KR101431192B1 - 모바일 단말의 루팅 공격 이벤트 검출 방법 - Google Patents
모바일 단말의 루팅 공격 이벤트 검출 방법 Download PDFInfo
- Publication number
- KR101431192B1 KR101431192B1 KR1020130033171A KR20130033171A KR101431192B1 KR 101431192 B1 KR101431192 B1 KR 101431192B1 KR 1020130033171 A KR1020130033171 A KR 1020130033171A KR 20130033171 A KR20130033171 A KR 20130033171A KR 101431192 B1 KR101431192 B1 KR 101431192B1
- Authority
- KR
- South Korea
- Prior art keywords
- mobile terminal
- daemon
- event
- server
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
본 발명은 모바일 단말의 루팅 공격 이벤트 검출 방법에 관한 것으로서, 안드로이드 기반의 다수의 모바일 단말 및 상기 다수의 모바일 단말 내에서 발생한 이벤트 정보를 수집, 저장 및 분석하는 서버에 의해 수행되는 모바일 단말의 루팅 공격 이벤트 검출 방법에 있어서, 상기 모바일 단말에서, 상기 모바일 단말 내에서 생성되는 서비스와 프로세스 정보를 모니터링하고, 이벤트 추출, 수집 및 분석을 실행하는 적어도 하나 이상의 데몬(Daemon) 프로세스를 백그라운드 서비스로 구동하며, 상기 모바일 단말에서 발생하는 이벤트 정보를 상기 서버로 전송하는 데몬 프로세스 실행 단계; 및 상기 서버에서, 상기 데몬 프로세스에 의해 각 모바일 단말별로 생성된 이벤트 정보를 수집 및 저장하고, 상기 수집된 이벤트 정보를 분석하여 각 모바일 단말에 대한 루팅 공격으로 인해 발생하는 이벤트를 검출하는 이벤트 검출 단계를 포함한다. 따라서, 본 발명은 실험용 악성 어플리케이션을 이용하여 모바일 단말에 대한 보안 취약성을 분석하고, 이 보안 취약성에 능동적으로 대응할 수 있는 모니터링 데몬과 이와 연동하는 프린트 데몬을 생성하고, 서버에서 데몬 기반 이벤트 정보 추출을 통해 각 모바일 단말에 대한 악성 코드 및 루팅 공격 여부를 효율적으로 탐지할 수 있으며, 모바일 단말 내의 개인 정보와 금융 정보를 외부 서버로 유출시킬 수 있는 루팅을 통한 악성 어플리케이션의 확산을 방지할 수 있다.
Description
본 발명은 모바일 단말의 루팅 공격 이벤트 검출 방법에 관한 것으로, 보다 상세하게는 데몬 프로세스를 이용하여 모바일 단말 내에서 발생하는 서비스와 프로세스 정보를 모니터링하고, 서버에서 커널 내부에서 발생하는 이벤트 정보를 수집 및 저장한 후에 이벤트 정보를 분석하여 각 모바일 단말에 대한 루팅 공격으로 인해 발생하는 이벤트를 검출할 수 있는 모바일 단말의 루팅 공격 이벤트 검출 방법에 관한 것이다.
최근, 상용 모바일 단말에서는 악성 코드를 내포해서 정상 어플리케이션인 것처럼 배포된 악성 어플리케이션을 이용한 다양한 공격들이 증가하고 있다. 특히, 공격자가 악성 어플리케이션에 악성코드를 삽입하여 루팅(Rooting) 공격을 수행한 후 상용 모바일 단말 내 저장된 사용자의 SMS, 전화번호부, 공인인증서 등과 같은 개인정보 및 금융정보를 외부 서버로 유출시키는 공격으로 인해 사회적으로 큰 문제점으로 대두되고 있다.
루팅(Rooting)이란 안드로이드 플랫폼을 탑재한 모바일 단말에서 관리자 권한을 획득하는 것으로, 리눅스 환경에서 안드로이드 운영체제의 최고 권한 계정인 루트 계정을 획득해 모든 파일과 프로그램에 접근할 수 있는 과정을 의미한다.
루트킷(rootkit) 기반 루팅 공격 기법 중 모바일 단말의 사용자 자신이 직접 단말에 대한 루팅 과정을 수행하는 과정에 대해 살펴보면 다음과 같다.
안드로이드는 리눅스 운영체제를 기반으로 하는 모바일 단말은 사용자가 모바일 단말에 대한 관리자 권한을 획득할 수 없지만, 안드로이드 기반 모바일 단말에 대해 사용자 자신이 직접 루팅 과정을 수행할 경우에 자신의 모바일 단말에 대해 신규 폰트 추가 및 수정, 프로세스 성능 향상 및 모바일 단말 사용자 인터페이스에 대한 변경 등의 작업을 수행할 수 있다.
이와 같이 단말 사용자에 의해 능동적으로 모바일 단말에 대한 관리자 권한을 획득할 수 있는 루팅 프로그램으로는 SuperOneClick, Universal Androot, Z4root 및 Odin 등이 있다. 이 어플리케이션은 모바일 단말 사용자가 직접 모바일 단말에 대한 관리자 권한을 획득하기 위해 사용하는 선의의 루팅 어플리케이션에 해당한다. 예를들어, SuperOne Click인 경우 “Microsoft.NET Frame work 2.0” 이상의 환경에서 작동되며, 거의 모든 모바일 단말에 대한 루팅 과정 및 언루팅 과정을 지원하지만 반드시 PC와 연동되어 구동된 상태에서 모바일 단말에 대한 관리자 권한을 획득하게 된다.
SuperOne Click의 실행 과정은 USB를 이용하여 모바일 단말과 PC를 연결한 후에 SuperOneClick프로그램을 실행시켜 ‘Root’ 버튼을 클릭하고, 모바일 단말을 재부팅 한 다음에 모바일 단말 내에 추가로 설치된 ‘Superuser’ 어플리케이션을 실행하여 관리자 권한을 획득하게 된다. 다른 루팅 어플리케이션인 경우 SuperOneClick과 유사한 방식으로 진행된다.
루트킷(rootkit) 기반 루팅 공격 기법 중 공격자에 의한 모바일 단말 루팅 방식을 살펴보면 다음과 같다.
모바일 단말의 사용자에 의해 직접 실행되는 루팅 모듈은 악의적인 모바일 어플리케이션에 포함되어 모바일 단말 내의 중요 개인 정보 등을 외부로 유출하는 과정에 악용될 수 있다. 안드로이드 기반 모바일 단말에 대해 루팅 과정을 통해 관리자 권한을 획득하기 위해 원시적 코드로 널리 알려진 것이 ‘RageAgainstTheCage’ 방식이다. 이 방식은 C 언어 기반 NDK 방식으로 모바일 악성 어플리케이션에 포함되어 모바일 단말에 대한 관리자 권한을 획득하는 과정을 수행한다. 사용자가 ‘RageAgainstTheCage’ 루트킷(Rootkit)을 내포한 악성 어플리케이션을 설치 및 실행하면, 크로스 컴파일(Cross Compile)된 바이너리(Binary) 형태의 악성 코드 파일을 안드로이드 기기에 복사한 후 ‘chmod’ 명령어를 이용하여 단말 내부 특정 폴더에 대한 접근권한을 변경하고, 리눅스 쉘(Linux Shell)을 통해 400회 이상의 Fork()명령어를 실행하여 프로세스를 생성한다. 이후 리눅스 커널 내 버퍼 오버플로우(Buffer overflow)에 의해 더 이상 프로세스를 실행할 수 없으면 리눅스 쉘이 강제로 종료되고 이후 쉘에 접속할 때 단말 커널에 대한 관리자 권한을 획득하는 방식이다.
이와 같이, Fork() 함수를 이용한 프로세스 복제를 통해 관리자 권한을 획득하는 ‘RageAgainstTheCage’ 방식은 안드로이드 운영체제 2.3버전인 GingerBread로 업데이트 되면서 취약점이 수정/보완되었으나, GingerBreak라는 새로운 방식의 루트킷이 등장하게 된다.
GingerBreak 루트킷은 리눅스 쉘에서 ‘init’ 프로세스에 의해 실행되는 메시지에 대해 후킹(Message hooking) 방식을 통해 관리자 권한을 획득하게 된다. GingerBreak는 기존 변조된 su파일을 내포하고 있으며, 이를 시스템 폴더에 복사함으로써 영구적인 루팅을 수행하게 된다.
루팅 기법은 임시적인 루팅 및 영구적인 루팅으로 분류될 수 있다. 임시적인 루팅은 언루팅 과정없이 루팅 후 시스템 재부팅을 할 경우 원상복구가 되며, 영구적인 루팅은 사용자가 언루팅 과정을 수행해야만 복구가 된다. GingerBreak에서는 영구적인 루팅을 제공하고 있으며, 임시적인 루팅과 영구적인 루팅은 su파일의 시스템 폴더 복사 유무로 구분된다.
GingerMaster 루트킷 방식은 GingerBreak 방식과 유사하나 루팅후 수행되는 과정에서 기존의 GingerBreak 방식보다 많은 정보를 외부로 유출, 전송하는 기능을 제공한다고 알려져 있다. 주요 작동 방식 및 구조는 GingerMaster와 유사한 것으로 알려져 있다. 안드로이드 기반 모바일 단말을 대상으로 하는 루트킷으로 기존 바이러스 스캔 도구들에서 검출되지 않는 강력한 악성 소프트웨어라고 할 수 있다.
GingerMaster는 일반적인 앱에 은닉/포함되어 백그라운드 형태로 추가적인 기능을 구동시키고, 안드로이드 기반 모바일 단말 내 사용자 정보를 수집한 뒤에 특정 외부 서버로 정보를 전송하는 기능을 포함하고 있다.
GingerMaster 루트 킷 방식은 gbfm.png 라는 파일 이름으로 포함되어 안드로이드 단말에 대한 루트 권한을 획득하게 된다. GingerMaster는 루트 권한을 획득한 이후에 C&C 서버에 접속하여 서버에 저장된 악성 코드를 안드로이드 단말 내부로 다운로드하여 사용자도 모르게 모바일 단말 내에 악성코드를 설치하게 된다. 그런 후에 내부 정보를 외부로 전송하게 된다.
이와 같이, 루트 킷 기반 루팅 과정을 수행하게 되면 안드로이드 기반 모바일 단말의 사용자는 모바일 단말 내의 기본 시스템 구조에 대한 변경 등을 수행할 수 있다. 또한 모바일 단말 내 키패드 위치 등을 수정하거나, 설치된 앱 등에 대해 자유롭게 수정/삭제 또는 변경 등의 과정을 수행할 수 있다.
또한 루트 킷 기반 루팅 공격이 발생하였을 경우에, 모바일 단말 내에 저장된 개인정보 등이 사용자도 모르게 외부로 유출될 수 있는 문제점이 있다. 모바일 단말 내 연락처 정보, SMS 송수신 내역 그리고 웹페이지 접속 기록 등이 외부로 유출될 수 있다는 문제점 등으로 인해 루팅 공격은 매우 심각한 문제를 야기할 수 있다.
안드로이드 플랫폼을 대상으로 알려진 루트킷을 포함한 악성 어플리케이션에는 여러 가지가 있으나, 그 중에서 대표적인 형태를 살펴보면 다음과 같다.
도 1은 안드로이드 기반 모바일 단말의 악성 어플리케이션들 중 DroidOS/Spitmo 트로이목마의 일례를 도시한 도면이고, 도 2는 도 1은 안드로이드 기반 모바일 단말의 악성 어플리케이션들 중 DroidDeluxe의 일례를 도시한 도면이다.
도 1을 참고하면, 첫 번째로, DroidOS/Spitmo 트로이목마(SpyEye)는 은행 어플리케이션에 악성코드를 삽입하여 구매자에게 다운로드를 유도한 다음에 상용 모바일 단말에 설치한 후 특정 숫자로 전화 걸기를 유도하여 과금을 발생시키는 방식이다. 활성화된 악성코드로 인해 트로이목마가 설치되면 단말내 SMS 기록을 탈취해서 공격자가 지정한 C&C 서버로 전송하는 기능을 포함하고 있다.
도 2를 참고하면, 두 번째로, DroidDeluxe 어플리케이션의 경우, 루트권한을 획득하는 악성코드가 포함된 악성 어플리케이션으로, 실행 시에 제조사, 모델명, 각 디바이스 정보 등 상용 모바일 단말에 관련된 내부 정보를 수집해서 특정 구글 계정으로 전송한다. DroidDeluxe 어플리케이션이 실행되면 상용 모바일 단말내 개인정보 관련 파일에 대해 읽기 및 쓰기가 가능하도록 접근모드를 변경하여 중요 개인정보가 외부로 유출된다.
세 번째로, BaseBridge 어플리케이션인 경우, 안드로이드 2.3 이전의 버전에 존재하는 취약점을 이용한 방식으로, BaseBridge 어플리케이션이 실행될 경우 원격 서버에 접속해서 상용 모바일 단말의 IMSI(International Mobile Subscriber Identity), OS 내부 설정 정보 등을 전송하고, SMS 관련 송수신 정보를 외부로 유출시키며 특정 SMS를 삭제하는 기능을 포함하고 있다.
마지막으로는, CruiseWind 어플리케이션인 경우, SMS를 릴레이하는 악성코드가 내재되어 있으며 사용자도 모르게 FlashService가 자동으로 설치되어 원격 서버와 통신하는 기능을 포함하고 있다. 이 CruiseWind 어플리케이션은 원격 서버로부터 XML로 설정된 파일을 다운로드한 후에 파일 내 인코딩된 특정 번호로 메시지를 지속적으로 전송해서 과도한 요금이 발생하도록 유도한다. 하지만 이런 과정에 대해 단말 사용자가 인지하지 못하도록 하기 위해 악성 어플리케이션에 의해 송신된 메시지는 자동으로 삭제하는 기능도 포함되어 있다.
이 외에도 SimpleEpo, Hexbot, BullMoose 등 다양한 형태의 악성 어플리케이션이 존재한다. SimpleEpo는 트로이 목마 형태의 악성 어플리케이션이며, Hexbot 는 정상적인 웹 서버에 내에 제공되는 HTML 파일에 공격 코드가 포함된 자바 스크립트를 자동으로 삽입하는 기능을 포함하고 있다. BullMoose는 Hexbot과 유사한 공격을 수행하는 악성 어플리케이션으로, Hexbot의 변종된 악성 어플리케이션이라고 볼 수 있다.
이와 같이, 안드로이드 기반 모바일 단말의 악성 어플리케이션이 루트 킷 기반 루팅 과정을 수행하게 되면 안드로이드 사용자는 모바일 단말 내 기본 시스템 구조에 대한 변경 등을 수행할 수 있고, 안드로이드 단말내 키패드 위치 등을 수정하거나, 단말내 설치된 앱 등에 대해 자유롭게 수정/삭제 또는 변경 등의 과정을 수행할 수 있다.
또한, 안드로이드 기반 모바일 단말에서 루팅 공격이 발생하였을 경우에, 모바일 단말내에 저장된 개인정보 등이 사용자도 모르게 외부로 유출될 수 있는 문제점이 있다. 또한, 모바일 단말내 연락처 정보, SMS 송수신 내역 그리고 웹페이지 접속 기록 등이 외부로 유출될 수 있어 안드로이드 기반 모바일 단말 내에서 발생되는 루팅 공격은 매우 심각한 문제를 야기할 수 있다.
이러한 악성 어플리케이션의 확산을 막기 위해서 안드로이드 기반 모바일 단말 내 루팅 프로그램을 분석하고 악성 어플리케이션들의 특성을 분석할 필요가 있다. 이를 통해 향후 상용 모바일 단말을 대상으로 악성 어플리케이션에 대응할 수 있는 환경을 제공할 수 있다.
본 발명은 실험용 악성 어플리케이션을 이용하여 모바일 단말에 대한 보안 취약점을 분석하고, 이 보안 취약점에 능동적을 대응할 수 있는 데몬 프로세스를 생성함으로써 모바일 단말 내에서 발생하는 서비스와 프로세스 정보를 모니터링하며, 커널 내부에서 발생하는 이벤트 정보를 서버로 전송함으로써 서버에서 이벤트 정보를 수집, 저장 및 분석하여 각 모바일 단말에 대한 악성 코드 및 루팅 공격 여부를 효율적으로 탐지할 수 있는 모바일 단말의 루팅 공격 이벤트 검출 방법을 제공한다.
실시예들 중에서, 모바일 단말의 루팅 공격 이벤트 검출 방법은, 안드로이드 기반의 다수의 모바일 단말 및 상기 다수의 모바일 단말 내에서 발생한 이벤트 정보를 수집, 저장 및 분석하는 서버에 의해 수행되는 모바일 단말의 루팅 공격 이벤트 검출 방법에 있어서, 상기 모바일 단말에서, 상기 모바일 단말 내에서 생성되는 서비스와 프로세스 정보를 모니터링하고, 이벤트 추출, 수집 및 분석을 실행하는 적어도 하나 이상의 데몬(Daemon) 프로세스를 백그라운드 서비스로 구동하며, 상기 모바일 단말에서 발생하는 이벤트 정보를 상기 서버로 전송하는 데몬 프로세스 실행 단계; 및 상기 서버에서, 상기 데몬 프로세스에 의해 각 모바일 단말별로 생성된 이벤트 정보를 수집 및 저장하고, 상기 수집된 이벤트 정보를 분석하여 각 모바일 단말에 대한 루팅 공격으로 인해 발생하는 이벤트를 검출하는 이벤트 검출 단계를 포함하되, 상기 데몬 프로세스 실행 단계는, 상기 모바일 단말에 대한 루팅(Rooting) 과정을 수행하여 해당 모바일 단말에 대한 관리자 권한을 획득하고, 상기 루팅 과정을 수행한 후에 상기 모바일 단말 내에 저장된 정보를 외부로 유출하는 적어도 하나 이상의 루트킷을 삽입한 실험용 악성 어플리케이션을 제작하여 실행하는 단계; 및 상기 실험용 악성 어플리케이션을 실행하여 상기 모바일 단말에 대한 루팅 공격에 따른 보안 취약성을 분석하고, 상기 분석 결과를 통대로 상기 적어도 하나 이상의 데몬 프로세스를 생성하는 단계를 포함한다.
삭제
이때, 상기 적어도 하나 이상의 데몬 프로세스를 생성하는 단계는, NDK(Native Development Kit) 기반의 코딩 및 크로스 컴파일(Cross compile) 과정을 수행하여 ARM(ARM, Advanced RISC Machines) 프로세서 환경에서 구동될 수 있도록 적어도 하나 이상의 데몬 프로세스를 생성할 수 있다.
한편, 상기 적어도 하나 이상의 데몬 프로세스는, 상기 데몬 관련 부모 프로세스로부터 자식 프로세스가 생성된 후에 상기 부모 프로세스는 종료되고, 상기 자식 프로세스는 새로운 세션을 생성하여 자신이 리더(leader)가 된 후에 무한 반복 및 실행 과정을 계속하면서 해당 서비스를 제공할 수 있다.
상기 이벤트 검출 단계는, 상기 모바일 단말의 안드로이드 플랫폼의 커널(Kernel) 내부에서 발생되는 서비스와 프로세스 정보를 모니터링하는 모니터링 데몬을 실행하는 단계; 상기 모니터링 데몬이 백그라운드 서비스로 구동되면서 상기 커널 내부에서 발생하는 이벤트 정보를 로그 형태로 상기 서버에 전송하는 프린트 데몬을 실행하는 단계; 및 상기 서버에서 프린트 데몬을 통해 전송받은 각 단말의 이벤트 정보를 수집 및 저장하고, 상기 수집된 이벤트 정보를 분석하여 각 모바일 단말에 대한 루팅 공격으로 인해 발생하는 이벤트를 검출하는 단계를 포함할 수 있다.
상기 프린트 데몬을 실행하는 단계는, 상기 이벤트 정보를 수집하고, 유저(USER), PID, PPID, 네임(Name)의 검색 기능을 구현하고, 상기 프린트 데몬의 실행화면에 제공되는 DB 버튼이 클릭되면 현재 시점의 프로세스 정보를 상기 서버로 전송하며, 상기 프린트 데몬의 실행 화면에서 제공되는 토글(Toggle) 버튼이 클릭되면 상기 서버로의 정보 전송이 활성화되면서 해당 어플리케이션이 종료되어도 상기 프로세스 정보를 상기 서버로 계속 전송할 수 있다.
상기 모니터링 데몬을 실행하는 단계는, 상기 모니터링 데몬의 실행 화면은 유저(USER), PID, PPID, 네임(Name) 순으로 메인 화면이 출력될 수 있다.
상기 서버에서 프린트 데몬을 통해 전송받은 각 단말의 이벤트 정보를 수집 및 저장하는 단계는, 상기 서버 내에 포함된 MySQL(SQL:structured query language)을 통한 데이터베이스를 구축하고, 상기 데이터베이스 내에 유저(USER), PID, PPID, VSIZE, RSS, WCHAN, PC, 네임(Name) 순으로 저장할 수 있다.
본 발명의 모바일 단말의 루팅 공격 이벤트 검출 방법은 실험용 악성 어플리케이션을 이용하여 모바일 단말에 대한 보안 취약성을 분석하고, 이 보안 취약성에 능동적으로 대응할 수 있는 데몬 프로세스를 생성하여 모바일 단말 내에서 발생하는 서비스와 프로세스 정보를 모니터링할 뿐만 아니라 커널 내부에서 발생하는 이벤트 정보를 서버로 전송하며, 서버에서 데몬 기반 이벤트 정보 추출을 통해 각 모바일 단말에 대한 악성 코드 및 루팅 공격 여부를 효율적으로 탐지할 수 있고, 모바일 단말 내의 개인 정보와 금융 정보를 외부 서버로 유출시킬 수 있는 루팅을 통한 악성 어플리케이션의 확산을 방지할 수 있는 효과가 있다.
도 1은 안드로이드 기반 모바일 단말의 악성 어플리케이션들 중 DroidOS/Spitmo 트로이목마의 일례를 도시한 도면이다.
도 2는 도 1은 안드로이드 기반 모바일 단말의 악성 어플리케이션들 중 DroidDeluxe의 일례를 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 모바일 단말의 루팅 공격 이벤트 검출 방법에 적용되는 모바일 단말과 서버의 관계를 설명하는 도면이다.
도 4는 본 발명의 일 실시예에 따른 모바일 단말의 루팅 공격 이벤트 검출 방법을 설명하는 순서도이다.
도 5는 도 4에 적용되는 실험용 악성 어플리케이션의 실행 화면을 설명하는 예시도이다.
도 6은 도 5의 실험용 악성 어플리케이션에 의한 모바일 단말 내의 개인정보 압축 및 전송 과정을 설명하는 예시도이다.
도 7은 도 5의 실험용 악성 어플리케이션에 의해 모바일 단말로부터 전송된 공인인증서 및 폰 정보를 보여주는 예시도이다.
도 8은 도 5의 실험용 악성 어플리케이션에 의해 모바일 단말로부터 전송된 전화번호부 목록의 정보를 보여주는 예시도이다.
도 9는 도 5의 실험용 악성 어플리케이션에 의해 모바일 단말로부터 전송된 전화번호부 목록 및 웹 정보를 보여주는 예시도이다.
도 10은 도 5의 실험용 악성 어플리케이션에 의해 모바일 단말로부터 전송된 공인인증서 및 SQLiteDB 테이블을 보여주는 예시도이다.
도 11은 도 4의 데몬 프로세스의 실행 과정을 설명하는 순서도이다.
도 12는 도 4의 데몬 프로세스에 의한 프로세스 정보 전송 과정을 설명하는 예시도이다.
도 13은 본 발명의 일 실시예에 따른 모바일 단말의 루팅 공격 이벤트 검출 방법에 의한 모바일 단말에서의 루팅 공격 탐지 결과를 설명하는 예시도이다.
도 2는 도 1은 안드로이드 기반 모바일 단말의 악성 어플리케이션들 중 DroidDeluxe의 일례를 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 모바일 단말의 루팅 공격 이벤트 검출 방법에 적용되는 모바일 단말과 서버의 관계를 설명하는 도면이다.
도 4는 본 발명의 일 실시예에 따른 모바일 단말의 루팅 공격 이벤트 검출 방법을 설명하는 순서도이다.
도 5는 도 4에 적용되는 실험용 악성 어플리케이션의 실행 화면을 설명하는 예시도이다.
도 6은 도 5의 실험용 악성 어플리케이션에 의한 모바일 단말 내의 개인정보 압축 및 전송 과정을 설명하는 예시도이다.
도 7은 도 5의 실험용 악성 어플리케이션에 의해 모바일 단말로부터 전송된 공인인증서 및 폰 정보를 보여주는 예시도이다.
도 8은 도 5의 실험용 악성 어플리케이션에 의해 모바일 단말로부터 전송된 전화번호부 목록의 정보를 보여주는 예시도이다.
도 9는 도 5의 실험용 악성 어플리케이션에 의해 모바일 단말로부터 전송된 전화번호부 목록 및 웹 정보를 보여주는 예시도이다.
도 10은 도 5의 실험용 악성 어플리케이션에 의해 모바일 단말로부터 전송된 공인인증서 및 SQLiteDB 테이블을 보여주는 예시도이다.
도 11은 도 4의 데몬 프로세스의 실행 과정을 설명하는 순서도이다.
도 12는 도 4의 데몬 프로세스에 의한 프로세스 정보 전송 과정을 설명하는 예시도이다.
도 13은 본 발명의 일 실시예에 따른 모바일 단말의 루팅 공격 이벤트 검출 방법에 의한 모바일 단말에서의 루팅 공격 탐지 결과를 설명하는 예시도이다.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
한편, 본 발명에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
도 3은 본 발명의 일 실시예에 따른 모바일 단말의 루팅 공격 이벤트 검출 방법에 적용되는 모바일 단말과 서버의 관계를 설명하는 도면이다.
도 3을 참고하면, 모바일 단말의 루팅 공격 이벤트 검출 방법은 안드로이드 기반의 다수의 모바일 단말(100) 및 각 모바일 단말(100) 내에서 발생한 이벤트 정보를 수집, 저장 및 분석하는 서버(200)에 의해 수행되고, 모바일 단말(100)과 서버(200)는 모두 쓰레드(Thread)로 구성되어 상위 버전에서도 작동할 수 있도록 한다.
서버(200)는 이벤트 정보를 로그 형태로 저장하는 로그 DB(210)와 이벤트 정보를 유저(USER), PID, PPID, VSIZE, RSS, WCHAN, PC, 네임(Name) 순으로 저장하는 MySQL DB(220)를 포함하지만 이에 한정되지는 않는다.
따라서, 프린트 데몬(Print Daemon)을 포함한 데몬 어플리케이션을 실행할 경우에, 안드로이드 기반의 리눅스 커널 내 데몬이 실행되면서 로그 DB(210)와 MySQL DB(220)를 구축한 서버(200)를 통해 주요 프로세스의 로그 정보를 확인할 수 있고, 유저(USER), PID, PPID, 네임(Name) 중에서 선택을 해서 해당 정보에 관한 로그들을 정렬할 수 있으며, 유저(USER), PID, PPID 및 네임(Name)을 검색 조건으로 악성 어플리케이션에서 발생한 이벤트 정보를 추출할 수도 있다.
도 4는 본 발명의 일 실시예에 따른 모바일 단말의 루팅 공격 이벤트 검출 방법을 설명하는 순서도이다.
도 4를 참고하면, 모바일 단말의 루팅 공격 이벤트 검출 방법은, 상용 모바일 단말(100)의 보안 취약성을 분석하기 위해 모바일 단말(100)에 대한 루팅 과정수행 후에 개인 정보 및 금융 정보를 외부로 유출시키는 적어도 하나 이상의 루트킷을 삽입한 실험용 악성 어플리케이션을 제작한다.(단계 S1)
실험용 악성 어플리케이션에 삽입한 루트킷 중에서 BinBreak 루트킷은 어플리케이션이 시작된 후에 바로 관리자 권한을 얻기 위하여 커널에서 루트 권한을 획득하고, 획득한 관리자 권한을 이용하여 tar라는 압축도구로 공인 인증서 폴더를 압축하여 서버(200)로 전송하고, 전화번호부 또는 웹 접속기록 등을 SQLite 형태로 저장하여 서버(200)로 전송하며, 특정 SMS 문자를 수신했을 경우에 자동으로 녹음을 시작하여 서버(200)로 전송하는 기능을 구현한다.
BinBreak에서의 루팅 과정은 모바일 단말(100)에 대해 관리자 권한을 획득하기 위해 사용되는 모듈로써 안드로이드 내의 리눅스 커널에서 수행되는 볼륨 데몬(Volume Daemon)을 통하여 넷링크메시지(NetLinkMessage)를 스푸핑(Spoofing) 하는 방식으로 구동된다.
일례로, BinBreak 방식은 최초 루팅 프로세스가 시작되면 "/proc/net/netlink"라는 파일을 통하여 현재 실행중인 프로세스들의 ID를 받아와 "/proc/<PID>/cmdline" 파일을 통하여 볼륨 데몬의 PID를 찾는다. 그 다음 "/etc/vold.fstable" (볼륨 데몬의 파일 시스템 테이블)을 통하여 디바이스(Device) 정보를 찾은 후 볼륨 데몬의 PID를 이용하여 소켓을 연결시키고 특정 메시지를 보내 루트 권한을 획득한다.
도 5는 도 4에 적용되는 실험용 악성 어플리케이션의 실행 화면을 설명하는 예시도이다.
도 5를 참고하면, 실험용 악성 어플리케이션은 "게임 재개" 부분을 누르게 되면 응용 프로그램에 포함되어 있 BinBreak 방식의 루트킷이 자동으로 구동되는 방식으로서, 실험용 악성 어플리케이션을 'Andoku'라고 명명하였지만 응용 어플리케이션에 따라 다르게 명명할 수도 있다.
즉, 안드로이드 기반 모바일 단말(100)의 사용자가 실험용 악성 어플리케이션을 실행하면, 이 어플리케이션의 내부에 삽입된 BinBreak 방식의 루트킷이 사용자도 모르게 실행되면서 모바일 단말(100)에 대한 관리자 권한을 획득하게 된다.
실험용 악성 어플리케이션은 루팅 과정을 수행한 후에는 전화번호부, SMS 목록 및 인터넷 접속 기록 등 모바일 단말(100) 내에 저장된 개인정보를 외부로 유출하는 기능을 포함하고 있다. 또한 사용자가 모바일 단말(100)을 통해서 금융 서비스를 이용할 경우 모바일 단말(100) 내에 저장되어 있는 공인인증서를 공격자가 지정한 외부 서버로 압축하여 전송하는 기능을 포함하고 있다.
도 6은 도 5의 실험용 악성 어플리케이션에 의한 모바일 단말 내의 개인정보 압축 및 전송 과정을 설명하는 예시도이고, 도 7은 도 5의 실험용 악성 어플리케이션에 의해 모바일 단말로부터 전송된 공인인증서 및 폰 정보를 보여주는 예시도이며, 도 8은 도 5의 실험용 악성 어플리케이션에 의해 모바일 단말로부터 전송된 전화번호부 목록의 정보를 보여주는 예시도이고, 도 9는 도 5의 실험용 악성 어플리케이션에 의해 모바일 단말로부터 전송된 전화번호부 목록 및 웹 정보를 보여주는 예시도이며, 도 10은 도 5의 실험용 악성 어플리케이션에 의해 모바일 단말로부터 전송된 공인인증서 및 SQLiteDB 테이블을 보여주는 예시도이다.
도 6을 참고하면, 실험용 악성 어플리케이션은 모바일 단말(100) 내에 저장된 개인정보를 수집하여 이를 압축하고 외부로 전송됨을 확인할 수 있다. 모바일 단말(100) 내에 저장된 개인정보를 압축한 후에 외부로 전송하기 ZimCompress 클래스를 추가로 개발하여 보다 효율적인 압축 전송 기능을 제공할 수 있다. 또한 모바일 단말(100) 내 SQLite에 저장된 개인정보도 외부 서버로 전송되는 것을 확인할 수 있다.
모바일 단말(100) 내에 생성 및 보관되고 있는 DB 내부 테이블 구조를 살펴보면 이름, 전화번호 및 웹 접속 정보 등을 포함하고 있다. 따라서 실험용 악성 어플리케이션을 실행하게 되면 도 7에 도시된 바와 같이 사용자는 자신도 모르게 내부 인터넷 접속 기록과 폰 내부에 저장된 전화번호부 목록 등을 외부 서버로 전송하게 된다. 또한 모바일 단말(100) 내에서 구동되고 있는 패키지 정보 등도 외부 서버에 전송할 수 있다.
또한, 모바일 단말(100) 내에 실행되고 있는 실험용 악성 어플리케이션을 클릭하면 도 8 및 도 9에 도시된 바와 같이 전화번호부 목록과 웹 서버 접속 기록 등이 외부 서버로 전송되는 것을 확인할 수 있다.
도 10에 도시된 바와 같이, 모바일 단말(100) 내에 저장된 사용자의 공인인증서를 외부 서버로 압축하여 전송되는 것을 확인할 수 있고, 모바일 단말(100) 내 SQLite DB 내에 저장된 정보를 외부 서버에서 확인할 수 있다.
이와 같이, 모바일 단말(100)에 실험용 악성 어플리케이션이 설치되어 실행될 경우에, 실험용 악성 어플리케이션의 내부에 삽입된 루트킷이 실행되어 관리자 권한을 불법적으로 획득한 후에 모바일 단말(100) 내 저장된 개인정보, 웹 정보 및 공인인증서 정보 등이 외부로 손쉽게 전송될 수 있다는 보안 취약점이 발견되었으며, 이러한 보안 취약점을 분석하여 능동적으로 대응할 수 있는 데몬 프로세스를 생성한다.(단계 S2)
다시 도 4를 참고하면, 모바일 단말의 루팅 공격 이벤트 검출 방법은 크로스 컴파일(Cross Compile) 과정을 수행하여 데몬 프로세스를 생성한다.(단계 S3) 크로스 컴파일 과정은 호스트 시스템과 타겟 시스템의 환경이 서로 호환되지 않을 때 서로의 환경에 맞도록 컴파일하는 것을 의미한다. 즉, 안드로이드 플랫폼에서 해당 데몬 프로세스를 적용하기 위해 NDK 기반 코딩 및 크로스 컴파일 과정을 통해 ARM 프로세스 환경에서 구동될 수 있는 데몬 프로세스를 생성한다.
예를 들어, 데몬 프로세스 생성 과정은 컴파일러 소프트웨어 도구(일례로, Sourcery G++ Lite)를 이용하여 빌드 플랫폼 타겟이 크로스 컴파일러를 설치한 후에 모바일 단말(100) 내 이벤트에 대한 수집 기능을 제공하는 daemon.c 파일을 생성하고, 이 daemon.c 파일을 크로스 컴파일한다.
이때, 컴파일 과정을 통해 생성된 background.png 파일을 모바일 단말(100) 내의 특정 폴더로 삽입하고, background.png 파일이 저장된 폴더에 대한 접근 권한을 변경한 후에 이를 실행하면 모바일 단말(100)에 새로운 데몬 프로세스가 커널 내에 추가적으로 삽입되어 실행된다.
이와 같이, 안드로이드 커널 내에서 삽입된 데몬 프로세스를 이용하여 모바일 단말(100) 내에서 생성되는 서비스 및 프로세스 정보를 획득할 수 있으며, 이를 기반으로 악성 어플리케이션에 의해 발생하는 이상현상에 대한 분석이 가능하다.
데몬 프로세스는 해당 커널 시스템 내에서 백그라운드 서비스로 구동되어 운영체제가 종료될 때까지 실행 상태를 유지한다. 데몬 프로세스는 유즈넷(USENET)에 뉴스를 전달하하는 nntpd, 시스템에 로그인한 사용자의 정보를 제공하는 fingerd, 웹 서버 기능을 제공하는 httpd 및 부트 서버 기능을 수행하는 bootpd 등을 포함한다.
도 11은 도 4의 데몬 프로세스의 실행 과정을 설명하는 순서도로서, 이를 참고하면 다양한 기능을 제공하는 데몬 프로세스는 실행과정에서 데몬 관련 부모 프로세스로부터 자식 프로세스가 생성된 후에 부모 프로세스는 그대로 종료되고(단계 S11), 자식 프로세스는 새로운 세션을 생성해서 자신이 리더가 된 후 무한 반복 및 실행 과정을 계속하면서 해당 서비스를 제공한다.(단계 S12~ S14)
이와 같이 구현되는 데몬 프로세스를 이용할 경우에, 안드로이드 기반 모바일 단말(100) 내 커널 내부에서 발생하는 프로세스 및 서비스에 대한 확인 및 검색 기능을 이용할 수 있다.
즉, 악성 어플리케이션에 의해서 커널 내에서 생성되는 서비스와 프로세스 정보를 모니터링하는 모니터링 데몬이 실행되고, 프린트 데몬 프로세스가 백그라운드 서비스로 구동되면서 커널 내부에서 발생하는 이벤트 정보에 대해 로그 형태로 서버(200)에 전송된다.(단계 S4) 서버(200)는 다수의 모바일 단말(100)에서 발생한 이벤트 정보에 대해서 수집 및 저장할 뿐만 아니라 수집된 이벤트 정보에 대한 분석을 통해 각 모바일 단말(100)에 대한 루팅 공격으로 인해 발생하는 이벤트를 검출한다.(단계 S5)
또한, 프린트 데몬 프로세스에 의해서 모바일 단말(100) 내에서 발생하는 이벤트 정보를 수집하며, 유저(User), PID, PPID, 네임(Name) 등으로 검색하는 기능을 구현할 수 있다.
도 12는 도 4의 데몬 프로세스에 의한 프로세스 정보 전송 과정을 설명하는 예시도이고, 도 13은 본 발명의 일 실시예에 따른 모바일 단말의 루팅 공격 이벤트 검출 방법에 의한 모바일 단말에서의 루팅 공격 탐지 결과를 설명하는 예시도이다.
도 12를 참고하면, 모바일 단말(100)의 사용자가 프린트 데몬의 실행 화면 내에서 Send DB 버튼을 클릭하면 현재 시점의 프로세스 정보를 서버(200)로 전송하고, 서버(200)는 Log DB(210)에 이를 저장한 후 각 모바일 단말(100)별로 생성된 이벤트 정보 및 주요 프로세스의 로그 정보를 확인할 수 있다. 또한 각 모바일 단말에서 발생한 이벤트에 대한 PID, PPID 등에 대한 검색 기능도 제공할 수 있다.
모바일 단말(100)의 사용자가 프린트 데몬의 실행 화면 내에서 토글(Toggle) 버튼을 클릭하면 서버(200)로의 프로세스 정보 전송이 활성화되면서 어플리케이션을 종료하여도 프로세스 정보를 계속 서버(200) 전송하며, 어플리케이션을 다시 실행할 경우에 실행 여부에 따라서 버튼 상태가 켜짐이나 꺼짐으로 바뀌게 된다.
모니터링 데몬의 실행 화면은 User, PID, PPID, Name 순으로 메인 화면에 출력이 되고, 서버(200)의 MySQL DB(220) 내에는 User, PID, PPID, VSIZE, RSS, WCHAN, PC, NAME 순으로 저장함으로써 User, PID, PPID 및 Name을 검색 조건으로 하면 악성 어플리케이션에서 발생한 이벤트 정보를 추출할 수 있으며, User와 PID, PPID, Name 중에 선택을 해서 해당 정보에 관한 로그들을 정렬할 수도 있다.
이러한 프린트 데몬 및 모니터링 데몬은 루팅 과정을 수행한 후에 모바일 단말(100) 내의 금융정보를 불법적으로 유출하는 악성 어플리케이션 뿐만 아니라 정상 어플리케이션으로 위장한 수많은 악성 어플리케이션을 사용자가 다운받아 설치하였을 경우에 발생하는 공격 이벤트에 대한 추출 및 수집 기능을 제공한다.
따라서, 백그라운드 서비스로 구동되는 데몬 프로세스를 통해 모바일 단말(100) 내 서비스 및 프로세스 정보들을 모니터링하기 때문에 루팅 공격 모듈에 의해 발생하는 이상현상을 탐지할 수 있는 기능을 제공한다.
도 13에 도시된 바와 같이, 서버(200)는 모니터링 데몬과 이와 연동하는 프린트 데몬을 이용한 이벤트 정보 추출 방식을 통해 악성코드가 삽입된 악성 어플리케이션이 실행되면 B(210, 220)에 수집된 이벤트 정보를 이용하여 모바일 단말(100) 대한 악성코드 및 루팅 공격 여부를 탐지한다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100 : 안드로이드 기반 모바일 단말 200 : 서버
210 : Log DB 220 : MySQL DB
210 : Log DB 220 : MySQL DB
Claims (8)
- 안드로이드 기반의 다수의 모바일 단말 및 상기 다수의 모바일 단말 내에서 발생한 이벤트 정보를 수집, 저장 및 분석하는 서버에 의해 수행되는 모바일 단말의 루팅 공격 이벤트 검출 방법에 있어서,
상기 모바일 단말에서, 상기 모바일 단말 내에서 생성되는 서비스와 프로세스 정보를 모니터링하고, 이벤트 추출, 수집 및 분석을 실행하는 적어도 하나 이상의 데몬(Daemon) 프로세스를 백그라운드 서비스로 구동하며, 상기 모바일 단말에서 발생하는 이벤트 정보를 상기 서버로 전송하는 데몬 프로세스 실행 단계; 및 상기 서버에서, 상기 데몬 프로세스에 의해 각 모바일 단말별로 생성된 이벤트 정보를 수집 및 저장하고, 상기 수집된 이벤트 정보를 분석하여 각 모바일 단말에 대한 루팅 공격으로 인해 발생하는 이벤트를 검출하는 이벤트 검출 단계를 포함하되,
상기 데몬 프로세스 실행 단계는,
상기 모바일 단말에 대한 루팅(Rooting) 과정을 수행하여 해당 모바일 단말에 대한 관리자 권한을 획득하고, 상기 루팅 과정을 수행한 후에 상기 모바일 단말 내에 저장된 정보를 외부로 유출하는 적어도 하나 이상의 루트킷을 삽입한 실험용 악성 어플리케이션을 제작하여 실행하는 단계; 및
상기 실험용 악성 어플리케이션을 실행하여 상기 모바일 단말에 대한 루팅 공격에 따른 보안 취약성을 분석하고, 상기 분석 결과를 통대로 상기 적어도 하나 이상의 데몬 프로세스를 생성하는 단계를 포함하는 것을 특징으로 하는 모바일 단말의 루팅 공격 이벤트 검출 방법.
- 삭제
- 제1항에 있어서, 상기 적어도 하나 이상의 데몬 프로세스를 생성하는 단계는,
NDK(Native Development Kit) 기반의 코딩 및 크로스 컴파일(Cross compile) 과정을 수행하여 ARM(ARM, Advanced RISC Machines) 프로세서 환경에서 구동될 수 있도록 적어도 하나 이상의 데몬 프로세스를 생성하는 것을 특징으로 하는 모바일 단말의 루팅 공격 이벤트 검출 방법.
- 제3항에 있어서, 상기 적어도 하나 이상의 데몬 프로세스는,
상기 데몬 관련 부모 프로세스로부터 자식 프로세스가 생성된 후에 상기 부모 프로세스는 종료되고, 상기 자식 프로세스는 새로운 세션을 생성하여 자신이 리더(leader)가 된 후에 무한 반복 및 실행 과정을 계속하면서 해당 서비스를 제공하는 것을 특징으로 하는 모바일 단말의 루팅 공격 이벤트 검출 방법.
- 제1항에 있어서, 상기 이벤트 검출 단계는,
상기 모바일 단말의 안드로이드 플랫폼의 커널(Kernel) 내부에서 발생되는 서비스와 프로세스 정보를 모니터링하는 모니터링 데몬을 실행하는 단계;
상기 모니터링 데몬이 백그라운드 서비스로 구동되면서 상기 커널 내부에서 발생하는 이벤트 정보를 로그 형태로 상기 서버에 전송하는 프린트 데몬을 실행하는 단계; 및
상기 서버에서 프린트 데몬을 통해 전송받은 각 단말의 이벤트 정보를 수집 및 저장하고, 상기 수집된 이벤트 정보를 분석하여 각 모바일 단말에 대한 루팅 공격으로 인해 발생하는 이벤트를 검출하는 단계를 포함하는 것을 특징으로 하는 모바일 단말의 루팅 공격 이벤트 검출 방법.
- 제5항에 있어서, 상기 프린트 데몬을 실행하는 단계는,
상기 이벤트 정보를 수집하고, 유저(USER), PID, PPID, 네임(Name)의 검색 기능을 구현하고,
상기 프린트 데몬의 실행화면에 제공되는 DB 버튼이 클릭되면 현재 시점의 프로세스 정보를 상기 서버로 전송하며,
상기 프린트 데몬의 실행 화면에서 제공되는 토글(Toggle) 버튼이 클릭되면 상기 서버로의 정보 전송이 활성화되면서 해당 어플리케이션이 종료되어도 상기 프로세스 정보를 상기 서버로 계속 전송하는 것을 특징으로 하는 모바일 단말의 루팅 공격 이벤트 검출 방법.
- 제5항에 있어서, 상기 모니터링 데몬을 실행하는 단계는,
상기 모니터링 데몬의 실행 화면은 유저(USER), PID, PPID, 네임(Name) 순으로 메인 화면이 출력되는 것을 특징으로 하는 모바일 단말의 루팅 공격 이벤트 검출 방법.
- 제6항에 있어서, 상기 서버에서 프린트 데몬을 통해 전송받은 각 단말의 이벤트 정보를 수집 및 저장하는 단계는,
상기 서버 내에 포함된 MySQL(SQL:structured query language)을 통한 데이터베이스를 구축하고, 상기 데이터베이스 내에 유저(USER), PID, PPID, VSIZE, RSS, WCHAN, PC, 네임(Name) 순으로 저장하는 것을 특징으로 하는 모바일 단말의 루팅 공격 이벤트 검출 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130033171A KR101431192B1 (ko) | 2013-03-28 | 2013-03-28 | 모바일 단말의 루팅 공격 이벤트 검출 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130033171A KR101431192B1 (ko) | 2013-03-28 | 2013-03-28 | 모바일 단말의 루팅 공격 이벤트 검출 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101431192B1 true KR101431192B1 (ko) | 2014-08-19 |
Family
ID=51750653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020130033171A KR101431192B1 (ko) | 2013-03-28 | 2013-03-28 | 모바일 단말의 루팅 공격 이벤트 검출 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101431192B1 (ko) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20160082016A (ko) * | 2014-12-30 | 2016-07-08 | 고려대학교 산학협력단 | 안드로이드 프로세스간 통신 모니터링을 이용한 개인정보 유출 탐지 기법 |
| KR101874418B1 (ko) | 2018-03-22 | 2018-07-05 | 주식회사 디오아이 | 분산 환경 내 관제 대상 애플리케이션 자동 검색 및 등록 방법 |
| CN112257065A (zh) * | 2020-09-28 | 2021-01-22 | 网宿科技股份有限公司 | 一种进程事件处理方法和装置 |
| CN113407940A (zh) * | 2021-06-21 | 2021-09-17 | 成都欧珀通信科技有限公司 | 脚本检测方法、装置、存储介质以及计算机设备 |
| CN113626787A (zh) * | 2021-08-27 | 2021-11-09 | 京东方科技集团股份有限公司 | 设备指纹生成方法及相关设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100078081A (ko) * | 2008-12-30 | 2010-07-08 | (주) 세인트 시큐리티 | 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법 |
| KR101038048B1 (ko) * | 2009-12-21 | 2011-06-01 | 한국인터넷진흥원 | 봇넷 악성행위 실시간 분석 시스템 |
| KR101223594B1 (ko) * | 2011-01-28 | 2013-01-17 | 한남대학교 산학협력단 | Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체 |
-
2013
- 2013-03-28 KR KR1020130033171A patent/KR101431192B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100078081A (ko) * | 2008-12-30 | 2010-07-08 | (주) 세인트 시큐리티 | 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법 |
| KR101038048B1 (ko) * | 2009-12-21 | 2011-06-01 | 한국인터넷진흥원 | 봇넷 악성행위 실시간 분석 시스템 |
| KR101223594B1 (ko) * | 2011-01-28 | 2013-01-17 | 한남대학교 산학협력단 | Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체 |
Non-Patent Citations (1)
| Title |
|---|
| 논문1(2012.03) * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20160082016A (ko) * | 2014-12-30 | 2016-07-08 | 고려대학교 산학협력단 | 안드로이드 프로세스간 통신 모니터링을 이용한 개인정보 유출 탐지 기법 |
| KR101640033B1 (ko) | 2014-12-30 | 2016-07-15 | 고려대학교 산학협력단 | 안드로이드 프로세스간 통신 모니터링을 이용한 개인정보 유출 탐지 기법 |
| KR101874418B1 (ko) | 2018-03-22 | 2018-07-05 | 주식회사 디오아이 | 분산 환경 내 관제 대상 애플리케이션 자동 검색 및 등록 방법 |
| WO2019182345A1 (en) * | 2018-03-22 | 2019-09-26 | Doi Labs. Inc. | Method of automatically searching for and registering controlled application in distributed environment |
| CN112257065A (zh) * | 2020-09-28 | 2021-01-22 | 网宿科技股份有限公司 | 一种进程事件处理方法和装置 |
| CN113407940A (zh) * | 2021-06-21 | 2021-09-17 | 成都欧珀通信科技有限公司 | 脚本检测方法、装置、存储介质以及计算机设备 |
| CN113626787A (zh) * | 2021-08-27 | 2021-11-09 | 京东方科技集团股份有限公司 | 设备指纹生成方法及相关设备 |
| CN113626787B (zh) * | 2021-08-27 | 2024-01-30 | 京东方科技集团股份有限公司 | 设备指纹生成方法及相关设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Corina et al. | Difuze: Interface aware fuzzing for kernel drivers | |
| Xu et al. | Iccdetector: Icc-based malware detection on android | |
| Spreitzenbarth et al. | Mobile-Sandbox: combining static and dynamic analysis with machine-learning techniques | |
| Spreitzenbarth et al. | Mobile-sandbox: having a deeper look into android applications | |
| Rasthofer et al. | Harvesting runtime values in Android applications that feature anti-analysis techniques. | |
| Weichselbaum et al. | Andrubis: Android malware under the magnifying glass | |
| Rastogi et al. | Appsplayground: automatic security analysis of smartphone applications | |
| Carmony et al. | Extract Me If You Can: Abusing PDF Parsers in Malware Detectors. | |
| Bläsing et al. | An android application sandbox system for suspicious software detection | |
| US7540030B1 (en) | Method and system for automatic cure against malware | |
| JP5690689B2 (ja) | アプリケーション解析装置およびプログラム | |
| Gianazza et al. | Puppetdroid: A user-centric ui exerciser for automatic dynamic analysis of similar android applications | |
| KR101431192B1 (ko) | 모바일 단말의 루팅 공격 이벤트 검출 방법 | |
| CN103390130A (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
| JP5723760B2 (ja) | アプリケーション解析装置、アプリケーション解析システム、およびプログラム | |
| US20220027470A1 (en) | Context-based analysis of applications | |
| Schlumberger et al. | Jarhead analysis and detection of malicious java applets | |
| Case et al. | Hooktracer: Automatic detection and analysis of keystroke loggers using memory forensics | |
| Botacin et al. | Antiviruses under the microscope: A hands-on perspective | |
| JP2012022380A (ja) | ログ抽出システムおよびプログラム | |
| Qin et al. | UCRF: Static analyzing firmware to generate under-constrained seed for fuzzing SOHO router | |
| Nguyen et al. | Exploitation and detection of a malicious mobile application | |
| JP2012083909A (ja) | アプリケーション特性解析装置およびプログラム | |
| Hasan et al. | Enhancing monkey to trigger malicious payloads in android malware | |
| CN112182569A (zh) | 一种文件识别方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| N231 | Notification of change of applicant | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20170725 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20180724 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20190805 Year of fee payment: 6 |