KR102152317B1 - Method of deriving TTPS from IoC related with malware - Google Patents

Method of deriving TTPS from IoC related with malware Download PDF

Info

Publication number
KR102152317B1
KR102152317B1 KR1020190150247A KR20190150247A KR102152317B1 KR 102152317 B1 KR102152317 B1 KR 102152317B1 KR 1020190150247 A KR1020190150247 A KR 1020190150247A KR 20190150247 A KR20190150247 A KR 20190150247A KR 102152317 B1 KR102152317 B1 KR 102152317B1
Authority
KR
South Korea
Prior art keywords
ioc
ttps
malware
file
blacklist
Prior art date
Application number
KR1020190150247A
Other languages
Korean (ko)
Inventor
강병완
박석영
Original Assignee
(주)피즐리소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)피즐리소프트 filed Critical (주)피즐리소프트
Priority to KR1020190150247A priority Critical patent/KR102152317B1/en
Application granted granted Critical
Publication of KR102152317B1 publication Critical patent/KR102152317B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention provides a method which generates an IoC table including at least one of a malware IoC, an IP blacklist IoC, and a URL blacklist IoC by analyzing a pre-detected malicious file by analyzing a detection event of an existing security solution, and extracts a process and a procedure (TTPs) of a malicious suspicious file using the generated IoC table, so as to provide fragmented information on targeted attacks and visibility into detailed techniques and procedures of the attack.

Description

기탐지된 악성파일의 IoC를 이용한 악성의심파일의 TTPs를 추출하는 방법{Method of deriving TTPS from IoC related with malware}Method of deriving TTPs from IoC related with malware using IoC of previously detected malicious files {Method of deriving TTPS from IoC related with malware}

본 발명은 컴퓨터 네트워크의 보안에 관한 것으로서, 특히 악성파일과 관련된 IoC로부터 공격의 TTPs를 추출하여 네트워크의 보안을 향상시키는데 기여할 수 있는 기술에 관한 것이다. The present invention relates to the security of a computer network, and in particular, to a technology that can contribute to improving the security of the network by extracting the TTPs of an attack from IoC related to a malicious file.

4차 산업혁명을 맞이하여 컴퓨터 네트워크의 중요성은 더욱 더 높아지고 있다. 사람들은 손쉽게 데스크톱, 노트북, 테블릿, 또는 스마트폰을 이용하여 인터넷이나 인트라넷 등의 네트워크에 접속하여 정보를 얻거나 제공한다. In the face of the Fourth Industrial Revolution, the importance of computer networks is increasing. People easily use desktops, laptops, tablets, or smartphones to access networks such as the Internet or intranet to obtain or provide information.

인터넷이나 인트라넷 같은 네트워크는 사회 문화 경제 등 다양한 분야에서 인프라로 폭 넓게 이용되고 있으나, 반대로 인터넷의 보안 취약점으로 인해 사이버 문화의 마비와 온라인 신뢰 기반의 저하 등 새로운 사회 혼란 요인을 야기시키고 있다 Networks such as the Internet and Intranet are widely used as infrastructure in various fields such as socio-cultural economy, but on the contrary, the security vulnerability of the Internet causes new social confusion factors such as paralysis of cyber culture and deterioration of the online trust foundation.

악의적인 사용자에 의한 위협을 방지하기 위하여 여러가지 기술들이 개발되고 있다. 그 중 하나는 내부 보안 솔루션인 내부 침입탐지/방지시스템(IDPS: Intrusion Detection/Prevention System)이다. 내부 침입탐지/방지시스템은 이미 정해져있는 규칙(Rule)을 기반으로 위협을 탐지 및 차단한다. 다른 하나는 외부 위협 인텔리전스(external Threat intelligence)이다. 외부 위협 인텔리전스란 다양한 출처로부터의 위협 정보를 취합하여 공유 및 제공하는 서비스를 의미한다. 즉, 조직 내부의 인력 또는 시스템에서 발생한 것이 아닌 외부에서 발생하는 사이버 위협에 관한 정보(IP, URL, Domain, Hash, YARA)를 제공받아 그 위협에 대응하는 것을 말한다. Various technologies are being developed to prevent threats by malicious users. One of them is the internal security solution, the Intrusion Detection/Prevention System (IDPS). The internal intrusion detection/prevention system detects and blocks threats based on already established rules. The other is external threat intelligence. External threat intelligence refers to a service that collects, shares, and provides threat information from various sources. In other words, it means responding to the threat by receiving information about cyber threats (IP, URL, Domain, Hash, YARA) that occur outside the organization, not from personnel or systems inside the organization.

그런데 내부 침입탐지/방지시스템이나 외부 위협 인텔리전스나 지금까지는 단편적인 공격에 대한 정보만을 이용하는데 그치고 있다. 특히 문제는 표적형 공격(Target attack)이다. 네트워크 보인에서는 표적형 공격을 정확하게 탐지 및 분석하고 잠재적인 위협에 선제적으로 대응할 것이 요구되는데, 이는 매우 어려운 일이다. 현재까지 알려진 멀웨어(Known malware)는 기존의 안티 멀웨어(anti-malware)나 백신과 같은 솔루션으로 대응할 수 있다. 하지만 신종 또는 변종의 멀웨어를 사용하는 표적형 공격의 경우에는 기존의 안티 멀웨어(anti-malware)나 백신과 같은 솔루션으로 대응하는 것에 한계가 있다.However, it has only been using information on internal intrusion detection/prevention systems, external threat intelligence, and fragmentary attacks so far. In particular, the problem is a target attack. Network Vaughin requires accurate detection and analysis of targeted attacks and proactive response to potential threats, which is very difficult. Known malware can be countered by solutions such as existing anti-malware or vaccines. However, in the case of targeted attacks using new or variant malware, there is a limit to responding with solutions such as existing anti-malware or vaccines.

결국 신종 또는 변종의 멀웨어를 탐지하고 대응하는 것은 네트워크의 보안성 향상에 매우 중요한 이슈이다. After all, detecting and responding to new or variant malware is a very important issue in improving the security of the network.

본 발명의 발명자들은 이러한 문제점에 대해 깊이 고민한 끝에 기존의 보안솔루션의 탐지 이벤트를 분석하여 기탐지된 악성파일의 IoC를 이용하여 악성의심파일의 프로세스 및 프로시져(TTPs: Tactics Techniques and Procedures)에 대한 가시성을 제공함으로써 신종 또는 변종의 멀웨어를 이용한 표적형 공격에 대해서도 효율적으로 대응할 수 있는 장치 또는 방법에 관한 본 발명을 완성하기에 이르렀다. The inventors of the present invention analyze the detection event of the existing security solution after deeply thinking about this problem, and use the IoC of the previously detected malicious file to determine the process and procedures (TTPs: Tactics Techniques and Procedures) of the malicious file. By providing visibility, the present invention has been accomplished with respect to a device or method capable of efficiently responding to targeted attacks using new or variant malware.

본 발명의 목적은 보안솔루션의 탐지 이벤트를 분석하여 기탐지된 악성파일의 IoC를 이용하여 악성의심파일의 프로세스 및 프로시져(TTPs: Tactics Techniques and Procedures)에 대한 가시성을 제공함으로써 신종 또는 변종의 멀웨어를 이용한 표적형 공격에 대해서도 효율적으로 대응할 수 있는 방법을 제공하는 것에 있다.It is an object of the present invention to analyze a detection event of a security solution and provide visibility to the process and procedures (TTPs: Tactics Techniques and Procedures) of a malicious file using the IoC of a previously detected malicious file, thereby preventing new or variant malware. It is to provide a method that can efficiently respond to the used targeted attack.

한편, 본 발명의 명시되지 않은 또 다른 목적들은 하기의 상세한 설명 및 그 효과로부터 용이하게 추론할 수 있는 범위 내에서 추가적으로 고려될 것이다.Meanwhile, other objects not specified of the present invention will be additionally considered within a range that can be easily deduced from the following detailed description and effects thereof.

위와 같은 과제를 달성하기 위해 본 발명의 바람직한 실시예의 악성의심파일의 TTPs(Tactics Techniques and Procedures)의 추출 방법은, 이벤트 소스로부터 기탐지된 악성파일의 이벤트와 새롭게 탐지된 악성의심파일의 이벤트를 전송받아 파싱하는 단계; 파싱된 기탐지된 악성파일의 이벤트로부터 멀웨어 IoC, IP 블랙리스트 IoC, URL 블랙리스트 IoC로 인덱싱하고 저장하고, 파싱된 새롭게 탐지된 악성의심파일의 이벤트를 YARA 파일 IoC로 인덱싱하고 저장하는 단계; 및 기탐지된 악성파일로부터 생성된 멀웨어 IoC, IP 블랙리스트 IoC, URL 블랙리스트 IoC와 새롭게 탐지된 악성의심파일로부터 생성된 YARA 파일 IoC을 이용하여 TTPs를 추출하여 TTPs 테이블을 생성하는 단계;를 포함하고, 상기 TTPs 테이블을 생성하는 단계는 멀웨어 기반 TTPs 추출 방법에 의해 수행되며,상기 멀웨어 기반 TTPs 추출 방법은, (A-1) 멀웨어 IoC의 Hash의 Remote IP와 IP 블랙리스트 IoC의 Remote IP가 동일한 리스트를 추출하는 단계; (A-2) 멀웨어 IoC의 Hash의 C&C와 URL 블랙리스트 IoC의 URL이 동일한 리스트를 추출하는 단계; (A-3) A-1 단계와 A-2 단계에서 추출한 리스트를 시간을 기준으로 정렬하는 단계; 및 (A-4) A-3 단계에서 LIP(Local IP)에 대한 시간을 기준으로 정렬하는 단계;를 포함한다.
위와 같은 과제를 달성하기 위해 본 발명의 다른 바람직한 실시예의 악성의심파일의 TTPs(Tactics Techniques and Procedures)의 추출 방법은, 기탐지된 악성파일을 이용하여 새롭게 탐지된 악성파일의 프로세스 및 프로시져(TTPs)를 추출하는 방법으로서: 이벤트 소스로부터 기탐지된 악성파일의 이벤트와 새롭게 탐지된 악성의심파일의 이벤트를 전송받아 파싱하는 단계; 파싱된 기탐지된 악성파일의 이벤트로부터 멀웨어 IoC, IP 블랙리스트 IoC, URL 블랙리스트 IoC로 인덱싱하고 저장하고, 파싱된 새롭게 탐지된 악성의심파일의 이벤트를 YARA 파일 IoC로 인덱싱하고 저장하는 단계; 및 기탐지된 악성파일로부터 생성된 멀웨어 IoC, IP 블랙리스트 IoC, URL 블랙리스트 IoC와 새롭게 탐지된 악성의심파일로부터 생성된 YARA 파일 IoC을 이용하여 TTPs를 추출하여 TTPs 테이블을 생성하는 단계;를 포함하고, 상기 TTPs 테이블을 생성하는 단계는 IP 블랙리스트 기반 TTPs 추출방법에 의해 수행되며, 상기 IP 블랙리스트 기반 TTPs 추출방법은, (B-1) 멀웨어 IoC의 Remote IP와 동일한 멀웨어의 리스트를 추출하는 단계; (B-2) 멀웨어 IoC의 Remote IP가 동일한 CVE 리스트를 추출하는 단계; 및 (B-3) LIP(Local IP)에 멀웨어 리스트와 CVE 리스트를 시간을 기준으로 정렬하는 단계;를 포함한다. In order to achieve the above task, the method of extracting TTPs (Tactics Techniques and Procedures) of malicious suspicious files according to a preferred embodiment of the present invention transmits events of previously detected malicious files and events of newly detected malicious suspicious files from an event source. Receiving and parsing; Indexing and storing the parsed event of the previously detected malicious file as malware IoC, IP blacklist IoC, URL blacklist IoC, and indexing and storing the parsed event of the newly detected malicious suspicious file as YARA file IoC; And generating a TTPs table by extracting TTPs using the malware IoC, IP blacklist IoC, URL blacklist IoC, and YARA file IoC generated from the newly detected malicious suspicious file from the previously detected malicious file; including; And, the step of generating the TTPs table is performed by a malware-based TTPs extraction method, and the malware-based TTPs extraction method includes (A-1) the remote IP of the hash of the malware IoC and the remote IP of the IP blacklist IoC. Extracting a list; (A-2) extracting a list in which the C&C of the hash of the malware IoC and the URL of the URL blacklist IoC are the same; (A-3) sorting the list extracted in steps A-1 and A-2 based on time; And (A-4) sorting based on the time for LIP (Local IP) in step A-3.
In order to achieve the above problem, the method of extracting TTPs (Tactics Techniques and Procedures) of malicious suspicious files according to another preferred embodiment of the present invention is a process and procedure (TTPs) of newly detected malicious files using previously detected malicious files. A method of extracting: receiving and parsing an event of a previously detected malicious file and an event of a newly detected malicious file from an event source; Indexing and storing the parsed event of the previously detected malicious file as malware IoC, IP blacklist IoC, URL blacklist IoC, and indexing and storing the parsed event of the newly detected malicious suspicious file as YARA file IoC; And generating a TTPs table by extracting TTPs using the malware IoC, IP blacklist IoC, URL blacklist IoC, and YARA file IoC generated from the newly detected malicious suspicious file from the previously detected malicious file; including; And, the step of creating the TTPs table is performed by an IP blacklist-based TTPs extraction method, and the IP blacklist-based TTPs extraction method includes (B-1) extracting a list of malware identical to the remote IP of the malware IoC. step; (B-2) extracting a CVE list having the same remote IP of the malware IoC; And (B-3) arranging the malware list and the CVE list in LIP (Local IP) based on time.

삭제delete

삭제delete

삭제delete

삭제delete

위와 같은 본 발명의 과제해결수단에 의해서 본 발명은 기존의 보안솔루션의 탐지 이벤트를 분석하여 기탐지된 악성파일을 분석하여 멀웨어 IoC, IP 블랙리스트 IoC, 및 URL 블랙리스트 IoC 중 적어도 하나를 포함하는 IoC 테이블을 생성하고, 생성된 IoC 테이블을 이용하여 악성의심파일의 프로세스 및 프로시져(TTPs)를 추출함으로써 표적형 공격에 대한 단편적인 정보만을 제공하는 것이 아니라 공격의 상세한 기법과 절차에 관한 가시성을 제공한다.According to the problem solving means of the present invention as described above, the present invention includes at least one of malware IoC, IP blacklist IoC, and URL blacklist IoC by analyzing the previously detected malicious file by analyzing the detection event of the existing security solution. By creating an IoC table and extracting the process and procedures (TTPs) of the malicious suspicious file using the generated IoC table, not only fragmentary information on the targeted attack is provided, but also visibility of detailed techniques and procedures of the attack is provided. do.

나아가 본 발명을 이용함으로써 신종 또는 변종의 멀웨어를 이용한 표적형 공격에 대해서도 신속하고 정확하게 탐지 및 대응할 수 있으며, 이미 잠재되어 있는 공격을 탐지할 수 있다. Furthermore, by using the present invention, it is possible to quickly and accurately detect and respond to targeted attacks using new or variant malware, and to detect potential attacks.

한편, 여기에서 명시적으로 언급되지 않은 효과라 하더라도, 본 발명의 기술적 특징에 의해 기대되는 이하의 명세서에서 기재된 효과 및 그 잠정적인 효과는 본 발명의 명세서에 기재된 것과 같이 취급됨을 첨언한다.On the other hand, even if it is an effect not explicitly mentioned herein, it is added that the effect described in the following specification and its provisional effect expected by the technical features of the present invention are treated as described in the specification of the present invention.

도 1은 본 발명의 일 실시예에 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출장치의 개략적인 구조도이다.
도 2는 본 발명의 다른 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출방법의 개략적 흐름도이다.
첨부된 도면은 본 발명의 기술사상에 대한 이해를 위하여 참조로서 예시된 것임을 밝히며, 그것에 의해 본 발명의 권리범위가 제한되지는 아니한다.1 is a schematic structural diagram of an apparatus for extracting a process and procedures (TTPs) of a malicious suspicious file according to an embodiment of the present invention.
2 is a schematic flowchart of a process of a suspicious malicious file and a method of extracting TTPs according to another embodiment of the present invention.
The accompanying drawings are exemplified by reference for an understanding of the technical idea of the present invention, and the scope of the present invention is not limited thereto.

본 발명을 설명함에 있어서 관련된 공지기능에 대하여 이 분야의 기술자에게 자명한 사항으로서 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다. In the description of the present invention, when it is determined that the subject matter of the present invention may be unnecessarily obscured as matters apparent to those skilled in the art with respect to known functions related to the present invention, a detailed description will be omitted.

도 1은 본 발명의 일 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출장치(100)의 개략적인 구조도이다. 본 발명의 일 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출장치(100)는 빅데이터 엔진을 기반으로 구성될 수 있다. 1 is a schematic structural diagram of an apparatus 100 for extracting a process and procedure (TTPs) of a malicious suspicious file according to an embodiment of the present invention. The apparatus 100 for extracting processes and procedures (TTPs) of malicious suspicious files according to an embodiment of the present invention may be configured based on a big data engine.

본 발명의 일 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출장치(100)는 다양한 형태로 구현될 수 있다. 컴퓨터 기반의 장치를 이용하여 소프트웨어적으로 구현할 수도 있고, 전용의 하드웨어를 구성하여 구현할 수 잇다. 본 발명의 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출장치(100)는 FPGA(Field Programmable Gate Array)를 이용하여 구현할 수 있다. FPGA는 프로그램가능한 반도체로 한번 제작하면 수정이 불가능한 주문형 반도체(Application Specific Integrated Circuit, ASIC)와 달린 사용자가 필요에 따라 설계한 하드웨어를 구현할 수 있는 특징이 있다. 논리소자에 의해 하드웨어 반도체로 구현하기 때문에 소프트웨어적인 구현보다 훨씬 속도가 빠른 장점이 있다. 한편, 본 발명의 일 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출장치(100)는 빅데이터 엔진을 기초로 제작될 수 있다.The apparatus 100 for extracting a process of a malicious suspicious file and a procedure (TTPs) according to an embodiment of the present invention may be implemented in various forms. It can be implemented in software using a computer-based device, or it can be implemented by configuring dedicated hardware. The apparatus 100 for extracting a process and procedure (TTPs) of a malicious suspicious file according to the present invention may be implemented using a Field Programmable Gate Array (FPGA). FPGAs are programmable semiconductors, and have a feature that allows users to implement hardware designed as needed with application specific integrated circuits (ASICs) that cannot be modified once they are manufactured. Since it is implemented as a hardware semiconductor by a logic device, it has the advantage of being much faster than software implementation. Meanwhile, the apparatus 100 for extracting a process and procedure (TTPs) of a malicious suspicious file according to an embodiment of the present invention may be manufactured based on a big data engine.

본 발명의 일 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출장치(100)는 이벤트 파서(10), IoC 생성기(20), IoC 저장소(30) 및 TTPs 생성기(40)로 구성된다. 또한, 화이트리스트 저장소(50)와 위험도 평가기(60)를 더 포함하여 구성될 수 있다. 본 발명의 일 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출장치 (100)의 동작 과정과 결과를 디스플레이 장치 등의 유저 인터페이스(70)를 통해 제공할 수 있다. 본 문서에서 이벤트라고 함은 로그(log)를 포함하는 개념으로 설명한다. The apparatus 100 for extracting a process and procedure (TTPs) of a malicious suspicious file according to an embodiment of the present invention consists of an event parser 10, an IoC generator 20, an IoC storage 30 and a TTPs generator 40 do. In addition, it may be configured to further include a white list storage 50 and a risk assessor (60). The process of the malicious suspicious file and the operation process and result of the TTPs extraction apparatus 100 according to an embodiment of the present invention may be provided through a user interface 70 such as a display device. In this document, an event is described as a concept including a log.

본 발명은 이벤트 소스(1)가 기탐지하였던 악성파일의 정보를 이용하며, 이벤트 소스(1)가 새롭게 탐지한 악성의심파일의 프로세스 및 프로시져(TTPs)를 추출하기 위한 것이다. 악성의심파일의 프로세스 및 프로시져(TTPs)라는 것은 공격에 사용된 기법이나 절차를 의미하며, 추출한 악성의심파일의 프로세스 및 프로시져(TTPs)를 통해 악성의심파일의 행위에 대비할 수 있다. 여기서 행위란 멀웨어(파일)의 공격시의 행위를 의미하며, 예컨대 파일생성, 파일다운로드(download, drop), 프로세스 생성, 파일검색, 레지스트리 생성, 파일암호행위, 특정 IP나 도메인, URL의 접속행위 등이 있다. The present invention uses information on malicious files previously detected by the event source 1, and extracts processes and procedures (TTPs) of malicious suspicious files newly detected by the event source 1. Processes and procedures of malicious suspicious files (TTPs) refer to techniques or procedures used in an attack, and through the processes and procedures (TTPs) of the extracted malicious suspicious files, it is possible to prepare for the behavior of malicious suspicious files. Here, an action means an action at the time of an attack by malware (file), such as creating a file, downloading a file (download, drop), creating a process, searching a file, creating a registry, encrypting a file, accessing a specific IP, domain, or URL. Etc.

한편, 이벤트 소스(1)는 엔드포인트 보안솔루션(백신, 안티 멀웨어 등), 패킷기반의 침입탐지 및 방지시스템 및 네트워크 기반의 파일탐지 시스템(네트워크 포렌식 장비) 등을 포함한다. Meanwhile, the event source 1 includes an endpoint security solution (vaccine, anti-malware, etc.), a packet-based intrusion detection and prevention system, and a network-based file detection system (network forensic equipment).

이벤트 파서(10)는 이벤트 소스(1)에서 생성된 이벤트를 수집하거나 로그 형식을 검사하고, 그 결과를 IoC 생성기(20)로 전송한다. 본 발명의 이벤트 파서(10)에서는 두가지 종류의 이벤트를 다룬다. 첫번째는 기탐지된 악성파일이며, 두번째는 새롭게 탐지된 악성의심파일(suspicious file)이다. 기탐지된 악성파일이란 이벤트 소스(1)에 의해 최종적으로 악성파일로 판단된 것을 의미한다. 악성의심파일이란 알려지지 않았으나 멀웨어(바이러스)로 의심되는 파일이나, 알려지지 않은 멀웨어(unknown malware)를 말한다. The event parser 10 collects events generated from the event source 1 or checks the log format, and transmits the result to the IoC generator 20. The event parser 10 of the present invention handles two types of events. The first is a previously detected malicious file, and the second is a newly detected suspicious file. The previously detected malicious file means that it is finally determined as a malicious file by the event source 1. Suspicious malicious files are unknown but suspected malware (virus) or unknown malware.

IoC 생성기(20)에서는 이벤트 파서(10)로부터 수신된 정보를 종류별 IoC 구조에 맞게 인덱싱하고 저장한다. 기탐지된 악성파일을 전송받은 IoC 생성기(20)는 기탐지된 악성파일을 멀웨어 IoC(31), IP 블랙리스트 IoC(32), URL 블랙리스트 IoC(33)로 인덱싱하고 IoC 저장소(30)에 저장한다. 멀웨어 IoC의 데이터 구조는 time, Hash[M5], Host IP[Endpoint IP](HIP), Remote IP(RIP), C&C, Malware category[Type](MT), Platform[Windows, Linux], Detection name[malware name](DName)의 일부 내지 전부를 포함하여 구성될 수 있다. IP 블랙리스트 IoC의 데이터 구조는 time, Remote IP(RIP), Common Vulnerability Exposure(CVE), Protocol, Attack name(AName)의 일부 내지 전부를 포함하여 구성될 수 있다. URL 블랙리스트 IoC의 데이터 구조는 time, URL, Protocol의 일부 내지 전부를 포함하여 구성될 수 있다. 새롭게 탐지된 악성의심파일을 전송받은 IoC 생성기(20)는 YARA 파일 IoC(34)로 인덱싱하고 IoC 저장소(30)에 저장한다. YARA 파일 IoC의 데이터 구조는 time, Hash[m5], Host IP[Endpoint IP](HIP), Remote IP(RIP), URL, YARA category[Type](YT), Protocol의 일부 내지 전부를 포함하여 구성될 수 있다. The IoC generator 20 indexes and stores information received from the event parser 10 according to the IoC structure for each type. The IoC generator 20 receiving the previously detected malicious file indexes the previously detected malicious file as a malware IoC (31), an IP blacklist IoC (32), and a URL blacklist IoC (33), and indexes the previously detected malicious file into the IoC storage (30). Save it. Malware IoC data structure is time, Hash[M5], Host IP[Endpoint IP](HIP), Remote IP(RIP), C&C, Malware category[Type](MT), Platform[Windows, Linux], Detection name[ malware name](DName) may be composed of some or all of them. The data structure of the IP blacklist IoC may be configured to include some or all of time, Remote IP (RIP), Common Vulnerability Exposure (CVE), Protocol, and Attack name (AName). The data structure of the URL blacklist IoC may include some or all of time, URL, and protocol. The IoC generator 20 receiving the newly detected malicious suspicious file indexes the YARA file IoC 34 and stores it in the IoC storage 30. The data structure of YARA file IoC includes time, Hash[m5], Host IP[Endpoint IP](HIP), Remote IP(RIP), URL, YARA category[Type](YT), and some or all of the protocol. Can be.

TTPs 생성기(40)는 상술한 IoC 저장소에 저장된 기탐지된 악성파일로부터 생성된 멀웨어 IoC(31), IP 블랙리스트 IoC(32), URL 블랙리스트 IoC(33)와 새롭게 탐지된 악성의심파일로부터 생성된 YARA 파일 IoC(34)을 이용하여 TTPs 테이블(45)을 생성하고 인덱싱한다. The TTPs generator 40 is created from malware IoC 31, IP blacklist IoC 32, URL blacklist IoC 33 and newly detected malicious suspicious files generated from previously detected malicious files stored in the above-described IoC storage. The TTPs table 45 is created and indexed using the YARA file IoC 34.

TTPs 생성기(40)는 다양한 방법으로 TTPs 테이블(45)를 생성할 수 있다. 구체적인 방법은 후술하는 본 발명의 다른 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출방법에서 살펴보도록 한다. The TTPs generator 40 can generate the TTPs table 45 in various ways. A specific method will be described in the process of a malicious suspicious file and a method of extracting TTPs according to another embodiment of the present invention to be described later.

위험도 평가기(60)는 YARA 파일 IoC(34)로부터 생성된 TTPs를 이용하여 관련된 멀웨어의 malware category[type], Yara category[type], CVE 심각도(severity)를 포함하여 위험도를 산출하고, 현재까지 보여지는 이벤트의 상세정보와 타임라인을 생성한다. The risk evaluator 60 calculates the risk, including the malware category[type], Yara category[type], and CVE severity, of the related malware using TTPs generated from the YARA file IoC(34). Create detailed information and timeline of the event to be displayed.

위험도 평가기(60)에서 산출한 위험도나, 이벤트의 상세정보 및 타임라인은 유저 인터페이스(70)를 통해 사용자에게 제공된다.The risk level calculated by the risk evaluator 60 and detailed information and timeline of the event are provided to the user through the user interface 70.

이상에서 설명한 본 발명의 일 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출장치(100)는 기존의 보안솔루션의 탐지 이벤트를 분석하여 기탐지된 악성파일을 분석하여 멀웨어 IoC, IP 블랙리스트 IoC, 및 URL 블랙리스트 IoC 중 적어도 하나를 포함하는 IoC 테이블을 생성하고, 생성된 IoC 테이블을 이용하여 악성의심파일의 프로세스 및 프로시져(TTPs)를 추출함으로써 표적형 공격에 대한 단편적인 정보만을 제공하는 것이 아니라 공격의 상세한 기법과 절차에 관한 가시성을 제공한다.The process and procedure (TTPs) extraction apparatus 100 of a malicious suspicious file according to an embodiment of the present invention described above analyzes a detection event of an existing security solution, analyzes a previously detected malicious file, and analyzes the malware IoC, IP By creating an IoC table including at least one of blacklist IoC and URL blacklist IoC, and extracting the process and procedures (TTPs) of the malicious suspicious file using the generated IoC table, only fragmentary information on the targeted attack It does not provide visibility into the detailed techniques and procedures of an attack.

도 2는 본 발명의 다른 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출방법의 개략적 흐름도이다. 본 발명의 다른 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출방법은 상술한 본 발명의 일 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출장치에 의해 구동될 수 있다.2 is a schematic flowchart of a process of a suspicious malicious file and a method of extracting TTPs according to another embodiment of the present invention. The process of extracting malicious suspicious files and procedures (TTPs) according to another embodiment of the present invention may be driven by the process of extracting malicious suspicious files and procedures (TTPs) according to the embodiment of the present invention. have.

먼저, 이벤트 소스로부터 이벤트를 파싱하는 단계(S10)가 수행된다. 파싱하는 단계(S10)에서는 이벤트 소스에서 생성된 이벤트를 수집하거나 로그 형식을 검사한다. 특히 파싱하는 단계(S10)는 두가지 종류의 이벤트를 다루며, 하나는 기탐지된 악성파일이며, 다른 하나는 새롭게 탐지된 악성의심파일이다First, a step (S10) of parsing an event from an event source is performed. In the parsing step (S10), events generated from the event source are collected or the log format is checked. In particular, the parsing step (S10) handles two types of events, one is a previously detected malicious file, and the other is a newly detected malicious suspicious file.

그 다음, IoC를 생성하는 단계(S20)가 수행된다. IoC를 생성하는 단계(S20)에서는 기탐지된 악성파일을 멀웨어 IoC, IP 블랙리스트 IoC, URL 블랙리스트 IoC로 인덱싱하고 저장하며, 새롭게 탐지된 악성의심파일은 YARA 파일 IoC로 인덱싱하고 저장한다.Then, the step of generating IoC (S20) is performed. In the step of creating IoC (S20), the previously detected malicious files are indexed and stored as malware IoC, IP blacklist IoC, and URL blacklist IoC, and newly detected malicious suspicious files are indexed and stored as YARA file IoC.

다음으로 TTPs 테이블을 생성하는 단계(S30)가 수행된다. TTPs 테이블를 생성하는 단계(S30)는 기탐지된 악성파일로부터 생성된 멀웨어 IoC, IP 블랙리스트 IoC, URL 블랙리스트 IoC와 새롭게 탐지된 악성의심파일로부터 생성된 YARA 파일 IoC을 이용하여 TTPs를 추출함으로써 수행된다.Next, a step (S30) of creating a TTPs table is performed. The step of creating the TTPs table (S30) is performed by extracting the TTPs using the malware IoC, IP blacklist IoC, URL blacklist IoC, and YARA file IoC generated from newly detected malicious files. do.

TTPs 테이블을 생성하는 단계(S30)를 구체적으로 살펴보면 다음과 같은 세가지 방법이 있다.Looking at the step (S30) of creating the TTPs table in detail, there are three methods as follows.

첫번째는 멀웨어(malware) 기반으로 TTPs를 추출하는 방법, 두번째는 IP 블랙리스트를 기반으로 TTPs를 추출하는 방법, 세번째는 YARA를 기반으로 TTPs를 추출하는 방법이다. The first is a method of extracting TTPs based on malware, the second is a method of extracting TTPs based on an IP blacklist, and the third is a method of extracting TTPs based on YARA.

첫번째 방법인 멀웨어를 기반으로 TTPs를 추출하는 방법은 다음과 같다 첫번째 방법은 TTPs 생성기(40)가 특정 멀웨어에 대한 내부의 엔드포인트의 행위를 추출하는 것이다. 예컨대, 내부의 엔드포인트의 행위로는 Hash, LIP, Remote IP, C&C, Malware category[Type], Platform 등이 있다. The first method, a method of extracting TTPs based on malware, is as follows. The first method is that the TTPs generator 40 extracts the behavior of an internal endpoint for a specific malware. For example, internal endpoint behaviors include Hash, LIP, Remote IP, C&C, Malware category[Type], and Platform.

먼저, A-1 단계로 해당 Hash의 Remote IP와 IP 블랙리스트 IoC(32)의 Remote IP가 동일한 리스트를 추출한다. First, in step A-1, a list in which the remote IP of the hash and the remote IP of the IP blacklist IoC 32 are the same is extracted.

이어서 A-2 단계로 해당 Hash의 C&C와 URL 블랙리스트 IoC(33)의 URL이 동일한 리스트를 추출한다. Subsequently, in step A-2, a list in which the C&C of the hash and the URL of the URL blacklist IoC 33 are identical is extracted.

A-3 단계로 A-1 단계와 A-2 단계에서 추출한 리스트를 시간을 기준으로 정렬시킨다. In step A-3, the list extracted in steps A-1 and A-2 is sorted by time.

A-4 단계로 A-3 단계에서 LIP에 대한 시간을 기준을 정렬한다. Sort the time criteria for the LIP in steps A-3 by step A-4.

마지막 A-5 단계로 화이트리스트 저장소(50)에 저장된 파일 화이트리스트(51), IP 화이트리스트(52), URL 화이트리스트(53)와 대비하여 화이트리스트에 해당하는 것은 제거한다. 한편, 파일 화이트리스트(51)의 데이터 구조는 Hash[m5], File Type(FT), Platfrom(Widows, Linux)의 일부 내지 전부로 구성되며, IP 화이트리스트(52)의 데이터 구조는 Remote IP(RIP), Protocol의 일부 내지 전부로 구성되며, URL 화이트리스트(53)의 데이터 구조는 URL로 구성된다.As a final step A-5, the whitelisted files are removed compared to the file whitelist 51, the IP whitelist 52, and the URL whitelist 53 stored in the whitelist storage 50. Meanwhile, the data structure of the file whitelist 51 is composed of some or all of Hash[m5], File Type(FT), and Platfrom(Widows, Linux), and the data structure of the IP whitelist 52 is Remote IP( RIP) and a part or all of the protocol, and the data structure of the URL whitelist 53 is composed of URL.

A-1 내지 A-5 단계에서의 검색 기간은 1일, 1주일, 1개월, 3개월 및 6개월 중 어느 하나로 정의할 수 있다.The search period in steps A-1 to A-5 can be defined as any one of 1 day, 1 week, 1 month, 3 months and 6 months.

A-1 단계 내지 A-4 단계에서 모든 결과가 Null인 경우 A-1 단계 내지 A-4 단계를 수행했던 특정 멀웨어(Malware)와 동일한 Malware category[Type]을 가지는 다른 멀웨어에 대해서 다시 A-1 단계 내지 A-4 단계를 수행한다. If all results in steps A-1 to A-4 are null, A-1 again for other malware that has the same Malware category [Type] as the specific malware that performed steps A-1 to A-4. Perform steps A-4.

두번째 방법인 IP 블랙리스트를 기반으로 TTPs를 추출하는 방법은 특정 IP 블랙리스트로부터 내부로 위입된 멀웨어의 취약점을 추출한다. 취약점이란 Remote, Hash, LIP, C&C, Common Vulnerability Exposure(CVE) 등을 의미할 수 있다. The second method, the method of extracting TTPs based on the IP blacklist, extracts the vulnerabilities of the malware that has been invaded from a specific IP blacklist. Vulnerability can mean Remote, Hash, LIP, C&C, Common Vulnerability Exposure (CVE), etc.

먼저, B-1 단계로 해당 Remote IP와 동일한 멀웨어의 리스트를 추출한다. 다음으로 B-2 단계로 해당 Remote IP가 동일한 CVE 리스트를 추출한다. B-3 단계로 LIP에 멀웨어 리스트와 CVE 리스트를 시간을 기준으로 정렬한다. First, in step B-1, a list of malware identical to the remote IP is extracted. Next, in step B-2, a CVE list with the same remote IP is extracted. In step B-3, the malware list and CVE list in the LIP are sorted by time.

세번째 방법인 YARA를 기반으로 TTPs를 추출하는 방법은, 특정한 악성의심파일로부터 잠재적 위협을 추출하는 것이다. 잠재적 위협이란 Hash1, Hash2, Similarity, LIP, Remote IP, Common Vulnerability, C&C, Platform, YARA Category[Type], Malware Category[Type] 등을 의미한다. The third method, YARA-based TTPs extraction, is to extract potential threats from specific malicious suspicious files. Potential threats are Hash1, Hash2, Similarity, LIP, Remote IP, Common Vulnerability, C&C, Platform, YARA Category[Type], Malware Category[Type], etc.

먼저, C-1 단계로 YARA 파일 IoC(34)와 멀웨어 IoC(31) 사이의 멀웨어 유사도(Malware similarity score)를 계산한다. 멀웨어 유사도는 fuzzy hash를 기반으로 하는 ssdeep을 이용하거나, 실행 파일 내에서 특정순서를 가지는 라이브러리와 API를 import하여 유사도를 판단하는 imphash를 이용할 수 있다. 보다 더 바람직하게는 멀웨어 유사도는 impfuzzy에 의할 수 있다. impfuzzy는 imphash 같이 API를 import하되, import된 API를 fuzzy hash로 처리하여 멀웨어 유사도를 판단하는 것이로 가장 높은 정확도를 가진다. 유사도는 여러 등급으로 구간을 나누어 판단할 수 있으며, 예를 들어서 80% 이상의 유사도를 가질 경우에는 상, 50 % 이상, 80% 미만의 유사도를 가질 경우에는 중, 50% 미만의 유사도를 가질 경우에는 하로 분류할 수 있다.First, a Malware similarity score between the YARA file IoC 34 and the malware IoC 31 is calculated in step C-1. For malware similarity, ssdeep based on fuzzy hash can be used, or imphash can be used to determine the similarity by importing libraries and APIs having a specific order in an executable file. Even more preferably, malware similarity may be impfuzzy. Impfuzzy imports API like imphash, but it has the highest accuracy as it determines malware similarity by processing imported API as fuzzy hash. The degree of similarity can be determined by dividing the section into several levels. It can be classified as below.

다음으로 C-2 단계로 C-1 단계에서 유사도가 일정 등급 이상(예를 들어, 상)인 경우 멀웨어에 대한 Remote IP를 추출한다.Next, in step C-2, if the degree of similarity in step C-1 is higher than a certain level (for example, upper level), the remote IP for the malware is extracted.

C-3 단계로 C-1 단계에서 유사도가 일정 등급 이상(예를 들어, 상)인 경우 멀웨어에 대한 C&C를 추출한다.In step C-3, if the degree of similarity in step C-1 is higher than a certain level (eg, phase), C&C for malware is extracted.

C-4 단계로 C-1 단계에서 유사도가 일정 등급 이상(예를 들어, 상)인 경우 멀웨어에 대한 CVE를 추출한다.In step C-4, if the degree of similarity in step C-1 is higher than a certain level (for example, phase), CVE for malware is extracted.

위와 같은 방법으로 TTPs 테이블을 생성하는 단계(S30)를 완료하면, 위험도를 산출하는 단계(S40)가 수행된다. 위험도를 산출하는 단계(S40)에서는 생성된 TTPs를 이용하여 관련된 멀웨어의 malware category[type], Yara category[type], CVE 심각도(severity)를 포함하여 위험도를 산출한다. When the step of generating the TTPs table (S30) is completed in the above manner, the step of calculating the risk (S40) is performed. In the step of calculating the risk (S40), the risk is calculated by using the generated TTPs, including the malware category[type], Yara category[type], and CVE severity of related malware.

참고로, 본 발명의 다른 실시예에 따른 악성의심파일의 프로세스 및 프로시져(TTPs)의 추출방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독가능매체에 기록될 수 있다. 상기 컴퓨터 판독가능매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. For reference, a process of a malicious suspicious file and a method of extracting TTPs according to another embodiment of the present invention may be implemented in the form of program commands that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the present invention, or may be known and usable to those skilled in computer software.

컴퓨터 판독가능매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체, 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함될 수 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급언어코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of computer-readable media include hard disks, magnetic media such as floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, magnetic-optical media such as floptical disks, and ROM, RAM, A hardware device specially configured to store and execute program instructions such as flash memory or the like may be included. Examples of program instructions include not only machine language codes created by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The above-described hardware device may be configured to operate as one or more software modules to perform the operation of the present invention, and vice versa.

발명의 보호범위가 이상에서 명시적으로 설명한 실시예의 기재와 표현에 제한되는 것은 아니다. 또한, 본 발명이 속하는 기술분야에서 자명한 변경이나 치환으로 말미암아 본 발명이 보호범위가 제한될 수도 없음을 다시 한 번 첨언한다.The scope of protection of the invention is not limited to the description and expression of the embodiments explicitly described above. In addition, it is added once again that the scope of protection of the present invention may not be limited due to obvious changes or substitutions in the technical field to which the present invention pertains.

Claims (5)

기탐지된 악성파일을 이용하여 새롭게 탐지된 악성파일의 프로세스 및 프로시져(TTPs)를 추출하는 방법으로서:
이벤트 소스로부터 기탐지된 악성파일의 이벤트와 새롭게 탐지된 악성의심파일의 이벤트를 전송받아 파싱하는 단계;
파싱된 기탐지된 악성파일의 이벤트로부터 멀웨어 IoC, IP 블랙리스트 IoC, URL 블랙리스트 IoC로 인덱싱하고 저장하고, 파싱된 새롭게 탐지된 악성의심파일의 이벤트를 YARA 파일 IoC로 인덱싱하고 저장하는 단계; 및
기탐지된 악성파일로부터 생성된 멀웨어 IoC, IP 블랙리스트 IoC, URL 블랙리스트 IoC와 새롭게 탐지된 악성의심파일로부터 생성된 YARA 파일 IoC을 이용하여 TTPs를 추출하여 TTPs 테이블을 생성하는 단계;를 포함하고,
상기 TTPs 테이블을 생성하는 단계는 멀웨어 기반 TTPs 추출 방법에 의해 수행되며,
상기 멀웨어 기반 TTPs 추출 방법은,
(A-1) 멀웨어 IoC의 Hash의 Remote IP와 IP 블랙리스트 IoC의 Remote IP가 동일한 리스트를 추출하는 단계;
(A-2) 멀웨어 IoC의 Hash의 C&C와 URL 블랙리스트 IoC의 URL이 동일한 리스트를 추출하는 단계;
(A-3) A-1 단계와 A-2 단계에서 추출한 리스트를 시간을 기준으로 정렬하는 단계; 및
(A-4) A-3 단계에서 LIP(Local IP)에 대한 시간을 기준으로 정렬하는 단계;를 포함하는,
악성의심파일의 프로세스 및 프로시져(TTPs)의 추출방법.
As a method of extracting processes and procedures (TTPs) of newly detected malicious files by using previously detected malicious files:
Receiving and parsing an event of a previously detected malicious file and an event of a newly detected malicious suspicious file from an event source;
Indexing and storing the parsed event of the previously detected malicious file as malware IoC, IP blacklist IoC, URL blacklist IoC, and indexing and storing the parsed event of the newly detected malicious suspicious file as YARA file IoC; And
Generating a TTPs table by extracting TTPs using malware IoC, IP blacklist IoC, URL blacklist IoC, and YARA file IoC generated from newly detected malicious suspicious files. ,
The step of generating the TTPs table is performed by a malware-based TTPs extraction method,
The malware-based TTPs extraction method,
(A-1) extracting a list in which the remote IP of the hash of the malware IoC and the remote IP of the IP blacklist IoC are the same;
(A-2) extracting a list in which the C&C of the hash of the malware IoC and the URL of the URL blacklist IoC are the same;
(A-3) sorting the list extracted in steps A-1 and A-2 based on time; And
(A-4) Arranging based on the time for LIP (Local IP) in step A-3; containing,
Process and procedure of malicious suspicious files (TTPs) extraction method.
기탐지된 악성파일을 이용하여 새롭게 탐지된 악성파일의 프로세스 및 프로시져(TTPs)를 추출하는 방법으로서:
이벤트 소스로부터 기탐지된 악성파일의 이벤트와 새롭게 탐지된 악성의심파일의 이벤트를 전송받아 파싱하는 단계;
파싱된 기탐지된 악성파일의 이벤트로부터 멀웨어 IoC, IP 블랙리스트 IoC, URL 블랙리스트 IoC로 인덱싱하고 저장하고, 파싱된 새롭게 탐지된 악성의심파일의 이벤트를 YARA 파일 IoC로 인덱싱하고 저장하는 단계; 및
기탐지된 악성파일로부터 생성된 멀웨어 IoC, IP 블랙리스트 IoC, URL 블랙리스트 IoC와 새롭게 탐지된 악성의심파일로부터 생성된 YARA 파일 IoC을 이용하여 TTPs를 추출하여 TTPs 테이블을 생성하는 단계;를 포함하고,
상기 TTPs 테이블을 생성하는 단계는 IP 블랙리스트 기반 TTPs 추출방법에 의해 수행되며,
상기 IP 블랙리스트 기반 TTPs 추출방법은,
(B-1) 멀웨어 IoC의 Remote IP와 동일한 멀웨어의 리스트를 추출하는 단계;
(B-2) 멀웨어 IoC의 Remote IP가 동일한 CVE 리스트를 추출하는 단계; 및
(B-3) LIP(Local IP)에 멀웨어 리스트와 CVE 리스트를 시간을 기준으로 정렬하는 단계;를 포함하는,
악성의심파일의 프로세스 및 프로시져(TTPs)의 추출방법.
As a method of extracting processes and procedures (TTPs) of newly detected malicious files by using previously detected malicious files:
Receiving and parsing an event of a previously detected malicious file and an event of a newly detected malicious suspicious file from an event source;
Indexing and storing the parsed event of the previously detected malicious file as malware IoC, IP blacklist IoC, URL blacklist IoC, and indexing and storing the parsed event of the newly detected malicious suspicious file as YARA file IoC; And
Generating a TTPs table by extracting TTPs using malware IoC, IP blacklist IoC, URL blacklist IoC, and YARA file IoC generated from newly detected malicious suspicious files. ,
The step of generating the TTPs table is performed by an IP blacklist-based TTPs extraction method,
The IP blacklist-based TTPs extraction method,
(B-1) extracting a list of malware identical to the remote IP of the malware IoC;
(B-2) extracting a CVE list having the same remote IP of the malware IoC; And
(B-3) arranging the malware list and the CVE list in LIP (Local IP) based on time; including,
Process and procedure of malicious suspicious files (TTPs) extraction method.
삭제delete 삭제delete 삭제delete
KR1020190150247A 2019-11-21 2019-11-21 Method of deriving TTPS from IoC related with malware KR102152317B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190150247A KR102152317B1 (en) 2019-11-21 2019-11-21 Method of deriving TTPS from IoC related with malware

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190150247A KR102152317B1 (en) 2019-11-21 2019-11-21 Method of deriving TTPS from IoC related with malware

Publications (1)

Publication Number Publication Date
KR102152317B1 true KR102152317B1 (en) 2020-09-04

Family

ID=72470892

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190150247A KR102152317B1 (en) 2019-11-21 2019-11-21 Method of deriving TTPS from IoC related with malware

Country Status (1)

Country Link
KR (1) KR102152317B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220099437A (en) * 2021-01-06 2022-07-13 주식회사 아이티스테이션 Determine method for malicious file by linking with events in user terminal and system using them

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150076613A (en) * 2013-12-27 2015-07-07 호서대학교 산학협력단 Method for collecting the suspicious file and trace information to analysis the ATP attack
KR20160028724A (en) * 2014-09-04 2016-03-14 한국전자통신연구원 Similar malicious code retrieval apparatus and method based on malicious code feature information

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150076613A (en) * 2013-12-27 2015-07-07 호서대학교 산학협력단 Method for collecting the suspicious file and trace information to analysis the ATP attack
KR20160028724A (en) * 2014-09-04 2016-03-14 한국전자통신연구원 Similar malicious code retrieval apparatus and method based on malicious code feature information

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Vincent E. Urias et al, "Advancing Network Defense Through Network Deception"(2017.) *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220099437A (en) * 2021-01-06 2022-07-13 주식회사 아이티스테이션 Determine method for malicious file by linking with events in user terminal and system using them
KR102478984B1 (en) * 2021-01-06 2022-12-19 주식회사 아이티스테이션 Determine method for malicious file by linking with events in user terminal and system using them

Similar Documents

Publication Publication Date Title
Wang et al. Automatically traceback RDP-based targeted ransomware attacks
Rathnayaka et al. An efficient approach for advanced malware analysis using memory forensic technique
US11882134B2 (en) Stateful rule generation for behavior based threat detection
US20150047034A1 (en) Composite analysis of executable content across enterprise network
RU2726032C2 (en) Systems and methods for detecting malicious programs with a domain generation algorithm (dga)
Kaur et al. Automatic attack signature generation systems: A review
US9992216B2 (en) Identifying malicious executables by analyzing proxy logs
WO2016121348A1 (en) Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
CN116451215A (en) Correlation analysis method and related equipment
CN106375303A (en) Attack defense method and apparatus
KR20170135495A (en) Cyber Threat Information Analysis and Management System
KR102152317B1 (en) Method of deriving TTPS from IoC related with malware
Mahmoud et al. APTHunter: Detecting advanced persistent threats in early stages
KR102446645B1 (en) Device of deriving TTPS of suspicious malware from IoC related with malware
Elango et al. Redefining search terms for cybersecurity: A bibliometric perspective
Mohamed et al. Malware detection techniques
Erskine et al. Developing cyberspace data understanding: using CRISP-DM for host-based IDS feature mining
Chong SeCBD: the application idea from study evaluation of ransomware attack method in big data architecture
KR102563059B1 (en) System for generating graph-based training data for cyber threat detection and method thereof
Yadav et al. A complete study on malware types and detecting ransomware using API calls
KR102239759B1 (en) Method of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks
Chen et al. Attack intent analysis method based on attack path graph
KR102446642B1 (en) Device of detecting unknown threats using correlation of external threat intelligence with the packet information detected by IDSP for internal networks
Vishnu et al. Identifying key strategies for reconnaissance in cybersecurity
Sykosch et al. Hunting observable objects for indication of compromise

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant