스크립트 정보에 난독화/인코딩되어 있을 경우 상기 제2 자바 스크립트 정보를 복호화/디코딩을 실시한다. 이때, 제2 자바 스크립트 정보를 복호화/디코딩하는 것은 난독화/인코딩을 해제하는 과정이다.

정상적으로 제2 자바 스크립트 정보에 대하여 복호화/디코딩이 이루어지면, 복호화/디코딩된 제3 자바 스크립트를 생성하여 다시 S140 단계와 S160 단계로 보내진다.

이후, S160 단계에서는 S140 단계에 의해 제2 자바 스크립트 정보가 난독화/인코딩이 되어있지 않다고 판단되면 복호화/디코딩되어 생성된 제3 자바 스크립트 정보를 파싱하여 스크립트 정적 분석을 실시한다. 제3 자바 스크립트 정보를 파싱(parsing)하면, 악성 코드로 의심되는 함수/패턴 정보를 획득할 수 있다.

획득된 함수/패턴 정보에는 URL, PE 파일(실행 파일), JS. HTM 파일, Run, Shell 코드 명령어, Copy 및 Create 코드 명령어 중 적어도 하나 이상을 포함하고 있을 수 있다. 이러한 함수/패턴 정보를 획득함으로써, 악성 코드 탐지에 근접하게 접근하였음을 알 수 있다. 따라서, S160 단계에서는 악성 코드로 의심되는 함수/패턴 정보를 포함한 제4 자바 스크립트를 생성하여 S170 단계로 보낸다.

아울러, S160 단계에서는 S140 단계의 판단 결과 난독화/인코딩되어 있지 않을 경우, S130 단계의 병합에 의해 생성된 제2 자바 스크립트 정보를 파싱하여 스크립트 정적 분석을 수행할 수도 있다. 이때, 파싱에 의한 스크립트 정정 분석은 앞서 설명한 바와 같이 악성 코드로 의심되는 함수/패턴 정보를 획득하고, 제4 자바 스크립트와 같은 형식의 스크립트를 생성하게 되는 것이다.

이후, S170 단계에서는 S160 단계에 의한 스크립트 정적 분석을 통하여 악성 코드로 의심되는 함수/패턴 정보를 포함한 제4 자바 스크립트 정보를 S150 단계로부터 제공받아 상기 제4 자바 스크립트에 대하여 스크립트 동적 분석을 실시한다. 여기서, 제4 자바 스크립트를 실행시키면 동적 분석을 통하여 악성 코드로 의심되는 행위 정보를 획득할 수 있다.

획득된 행위 정보에는 생성 파일 현황, 레지스트리의 접근 현황, 변화, 시스템 설정 변화 현황, 네트워크 접속 현황, 서비스 접근 현황, 시스템 접근 현황 및 DLL 로드 현황과 같은 상황들이 수록되어 있다.

이후, S180 단계에서는 S170 단계에 의한 스크립트 동적 분석에 의해 획득된 행위 정보로부터 악성 코드 정보를 추출할 수 있다. 이와 같이 추출된 악성 코드 정보는 악성 코드 분석 시스템(200)으로 보내져 자동 분석된다(S190).

이와 같이, 본 제2 실시예에서는 PDF 문서에 포함된 자바 스크립트를 난독화/인코딩 해제하여 파싱하고, 이를 동적과 정적 분석을 수행함으로써, 자바 스크립트에 의한 PDF 문서내에 심어진 악성 코드를 자동적으로 탐지하는데 유익함을 준다.

한편, 본 발명의 제2 실시예에 따른 PDF 문서형 악성코드 탐지 방법(S100)은 S195 단계를 더 포함할 수 있다. S195 단계에서는 앞서 설명된 S120 단계의 판단 결과, 제1 자바 스크립트 정보가 없다고 판단될 경우 S110 단계에 의해 수집된 PDF 문서를 실행시켜 동적 행위 분석을 실시한다.

동적 행위 분석을 행하게 되면, S170 단계와 마찬가지로 동적 분석(행위 분석)을 통한 행위 정보들을 얻을 수 있다. 다만, S170 단계에서는 획득된 제4 자바 스크립트 정보를 실행시켜 행위 정보들을 얻고 있는 반면, S195 단계에서는 악성 코드 탐지 대상인 자바 스크립트를 획득하지 못하고, 바로 PDF 문서를 실행시켜서 행위 정보들을 얻고 있다는 점에서 차이가 있을 뿐이다.

이러한 S195 단계가 완료되면, S180 단계가 수행된다. 상기 S180 단계에서는 S195 단계에 의해 획득한 행위 정보로부터 악성 코드 정보를 추출할 수 있다. 여기서의 악성 코드는 앞서 S110 단계 내지 S170 단계에 의하여 획득한 악성 코드와는 동일하거나, 다를 수도 있다. 추출된 악성 코드 정보는 악성 코드 분석 시스템(200)에 보내져 분석된다(S190).

이와 같이, S195 단계, S180 단계 S190 단계가 더 수행되면, 자바 스크립트를 이용하지 않고 악성 코드를 PDF 문서에 존재하더라도 PDF 문서 실행을 통한 동적 분석을 행함으로써, 쉽게 악성 코드를 탐지 가능하게 된다.

이상에서와 같이, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.

100 : 악성코드 탐지 시스템 110 : 객체 추출 모듈
120 : 스크립트 병합 모듈 130 : 난독화 해제 모듈
140 : 스크립트 정적 모듈 150 : 스크립트 동적 모듈
160 : 악성 코드 추출 모듈 170 : 제어 모듈
180 : PDF 동적 모듈 200 : 악성 코드 분석 시스템

Claims (10)

1. 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보를 찾아 추출하는 객체 추출 모듈;
   상기 추출된 복수 개의 객체 정보에서 각 제1 자바 스크립트 정보를 병합하여 제2 자바 스크립트 정보를 생성하는 스크립트 병합 모듈;
   상기 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있을 경우, 상기 난독화/인코딩된 제2 자바 스크립트 정보를 복호화/디코딩하여 제3 자바 스크립트 정보를 생성하는 난독화 해제 모듈;
   상기 생성된 제3 자바 스크립트 정보를 파싱하여 악성 코드로 의심되는 함수/패턴 정보를 추출하는 스크립트 정적 모듈;
   상기 추출된 악성 코드로 의심되는 함수와 패턴 정보가 포함된 제4 자바 스크립트 정보를 실행하여 악성 코드로 의심되는 행위 정보를 생성하는 스크립트 동적 모듈;
   상기 행위 정보로부터 악성 코드 정보를 추출하는 악성 코드 추출 모듈; 및
   상기 객체 추출 모듈에 의해 추출된 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 없는 경우 상기 수집된 PDF 문서를 실행시켜 행위 분석을 수행하는 PDF 동적 모듈;
   를 포함하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 시스템.
2. 삭제
3. 제 1항에 있어서,
   상기 악성 코드 추출 모듈은,
   상기 행위 분석을 통해 확인된 악성 코드 정보를 추출하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 시스템.
4. 제 3항에 있어서,
   상기 객체 추출 모듈은,
   각 텍스트 정보, 제1 자바 스크립트 정보 및 테이블 정보 중 적어도 하나 이상을 포함하는 복수 개의 객체 정보를 추출하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 시스템.
5. 제 1항에 있어서,
   상기 스크립트 정적 모듈은,
   URL, PE 파일(실행 파일), JS. HTM 파일, Run, Shell 코드 명령어, Copy 및 Create 코드 명령어 중 적어도 하나 이상을 포함하는 함수/패턴 정보를 추출하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 시스템.
6. (a) 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보를 구문 분석하는 단계;
   (b) 상기 분석 결과, 상기 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 있는지를 판단하는 단계;
   (c) 상기 판단 결과 제1 자바 스크립트 정보가 있다고 판단되면, 상기 제1 자바 스크립트 정보를 병합하는 단계;
   (d) 상기 병합에 의해 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있는지를 판단하는 단계;
   (e) 상기 판단 결과 난독화/인코딩되어 있을 경우 상기 제2 자바 스크립트 정보를 복호화/디코딩하는 단계;
   (f) 상기 복호화/디코딩되어 생성된 제3 자바 스크립트 정보를 파싱하여 스크립트 정적 분석하는 단계;
   (g) 상기 스크립트 정적 분석에 의해 악성 코드로 의심되는 함수/패턴 정보를 포함하여 생성된 제4 자바 스크립트를 스크립트 동적 분석하는 단계;
   (h) 상기 스크립트 동적 분석에 의해 획득된 행위 정보로부터 악성 코드 정보를 추출하는 단계; 및
   (i) 상기 (b) 단계의 판단 결과 제1 자바 스크립트 정보가 없다고 판단되면, 상기 수집된 PDF 문서를 실행시켜 동적 행위 분석하는 단계;
   를 포함하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 방법.
7. 삭제
8. 제 6항에 있어서,
   상기 (h) 단계는,
   (h-1) 상기 (i) 단계의 동적 행위 분석을 통해 획득된 행위 정보로부터 악성 코드 정보를 추출하는 단계;를 더 포함하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 방법.
9. 제 6항에 있어서,
   상기 (d) 단계의 판단 결과 난독화/인코딩되어 있지 않을 경우, 상기 (f) 단계는, 상기 제2 자바 스크립트 정보를 파싱하여 스크립트 정적 분석하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 방법.
10. 제 9항에 있어서,
    상기 제2 자바 스크립트 정보에 의한 스크립트 정정 분석 후, 그 결과에 대하여 상기 (g) 단계와 (h) 단계를 수행하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 방법.

Images