KR101410289B1 - system and method for tracking remote access server of malicious code - Google Patents

system and method for tracking remote access server of malicious code Download PDF

Info

Publication number
KR101410289B1
KR101410289B1 KR1020130012789A KR20130012789A KR101410289B1 KR 101410289 B1 KR101410289 B1 KR 101410289B1 KR 1020130012789 A KR1020130012789 A KR 1020130012789A KR 20130012789 A KR20130012789 A KR 20130012789A KR 101410289 B1 KR101410289 B1 KR 101410289B1
Authority
KR
South Korea
Prior art keywords
monitoring
access server
communication module
remote access
malicious
Prior art date
Application number
KR1020130012789A
Other languages
Korean (ko)
Inventor
고보승
김대희
Original Assignee
주식회사 잉카인터넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 잉카인터넷 filed Critical 주식회사 잉카인터넷
Priority to KR1020130012789A priority Critical patent/KR101410289B1/en
Priority to PCT/KR2014/000626 priority patent/WO2014123314A1/en
Application granted granted Critical
Publication of KR101410289B1 publication Critical patent/KR101410289B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a system and method for tracking a remote server accessed by a code-injection of malicious code. A system for tracking a remote access server of a malicious code comprises: an image load monitoring part for monitoring whether a process loaded in a memory is included in a communication module; a monitoring module insertion part for inserting a monitoring module, which monitors an operation for the communication module into the process; a network connection management part for receiving communication information between the communication module and the remote access server from the monitoring module inserted into the process and managing the received information; a malicious code diagnosis part for diagnosing malice of the process; and an access server tracking part for asking a query to the network connection management part about the process diagnosed as malicious by the malicious code diagnosis part and obtaining information on a remote access server having communicated with the process diagnosed as malicious.

Description

악성코드의 원격지 접속 서버 추적 시스템 및 방법 {system and method for tracking remote access server of malicious code}[0001] The present invention relates to a remote access server malicious code tracking system and method,

이 발명은 악성코드의 원격지 접속 서버 추적 시스템 및 방법에 관한 것으로서, 보다 상세하게는 코드인젝션된 악성코드가 접속하는 원격지의 서버를 추적하는 시스템 및 방법에 관한 것이다.
The present invention relates to a remote access server tracking system and method of a malicious code, and more particularly, to a system and a method for tracking a remote server to which a code-injected malicious code is connected.

트로이 목마(trojan), 제우스(Zeus), 스파이아이(Spyeye)와 같은 악성 프로그램은 임의의 실행 프로세스에 악성 코드를 인젝션(code injection)하고, 그 악성 코드 인젝션된 메모리 영역을 시작주소로 사용하는 스레드를 생성하며, 그 스레드가 구동하여 악성 코드에 대응하는 악의적인 행위를 수행한다.Malicious programs such as trojans, Zeus, and Spyeye may inject malicious code into an arbitrary execution process, and a thread that uses the malicious code injected memory area as a start address And the thread is driven to perform a malicious action corresponding to the malicious code.

최근 제우스 또는 스파이아이 프로그램에 의해 사용자 컴퓨터에 삽입된 악성 코드가 컴퓨터에 저장된 은행 거래 계좌와 비밀번호 등의 금융 정보를 해커에게 유출시켜, 해커가 그 금융 정보를 이용하여 중소기업이나 지방자치단체 은행 계정에 접근, 현금을 인출하는 금융 사고가 발생한 바 있다. 이에 이러한 코드 인젝션 기반 악성 코드에 대응하기 위한 방안이 요구되고 있다.Recently, malicious code inserted into a user's computer by the Zeus or Spy Eye program leaked financial information such as bank account and password stored in a computer to a hacker so that a hacker can use the financial information to access a bank account of a small business or a local government There has been a financial collapse in access and cash withdrawal. Therefore, there is a demand for measures against malicious code based on code injection.

이러한 악성 코드에 대응하기 위한 종래기술로서, 선행특허 대한민국 공개특허 제2011-0119918호 "정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법"에서는, 컴퓨터 시스템 상에서 실행중인 프로세스로부터 생성된 쓰레드 정보를 추출하여 상기 쓰레드와 연관된 코드를 식별하고, 상기 식별된 코드의 악성 여부를 추정하여 상기 악성으로 추정된 코드를 추출하는 악성코드 탐지모듈과, 상기 추출된 코드를 가상 환경에서 실행하여 행위를 분석한 결과에 기반하여 상기 코드를 악성코드로 최종 판단하고 상기 코드의 실행을 강제 종료하는 악성코드 강제 종료모듈을 포함한 악성코드 탐지 시스템이 제안되었다.As a prior art to cope with such malicious code, in the prior art Korean Patent Laid-Open Publication No. 2011-0119918 entitled " Apparatus, system and method for detecting malicious code inserted in the normal process, " A malicious code detection module for extracting the malicious code from the malicious code by identifying the code associated with the thread and estimating maliciousness of the identified code to extract the malicious code; A malicious code detection system including a malicious code forced termination module for finally determining the code as a malicious code based on a result and forcibly terminating the execution of the code has been proposed.

다른 선행특허로서, 대한민국 등록특허 제1206853호 "네트워크 접근 제어시스템 및 방법"에서는, 프로세스의 메모리를 검사하여 코드 인젝션 영역을 기반으로 하는 스레드를 찾고, 네트워크 필터링을 수행하여 네트워크에 접근하는 네트워크 패킷을 탐지하며, 탐지된 네트워크 패킷의 통신 주체가 코드 인젝션 기반 스레드이면 탐지된 네트워크 패킷의 트래픽이 차단되도록 하는 기술을 제안하였다.As another prior patent, Korean Patent Registration No. 1206853 entitled " Network Access Control System & Method ", a memory of a process is searched to find a thread based on a code injection area, and a network packet is accessed to access a network packet And if the communication subject of the detected network packet is a code injection based thread, the traffic of the detected network packet is blocked.

이와 같이 종래에는 임의의 프로세스에 인젝션된 악성 코드가 실행되지 못하도록 하거나, 해당 악성 코드가 악의적인 네트워크 통신을 하지 못하도록 차단하는 기술을 제안할 뿐이다. 그러나, 이와 같이 인젝션된 악성 코드가 실행되지 못하도록 차단하는 것과 동시에 해당 악성 코드와 통신하여 사용자 컴퓨터로부터 개인정보를 빼내가거나 원격지에서 사용자 컴퓨터를 조정하는 원격지 접속 서버에 대한 정보를 수집할 필요가 있다.
As described above, the conventional technology merely prevents malicious code injected into an arbitrary process from being executed or prevents the malicious code from malicious network communication. However, it is necessary to block the injected malicious code from being executed, to collect personal information from the user's computer by communicating with the malicious code, or to collect information about the remote access server which adjusts the user's computer at the remote site.

상술한 종래기술의 필요성을 충족시키기 위하여 안출된 이 발명의 목적은, 코드 인젝션 기반 악성 스레드가 통신하는 원격지 서버를 추적하는 시스템 및 방법을 제공하기 위한 것이다.
SUMMARY OF THE INVENTION It is an object of the present invention, which is conceived to satisfy the above-mentioned needs of the prior art, to provide a system and method for tracking a remote server with which a code injection based malicious thread communicates.

상술한 목적을 달성하기 위한 이 발명에 따른 악성코드의 원격지 접속 서버 추적 시스템은, 메모리에 로드되는 프로세스가 통신모듈을 포함하는지를 감시하는 이미지로드감시부와, 상기 프로세스에 상기 통신모듈의 동작을 감시하는 모니터링모듈을 삽입하는 모니터링모듈삽입부와, 상기 프로세스에 삽입된 모니터링모듈로부터 상기 통신모듈과 원격지 접속 서버와의 네트워크 통신 정보를 수신하여 관리하는 네트워크연결관리부와, 상기 프로세스의 유해성을 진단하는 악성코드진단부와, 상기 악성코드진단부에서 악성으로 진단된 프로세스에 대해 상기 네트워크연결관리부에 쿼리하여 상기 악성 진단 프로세스와 통신한 원격지 접속 서버 정보를 획득하는 접속서버추적부를 포함한 것을 특징으로 한다.In order to accomplish the above object, according to the present invention, there is provided a system for tracking a remote access server of a malicious code, comprising: an image load monitoring unit for monitoring whether a process loaded in a memory includes a communication module; A network connection management unit for receiving and managing network communication information between the communication module and the remote connection server from the monitoring module inserted in the process, and a network connection management unit for managing malicious And an access server tracking unit for obtaining remote access server information communicated with the malicious diagnostic process by querying the network connection management unit for a process diagnosed as malicious in the malicious code diagnosis unit.

또한, 이 발명에 따른 악성코드의 원격지 접속 서버 추적 방법은, 원격지 접속 서버 추적 시스템이 메모리에 로드되는 프로세스가 통신모듈을 포함하는지를 감시하는 이미지로드감시단계와, 상기 원격지 접속 서버 추적 시스템이 상기 프로세스에 상기 통신모듈의 동작을 감시하는 모니터링모듈을 삽입하는 모니터링모듈삽입단계와, 상기 원격지 접속 서버 추적 시스템이 상기 프로세스에 삽입된 모니터링모듈로부터 상기 통신모듈과 원격지 접속 서버와의 네트워크 통신 정보를 수집하는 네트워크연결관리단계와, 상기 원격지 접속 서버 추적 시스템이 악성으로 진단된 프로세스에 대해 상기 네트워크연결관리부에 쿼리하여 상기 악성 진단 프로세스와 통신한 원격지 접속 서버 정보를 획득하는 접속서버추적단계를 포함한 것을 특징으로 한다.
According to another aspect of the present invention, there is provided a remote access server tracking method for a malicious code, comprising: an image load monitoring step of monitoring whether a process of loading a remote access server tracking system into a memory includes a communication module; A monitoring module inserting step of inserting a monitoring module for monitoring the operation of the communication module in the remote access server tracking system and collecting network communication information between the communication module and the remote access server from the monitoring module inserted in the process And an access server tracking step of obtaining remote access server information communicated with the malicious diagnostic process by querying the network connection management unit for a process diagnosed by the remote access server tracking system as malicious, do.

이상과 같이 이 발명에 따르면 코드 인젝션 기반 악성 스레드가 통신하는 원격지의 공격 근원 서버를 추적하여 상기 원격지 공격자 서버에 관한 정보(IP주소 또는 URL) 정보를 수집할 수 있는 잇점이 있다.
As described above, according to the present invention, there is an advantage that information on the remote attacker server (IP address or URL) can be collected by tracking the attack origin server of the remote site communicating with the code injection based malicious thread.

도 1은 이 발명에 따른 악성코드의 원격지 접속 서버 추적 시스템을 도시한 구성 블록도이다.
도 2는 이 발명에 따른 악성코드의 원격지 접속 서버 추적 방법을 도시한 동작 흐름도이다.FIG. 1 is a block diagram showing a remote access server tracking system of a malicious code according to the present invention.
2 is a flowchart illustrating a method for tracking a remote access server of a malicious code according to the present invention.

이하, 첨부된 도면을 참조하며 이 발명에 따른 악성코드의 원격지 접속 서버 추적 시스템 및 방법에 대해 보다 상세하게 설명한다.Hereinafter, a remote access server tracking system and method according to the present invention will be described in detail with reference to the accompanying drawings.

코드 인젝션 기반 악성 프로그램은 스스로를 전파하기 위해, 컴퓨터 시스템의 신규 생성 프로세스에 동일한 악성 코드를 인젝션한다. 즉, 악성 프로그램에 감염된 컴퓨터 시스템에는, 실행 프로세스들 중 다수의 프로세스들의 메모리 영역에 코드 인젝션 영역이 존재하며, 해당 코드 인젝션 영역에 동일한 코드가 인젝션된다. 따라서, 코드 인젝션 기반 악성 프로그램은 개별적인 파일로 존재하지 않고 임의의 정상 프로세스에 인젝션되어 실행되기 때문에, 프로세스 단위로 검출 및 차단시키기는 곤란하다.Code injection-based malware injects the same malicious code into the computer system's new creation process to propagate itself. That is, in a computer system infected with a malicious program, a code injection area exists in a memory area of a plurality of processes among execution processes, and the same code is injected into the corresponding code injection area. Therefore, since the code injection-based malicious program is not present as an individual file but is injected into an arbitrary normal process and executed, it is difficult to detect and block it on a process-by-process basis.

또한, 코드 인젝션 기반 악성 프로그램은 문서 파일에 악성 코드를 인젝션하여, 사용자가 해당 문서 파일을 열람할 때 자동적으로 문서 파일에 인젝션된 악성코드가 사용자 컴퓨터에서 실행되어 다운로더로 동작하는 경우가 있다. 이와 같이 동작하는 다운로더는 원격지의 서버와 통신하여 파일을 다운받아 시스템에 설치하는데, 이렇게 설치된 파일이 악의적인 행위를 하거나, 사용자 컴퓨터에서 특정 응용 프로그램을 실행시켜서 개인 정보를 원격지 서버로 전송하는 등 사용자 컴퓨터를 조정하면서 악의적인 행위를 수행한다.In addition, a malicious code based on a code injection may inject a malicious code into a document file, and when a user views the document file, malicious code automatically injected into the document file may be executed on the user computer to operate as an downloader. The downloader operating in this way communicates with a server at a remote location to download the file and install it on the system. When the installed file maliciously acts, or when a specific application program is executed on the user's computer, personal information is transmitted to the remote server, Perform malicious acts while adjusting the computer.

이 발명은 사용자 컴퓨터에서 실행되는 임의의 스레드가 통신하는 원격지 접속 서버를 추적하는 기술을 제안한다.This invention proposes a technique for tracking a remote access server with which any thread running on a user computer communicates.

이 발명에서는 임의의 프로세스가 수행하는 네트워크 통신 정보를 프로세스별로 수집하여 저장하고, 추후 프로세스의 유해성을 진단하여 악성코드로 진단된 프로세스가 수행한 네트워크 통신을 분석하여 상기 악성 진단 프로세스와 통신한 원격지 접속 서버에 관한 정보를 획득한다.In the present invention, network communication information performed by an arbitrary process is collected and stored for each process, and the network communication performed by the process diagnosed with the malicious code is analyzed to diagnose the hazard of the process, Obtain information about the server.

도 1은 이 발명에 따른 악성코드의 원격지 접속 서버 추적 시스템을 도시한 구성 블록도이다.FIG. 1 is a block diagram showing a remote access server tracking system of a malicious code according to the present invention.

이 발명에 따른 악성코드의 원격지 접속 서버 추적 시스템(110)은, 메모리에 로드되는 프로세스(120)가 통신모듈(121)을 포함하는지를 감시하는 이미지로드감시부(111)와, 상기 프로세스(120)에 상기 통신모듈(121)의 동작을 감시하는 모니터링모듈(122)을 삽입하는 모니터링모듈삽입부(112)와, 상기 모니터링모듈(122)로부터 상기 통신모듈(121)과 원격지 접속 서버와의 네트워크 통신 정보를 수신하여 관리하는 네트워크연결관리부(113)와, 메모리에 로드된 프로세스의 유해성을 진단하는 악성코드진단부(114)와, 상기 악성코드진단부(114)에서 악성으로 판단된 프로세스에 대해 상기 네트워크연결관리부(113)에 쿼리하여 상기 프로세스와 통신한 상기 원격지 접속 서버 정보를 획득하는 접속서버추적부(115)를 포함한다.The malicious code remote access server tracking system 110 according to the present invention includes an image load monitoring unit 111 for monitoring whether a process 120 loaded in a memory includes a communication module 121, A monitoring module inserting unit 112 for inserting a monitoring module 122 for monitoring the operation of the communication module 121 in a network communication between the communication module 121 and the remote connection server, A malicious code diagnosis unit 114 for diagnosing the harmfulness of a process loaded in the memory; a network connection management unit 113 for receiving and managing the malicious code diagnosing unit 114; And an access server tracking unit 115 that queries the network connection management unit 113 to obtain the remote access server information in communication with the process.

이미지로드감시부(111)는 커널단에서 프로세스(120)별로 이미지(모듈)가 로드되는 연산을 감시한다. 이미지로드감시부(111)의 감시 결과, 통신모듈(121)이 포함된 프로세스(120)가 로드되면, 모니터링모듈삽입부(112)는 해당 프로세스에 통신모듈의 네트워크 통신을 모니터링하기 위한 모니터링모듈을 삽입한다. 모니터링모듈은 통신모듈이 사용하는 API(application programming interface) 함수를 후킹하여 통신모듈의 네트워크 통신을 모니터링한다. 이 상태에서 통신모듈(121)이 원격지 접속 서버(130)와 통신하면 모니터링모듈(122)은 이를 감지하고, 네트워크 통신 정보(프로세스식별자(PID), 네트워크 연결 정보)를 네트워크연결관리부(113)에게 전달한다. 프로세스식별자 정보로부터 사용자 컴퓨터 내에서 원격지 접속 서버와 통신을 한 프로세스 정보를 알 수 있으며, 네트워크 연결 정보를 통해 원격지 접속 서버의 IP주소 또는 URL 등의 정보를 알 수 있다.The image load monitoring unit 111 monitors an operation in which an image (module) is loaded for each process 120 at the kernel end. When the process 120 including the communication module 121 is loaded as a monitoring result of the image load monitoring unit 111, the monitoring module inserting unit 112 inserts a monitoring module for monitoring the network communication of the communication module into the process . The monitoring module monitors the network communication of the communication module by hooking API (application programming interface) function used by the communication module. In this state, when the communication module 121 communicates with the remote connection server 130, the monitoring module 122 detects this and sends the network communication information (process identifier (PID), network connection information) to the network connection management unit 113 . From the process identifier information, it is possible to know the process information that communicated with the remote connection server in the user computer, and the information such as the IP address or the URL of the remote connection server can be known through the network connection information.

네트워크연결관리부(113)는 프로세스별로 모니터링모듈(122)로부터 입력된 네트워크 통신 정보를 저장한다.The network connection management unit 113 stores the network communication information input from the monitoring module 122 for each process.

악성코드진단부(114)는 일반적인 안티 바이러스 엔진으로서, 시그너쳐 패턴 또는 행위를 기반으로 메모리에 로딩된 프로세스(120)의 유해성을 진단한다. 상기 프로세스(120)가 악성코드로 진단되면 상기 프로세스의 프로세스식별자(PID) 또는 파일 경로를 접속서버추적부(115)에게 전달한다.The malicious code diagnosis unit 114 diagnoses the harmfulness of the process 120 loaded in the memory based on a signature pattern or an action, as a general anti-virus engine. If the process 120 is diagnosed as a malicious code, the PID or the file path of the process is transmitted to the connection server tracking unit 115.

접속서버추적부(115)는 악성코드진단부(114)로부터 전달받은 프로세스식별자(PID) 또는 파일 경로를 네트워크연결관리부(113)에게 쿼리하여 상기 프로세스(120)가 수행한 네트워크 통신 정보를 획득하고, 해당 네트워크 통신 정보로부터 프로세스(120)가 접속한 원격지 접속 서버(130)의 아이피주소 또는 유알엘(URL) 정보를 획득한다.The access server tracking unit 115 queries the network connection management unit 113 for a process identifier (PID) or a file path received from the malicious code diagnosis unit 114 to obtain network communication information performed by the process 120 (URL) information of the remote access server 130 accessed by the process 120 from the network communication information.

모니터링모듈(122)은 응용단에서 네트워크 모니터링과 커널단에서 네트워크 모니터링을 모두 수행하여 네트워크연결관리부(113)에게 전달할 수 있다. 응용단에서의 네트워크 모니터링이 후킹 우회기법으로 우회될 경우 응용단에서의 네트워크 모니터링과 커널단에서의 네트워크 모니터링 결과가 일치하지 않게 되는데, 네트워크연결관리부(113)는 응용단에서의 네트워크 모니터링과 커널단에서의 네트워크 모니터링의 일치 여부에 따라 악의적인 네트워크 통신을 검출할 수 있다.
The monitoring module 122 may perform both the network monitoring at the application terminal and the network monitoring at the kernel terminal, and may transmit the network monitoring information to the network connection managing unit 113. When the network monitoring at the application side is bypassed by the hook detouring method, the network monitoring at the application end and the network monitoring result at the kernel end do not coincide with each other. The network connection managing unit 113 monitors the network monitoring at the application end, The malicious network communication can be detected according to whether or not the network monitoring in the network is consistent.

도 2는 이 발명에 따른 악성코드의 원격지 접속 서버 추적 방법을 도시한 동작 흐름도이다.2 is a flowchart illustrating a method for tracking a remote access server of a malicious code according to the present invention.

원격지 접속 서버 추적 시스템은 프로세스별로 메모리에 이미지가 로드되는지를 감시하고 메모리에 로드되는 해당 프로세스에 네트워크 연산과 관련된 통신모듈이 포함되는지를 감시한다(S21).The remote access server tracking system monitors whether an image is loaded into the memory by a process, and monitors whether the corresponding process loaded in the memory includes a communication module related to the network operation (S21).

다음, 상기 원격지 접속 서버 추적 시스템은 통신모듈이 포함된 프로세스가 로드되면, 해당 프로세스에 상기 통신모듈의 동작을 감시하는 모니터링모듈을 삽입한다(S22). 모니터링모듈은 통신모듈이 사용하는 API 함수를 후킹함으로써, 통신모듈이 네트워크 통신을 시도할 때 해당 네트워크 통신을 시도하는 프로세스 정보(PID)와 원격지 접속 서버 정보를 포함한 네트워크 통신 정보를 검출하여 원격지 접속 서버 추적 시스템에게 전달한다.Next, when the process including the communication module is loaded, the remote access server tracking system inserts a monitoring module for monitoring the operation of the communication module into the process (S22). The monitoring module detects the network communication information including the process information (PID) for attempting the network communication and the remote connection server information when the communication module attempts network communication by hooking the API function used by the communication module, To the tracking system.

다음, 상기 원격지 접속 서버 추적 시스템은 상기모니터링모듈로부터 상기 통신모듈과 원격지 접속 서버와의 네트워크 통신 정보를 수집하여 관리한다(S23).Next, the remote access server tracking system collects and manages network communication information between the communication module and the remote access server from the monitoring module (S23).

다음, 악성코드진단부는 메모리에 로드된 프로세스의 유해성을 진단하는데(S24), 상기 프로세스가 악성 코드로 진단되면(S25), 상기 원격지 접속 서버 추적 시스템은 악성 진단 프로세스에 대해 상기 네트워크연결관리부에 쿼리하여 상기 악성 진단 프로세스의 네트워크 통신 정보를 검출하고 이로부터 상기 악성 진단 프로세스와 통신한 원격지 접속 서버 정보를 획득한다.
Next, the malicious code diagnosis unit diagnoses the harmfulness of the process loaded in the memory (S24). If the malicious code is diagnosed as the malicious code (S25), the remote access server tracking system queries the network connection management unit Detects network communication information of the malicious diagnostic process, and acquires remote connection server information communicated with the malicious diagnostic process from the network communication information.

이상에서 본 발명에 대한 기술사상을 첨부도면과 함께 서술하였지만, 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술분야의 통상의 지식을 가진 자라면 누구나 본 발명의 기술사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
While the present invention has been described in connection with what is presently considered to be the most practical and preferred embodiments, it is to be understood that the invention is not limited to the disclosed embodiments. In addition, it is a matter of course that various modifications and variations are possible without departing from the scope of the technical idea of the present invention by anyone having ordinary skill in the art.

111 : 이미지로드감시부 112 : 모니터링모듈삽입부
113 : 네트워크연결감시부 114 : 악성코드진단부
115 : 접속서버추적부 120 : 프로세스
121 : 통신모듈 122 : 모니터링모듈
130 : 원격지 접속 서버111: image load monitoring unit 112: monitoring module insertion unit
113: network connection monitoring unit 114: malicious code diagnosis unit
115: connection server tracking unit 120: process
121: communication module 122: monitoring module
130: remote connection server

Claims (8)

메모리에서 프로세스별로 이미지가 로드되는 연산을 감시하여 통신모듈이 포함된 프로세스가 로드되는 지를 감지하는 이미지로드감시부와,
상기 메모리에 상기 통신모듈이 포함된 프로세스가 로드되면 상기 통신모듈이 포함된 프로세스에 상기 통신모듈의 동작을 감시하는 모니터링모듈을 삽입하는 모니터링모듈삽입부와,
상기 프로세스에 삽입된 모니터링모듈로부터 상기 통신모듈과 원격지 접속 서버와의 네트워크 통신 정보를 수신하여 관리하는 네트워크연결관리부와,
상기 프로세스의 유해성을 진단하는 악성코드진단부와,
상기 악성코드진단부에서 악성으로 진단된 프로세스에 대해 상기 네트워크연결관리부에 쿼리하여 상기 악성 진단 프로세스와 통신한 원격지 접속 서버 정보를 획득하는 접속서버추적부를 포함한 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 시스템.An image load monitoring unit monitoring an operation of loading an image on a per-process basis in the memory to detect whether a process including the communication module is loaded,
A monitoring module insertion unit for inserting a monitoring module for monitoring an operation of the communication module into a process including the communication module when a process including the communication module is loaded into the memory;
A network connection management unit for receiving and managing network communication information between the communication module and the remote connection server from the monitoring module inserted in the process,
A malicious code diagnosis unit for diagnosing the harmfulness of the process;
And an access server tracking unit for querying the network connection management unit for a process diagnosed as malicious in the malicious code diagnosis unit and acquiring remote access server information communicated with the malicious diagnostic process. system. 제 1 항에 있어서, 상기 모니터링모듈은 상기 통신모듈의 동작을 응용단과 커널단에서 감시하여 상기 네트워크연결관리부에게 제공하는 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 시스템.The system according to claim 1, wherein the monitoring module monitors an operation of the communication module at an application terminal and a kernel terminal and provides the network connection management section with the malicious code. 제 2 항에 있어서, 상기 네트워크연결관리부는 상기 응용단에서의 네트워크 통신 정보와 상기 커널단에서의 네트워크 통신 정보가 일치하는지를 판단하는 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 시스템.3. The system according to claim 2, wherein the network connection management unit determines whether the network communication information in the application unit matches the network communication information in the kernel unit. 제 1 항에 있어서, 상기 모니터링모듈은 상기 통신모듈이 사용하는 API(application programming interface) 함수를 후킹하는 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 시스템.The system according to claim 1, wherein the monitoring module hooks an application programming interface (API) function used by the communication module. 원격지 접속 서버 추적 시스템이 메모리에서 프로세스별로 이미지가 로드되는 연산을 감시하여 통신모듈이 포함된 프로세스가 로드되는 지를 감지하는 이미지로드감단계와,
상기 원격지 접속 서버 추적 시스템이 상기 메모리에 상기 통신모듈이 포함된 프로세스가 로드되면 상기 통신모듈이 포함된 프로세스에 상기 통신모듈의 동작을 감시하는 모니터링모듈을 삽입하는 모니터링모듈삽입단계와,
상기 원격지 접속 서버 추적 시스템이 상기 프로세스에 삽입된 모니터링모듈로부터 상기 통신모듈과 원격지 접속 서버와의 네트워크 통신 정보를 수집하는 네트워크연결관리단계와,
상기 원격지 접속 서버 추적 시스템이 악성으로 진단된 프로세스에 대해 상기 네트워크연결관리단계에서 수집된 네트워크 통신 정보를 쿼리하여 상기 악성 진단 프로세스와 통신한 원격지 접속 서버 정보를 획득하는 접속서버추적단계를 포함한 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 방법.An image loading step of monitoring a process of loading an image by a process in a memory in the remote connection server tracking system to detect whether a process including the communication module is loaded,
Inserting a monitoring module for monitoring the operation of the communication module into a process including the communication module when the process including the communication module is loaded into the memory;
A network connection management step in which the remote access server tracking system collects network communication information between the communication module and the remote access server from the monitoring module inserted in the process;
And an access server tracking step of obtaining remote access server information communicated with the malicious diagnostic process by querying the network communication information collected in the network connection management step for the process diagnosed by the remote access server tracking system as malicious A remote access server tracking method of malicious code. 제 5 항에 있어서, 상기 모니터링모듈은 상기 통신모듈의 동작을 응용단과 커널단에서 감시하여 상기 원격지 접속 서버 추적 시스템에게 제공하는 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 방법.[6] The method of claim 5, wherein the monitoring module monitors operation of the communication module at an application terminal and a kernel terminal, and provides the monitoring result to the remote access server tracking system. 제 6 항에 있어서, 상기 네트워크연결관리단계는 상기 원격지 접속 서버 추적 시스템이 상기 응용단에서의 네트워크 통신 정보와 상기 커널단에서의 네트워크 통신 정보가 일치하는지를 판단하는 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 방법.The network connection management method according to claim 6, wherein, in the network connection management step, the remote access server tracking system determines whether the network communication information in the application terminal matches the network communication information in the kernel terminal How to track the server. 제 5 항에 있어서, 상기 모니터링모듈은 상기 통신모듈이 사용하는 API(application programming interface) 함수를 후킹하는 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 방법.

6. The method of claim 5, wherein the monitoring module hooks an application programming interface (API) function used by the communication module.

KR1020130012789A 2013-02-05 2013-02-05 system and method for tracking remote access server of malicious code KR101410289B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130012789A KR101410289B1 (en) 2013-02-05 2013-02-05 system and method for tracking remote access server of malicious code
PCT/KR2014/000626 WO2014123314A1 (en) 2013-02-05 2014-01-22 System and method for tracking remote access server accessed by mallicious code

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130012789A KR101410289B1 (en) 2013-02-05 2013-02-05 system and method for tracking remote access server of malicious code

Publications (1)

Publication Number Publication Date
KR101410289B1 true KR101410289B1 (en) 2014-06-20

Family

ID=51133603

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130012789A KR101410289B1 (en) 2013-02-05 2013-02-05 system and method for tracking remote access server of malicious code

Country Status (2)

Country Link
KR (1) KR101410289B1 (en)
WO (1) WO2014123314A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9680843B2 (en) 2014-07-22 2017-06-13 At&T Intellectual Property I, L.P. Cloud-based communication account security
CN114465752B (en) * 2021-12-10 2024-06-28 奇安信科技集团股份有限公司 Remote call detection method and device, electronic equipment and storage medium

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030069241A (en) * 2002-02-19 2003-08-27 한국전자통신연구원 Apparatus and method for tracking an intruder's origin
KR20120076100A (en) * 2010-12-29 2012-07-09 한남대학교 산학협력단 A malware detection system in open mobile platform

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101053470B1 (en) * 2009-04-14 2011-08-03 박한규 Apparatus and method to prevent harmful traffic control and hacking

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030069241A (en) * 2002-02-19 2003-08-27 한국전자통신연구원 Apparatus and method for tracking an intruder's origin
KR20120076100A (en) * 2010-12-29 2012-07-09 한남대학교 산학협력단 A malware detection system in open mobile platform

Also Published As

Publication number Publication date
WO2014123314A1 (en) 2014-08-14

Similar Documents

Publication Publication Date Title
AU2020203503B2 (en) Automated runtime detection of malware
US10893068B1 (en) Ransomware file modification prevention technique
US10509906B2 (en) Automated code lockdown to reduce attack surface for software
EP3014813B1 (en) Rootkit detection by using hardware resources to detect inconsistencies in network traffic
US20170255777A1 (en) Methods and apparatus for identifying and removing malicious applications
US8181248B2 (en) System and method of detecting anomaly malicious code by using process behavior prediction technique
US8918878B2 (en) Restoration of file damage caused by malware
CN103294950B (en) A kind of high-power secret information stealing malicious code detecting method based on backward tracing and system
US20170359333A1 (en) Context based switching to a secure operating system environment
US20140053267A1 (en) Method for identifying malicious executables
GB2485622A (en) Server detecting malware in user device.
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
KR101799366B1 (en) Server Apparatus for Dynamic Secure Module and Driving Method Thereof
KR20150124370A (en) Method, apparatus and system for detecting malicious process behavior
CN107465702B (en) Early warning method and device based on wireless network intrusion
CN101964026A (en) Method and system for detecting web page horse hanging
WO2017185827A1 (en) Method and apparatus for determining suspicious activity of application program
CN111898124B (en) Process access control method and device, storage medium and electronic equipment
CN107566401B (en) Protection method and device for virtualized environment
CN107666464B (en) Information processing method and server
CN114065196A (en) Java memory horse detection method and device, electronic equipment and storage medium
US8978150B1 (en) Data recovery service with automated identification and response to compromised user credentials
CN116340943A (en) Application program protection method, device, equipment, storage medium and program product
KR20090111416A (en) Method for detecting malicious site, method for gathering information of malicious site, apparatus, system, and recording medium having computer program recorded
KR101410289B1 (en) system and method for tracking remote access server of malicious code

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190617

Year of fee payment: 6