KR102395263B1 - 메모리 분석 기반 암호화 키 복구 장치 및 방법 - Google Patents

메모리 분석 기반 암호화 키 복구 장치 및 방법 Download PDF

Info

Publication number
KR102395263B1
KR102395263B1 KR1020200104860A KR20200104860A KR102395263B1 KR 102395263 B1 KR102395263 B1 KR 102395263B1 KR 1020200104860 A KR1020200104860 A KR 1020200104860A KR 20200104860 A KR20200104860 A KR 20200104860A KR 102395263 B1 KR102395263 B1 KR 102395263B1
Authority
KR
South Korea
Prior art keywords
memory
encryption key
operation data
read operation
analysis
Prior art date
Application number
KR1020200104860A
Other languages
English (en)
Other versions
KR20220023873A (ko
Inventor
박태환
한상윤
장상운
박일환
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020200104860A priority Critical patent/KR102395263B1/ko
Priority to US17/069,084 priority patent/US11838414B2/en
Publication of KR20220023873A publication Critical patent/KR20220023873A/ko
Application granted granted Critical
Publication of KR102395263B1 publication Critical patent/KR102395263B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Abstract

메모리 분석 기반 암호화 키 복구 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치는 하나 이상의 프로세서 및 상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고, 상기 적어도 하나 이상의 프로그램은 동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집하고, 상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석하고, 상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력한다.

Description

메모리 분석 기반 암호화 키 복구 장치 및 방법 {APPARATUS AND METHOD FOR RECOVERING ENCRYPTION KEY BASED ON MEMEORY ANALYSIS}
본 발명은 랜섬웨어 암호화 키 복구 기술에 관한 것으로, 보다 상세하게는 메모리 분석 기반 랜섬웨어 암호화 키 복구 기술에 관한 것이다.
종래 랜섬웨어 관련 기술로써, 랜섬웨어 탐지 기술은 랜섬웨어의 행위 혹은 코드를 기반으로 한 특정 시그니처를 활용하여 랜섬웨어를 탐지하는 기술이다. 동적 바이너리 계측 기술은 런타임 시 실행 코드를 삽입하여 해당 바이너리 응용 프로그램의 동작 및 행위에 대한 계측 분석 기술이다. 차분 계산 분석 기반 부채널 공격 기술은 서로 다른 입력 데이터에 대한 암호화 수행 시 발생하는 부채널 정보(사용 메모리 정보)를 기반하여 암호화 키를 복구하기 위한 기술이다.
그러나, 종래 랜섬웨어 관련 기술은 암호화에 사용된 키 복구보다는 탐지 및 차단에 초점을 두고 있다. 이로 인해, 랜섬웨어의 오탐지, 과탐지로 인한 사용자의 물질적, 금전적 피해가 발생할 수 있으며, 탐지 시점에 따른 사용자 피해를 최소화하기 위한 암호화 키 복구 기술이 요구되고 있다.
한편, 한국공개특허 제 10-2019-0135752 호"파일 시스템에서의 랜섬웨어 탐지 방법 및 그 장치"는 컴퓨터 사용 환경에서 랜섬웨어에 대한 탐지를 수행하여 파일시스템 내의 파일들이 암호화되는 위협으로부터 파일들을 보호하기 위한 파일시스템에서의 랜섬웨어 탐지 방법 및 그 장치에 관하여 개시하고 있다.
본 발명은 랜섬웨어의 오탐지, 과탐지로 인한 물질적, 금전적 피해 발생 최소화 및 암호화 키 복구를 위한 장치 및 방법을 제공하는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치는 하나 이상의 프로세서 및 상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고, 상기 적어도 하나 이상의 프로그램은 동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집하고, 상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석하고, 상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력한다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터의 크기가 기설정된 크기 이상인 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 읽기 연산 데이터의 후보군으로부터 상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구할 수 있다.
또한, 상기의 목적을 달성하기 위한 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법은 메모리 분석 기반 암호화 키 복구 장치의 메모리 분석 기반 암호화 키 복구 방법에 있어서, 동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집하는 단계; 상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석하는 단계 및 상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력하는 단계를 포함한다.
이 때, 상기 수집하는 단계는 상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집할 수 있다.
이 때, 상기 분석하는 단계는 상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 분석하는 단계는 상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정할 수 있다.
이 때, 상기 분석하는 단계는 상기 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 분석하는 단계는 상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성할 수 있다.
이 때, 상기 출력하는 단계는 상기 메모리 읽기 연산 데이터의 후보군으로부터 상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구할 수 있다.
본 발명은 랜섬웨어의 오탐지, 과탐지로 인한 물질적, 금전적 피해 발생 최소화 및 암호화 키 복구를 위한 장치 및 방법을 제공할 수 있다.
도 1은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 시스템을 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치를 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법을 나타낸 동작흐름도이다.
도 4는 도 3에 도시된 메모리 정보 수집 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 5는 도 3에 도시된 메모리 정보 분석 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 6은 본 발명의 일실시예에 따른 메모리 읽기 연산 데이터의 추출 결과를 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 메모리 주소상에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 추출 결과를 나타낸 도면이다.
도 8은 본 발명의 일실시예에 따른 연속된 메모리 주소상에서 기설정된 크기 이상의 메모리 읽기 연산 데이터를 추출한 결과를 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 분석된 암호화 마스터키 후보군 및 라운드 키 후보군을 나타낸 도면이다.
도 10은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 과정을 나타낸 도면이다.
도 11은 본 발명의 일실시예에 따른 암호화 마스터 키 및 라운드 키 복구 결과를 나타낸 도면이다.
도 12는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 시스템을 나타낸 도면이다.
본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 시스템은 메모리 분석 기반 암호화 키 복구 장치(100)가, 랜섬웨어 수행 동작 중 파일별 암호화 수행과정에서 암호화 키를 복구할 수 있다.
이 때, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 파일 암호화 과정에 있어 파일 열기/닫기 연산을 인식할 수 있다.
이 때, 암호화 마스터 키 혹은 라운드 키는 연속된 특정 메모리 주소 공간에 존재할 수 있다. 예를 들어, 암호화 마스터 키 혹은 라운드 키는 AES-128, 16바이트에 상응할 수 있다.
이 때, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 기존의 시스템 보안 기능이나 탐지 기술 기반 랜섬웨어가 감지된 파일로부터 암호화 키를 복구할 수 있다.
이 때, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 라운드 키 후보군(10) 및 암호화 마스터 키 후보군(20)을 생성하고, 라운드 키 후보군(10) 및 암호화 마스터 키 후보군(20)으로부터 암호화 키를 복구할 수 있다.
이 때, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 동적 바이너리 계측(DBI, Dynamic Binary Instrumentation, DBI) 기술을 이용하여 랜섬웨어가 탐지된 파일에서 메모리 정보를 수집할 수 있다.
도 2는 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치를 나타낸 블록도이다.
도 2를 참조하면, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 메모리 정보 수집부(110), 메모리 정보 분석부(120) 및 암호화 키 출력부(130)를 포함한다.
메모리 정보 수집부(110)는 동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집할 수 있다.
이 때, 메모리 정보 수집부(110)는 이 때, 단계(S210)는 상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집할 수 있다.
이 때, 메모리 정보 수집부(110)는 랜섬웨어가 탐지된 파일의 실행에 따른 명령어 정보를 수집할 수 있다.
이 때, 메모리 정보 수집부(110)는 수집된 명령어 정보에 파일의 열기 동작 연산 명령어를 확인하면 파일에 대한 메모리 정보를 수집할 수 있고, 파일의 열기 동작 연산 명령어가 확인되지 않은 경우, 명령어 정보를 수집할 수 있다.
이 때, 메모리 정보 수집부(110)는 랜섬웨어가 탐지된 파일의 실행에 따른 명령어 정보를 수집하여, 수집된 명령어 정보에 파일의 닫기 동작 연산 명령어를 확인하면 렌섬웨어의 암호화 연산 종료 여부를 확인할 수 있고, 파일의 닫기 동작 연산 명령어가 확인되지 않은 경우, 명령어 정보를 계속 수집할 수 있다.
이 때, 메모리 정보 수집부(110)는 렌섬웨어의 종료가 확인된 경우, 메모리 정보 분석부(120)에게 수집된 메모리 정보에 대한 메모리 읽기 연산 데이터의 분석을 요청할 수 있고, 렌섬웨어가 종료되지 않은 경우, 메모리 정보를 수집할 수 있다.
메모리 정보 분석부(120)는 상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석할 수 있다.
이 때, 메모리 정보 분석부(120)는 상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 메모리 정보 분석부(120)는 메모리 정보를 메모리 주소 및 메모리 읽기 연산 데이터 순으로 반복해서 출력할 수 있다.
이 때, 메모리 정보 분석부(120)는 메모리 정보에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 뒤, 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력할 수 있다.
이 때, 메모리 정보 분석부(120)는 먼저 상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정할 수 있다.
이 때, 메모리 정보 분석부(120)는 메모리 읽기 연산 데이터가 발생한 횟수가 연속된 메모리 주소상에서 발생한 경우, 메모리 정보를 저장하고, 연속된 메모리 주소상에서 발생하지 않은 경우, 메모리 정보에서 해당 메모리 읽기 연산 데이터를 초기화할 수 있다.
이 때, 메모리 정보 분석부(120)는 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 메모리 정보 분석부(120)는 메모리 정보에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 뒤, 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력할 수 있다.
이 때, 메모리 정보 분석부(120)는 상기 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터의 크기가 기설정된 크기 이상인 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 기설정된 크기는 AES-128, 16 바이트에 상응할 수 있다.
이 때, 메모리 정보 분석부(120)는 상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성할 수 있다.
이 때, 메모리 정보 분석부(120)는 메모리 정보의 끝부분까지 메모리 읽기 연산 데이터의 모든 분석이 완료된 경우, 암호화 키 출력부(130)에게 암호화 키의 복구를 요청할 수 있고, 메모리 정보의 끝부분이 아닌 경우, 메모리 주소별 메모리 읽기 연산 데이터의 발생 횟수를 카운트 할 수 있다).
암호화 키 출력부(130)는 상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력할 수 있다.
이 때, 암호화 키 출력부(130)는 상기 메모리 읽기 연산 데이터의 후보군으로부터 상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구할 수 있다.
이 때, 암호화 키 출력부(130)는 연속된 메모리 주소에서 동일한 발생 횟수를 갖는 메모리 읽기 연산 데이터가 정렬된 암호화 키 후보군을 출력할 수 있다.
이 때, 암호화 키 출력부(130)는 암호화 키 후보군을 각각 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력할 수 있다.
도 3은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법을 나타낸 동작흐름도이다. 도 4는 도 3에 도시된 메모리 정보 수집 단계의 일 예를 세부적으로 나타낸 동작흐름도이다. 도 5는 도 3에 도시된 메모리 정보 분석 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 3을 참조하면, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법은 먼저 메모리 정보를 수집할 수 있다(S210).
즉, 단계(S210)는 동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집할 수 있다.
이 때, 단계(S210)는 상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집할 수 있다.
도 4를 참조하면, 단계(S210)는 먼저 랜섬웨어가 탐지된 파일의 실행에 따른 명령어 정보를 수집할 수 있다(S211).
이 때, 단계(S212)는 수집된 명령어 정보에 파일의 열기 동작 연산 명령어를 확인하면 파일에 대한 메모리 정보를 수집할 수 있고(S213), 파일의 열기 동작 연산 명령어가 확인되지 않은 경우, 명령어 정보를 수집할 수 있다(S211).
이 때, 단계(S213)은 랜섬웨어가 탐지된 파일의 실행에 따른 메모리 정보를 수집할 수 있다.
이 때, 단계(S214)는 랜섬웨어가 탐지된 파일의 실행에 따른 명령어 정보를 수집할 수 있다.
이 때, 단계(S215)는 랜섬웨어가 탐지된 파일의 실행에 따른 명령어 정보를 수집하여, 수집된 명령어 정보에 파일의 닫기 동작 연산 명령어를 확인하면 렌섬웨어의 암호화 연산 종료 여부를 확인할 수 있고(S216), 파일의 닫기 동작 연산 명령어가 확인되지 않은 경우, 명령어 정보를 계속 수집할 수 있다(S211).
이 때, 단계(S216)은 렌섬웨어의 종료가 확인된 경우, 수집된 메모리 정보에서 메모리 읽기 연산 데이터를 분석할 수 있고(S220), 렌섬웨어가 종료되지 않은 경우, 메모리 정보를 수집할 수 있다(S213).
본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법은 메모리 정보를 분석할 수 있다(S220).
즉, 단계(S220)는 상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석할 수 있다.
이 때, 단계(S220)는 상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 단계(S220)는 메모리 정보를 메모리 주소 및 메모리 읽기 연산 데이터 순으로 반복해서 출력할 수 있다.
이 때, 단계(S220)는 메모리 정보에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 뒤, 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력할 수 있다.
도 5를 참조하면, 단계(S220)는 먼저 상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정할 수 있다(S221).
이 때, 단계(S222)는 메모리 읽기 연산 데이터가 발생한 횟수가 연속된 메모리 주소상에서 발생한 경우, 메모리 정보를 저장하고(S223), 연속된 메모리 주소상에서 발생하지 않은 경우, 메모리 정보에서 해당 메모리 읽기 연산 데이터를 초기화할 수 있다(S224).
이 때, 단계(S222)는 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 단계(S222)는 메모리 정보에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 뒤, 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력할 수 있다.
이 때, 단계(S222)는 상기 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터의 크기가 기설정된 크기 이상인 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 기설정된 크기는 AES-128, 16 바이트에 상응할 수 있다.
이 때, 단계(S222)는 상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성할 수 있다.
이 때, 단계(S225)는 메모리 정보의 끝부분까지 메모리 읽기 연산 데이터의 모든 분석이 완료된 경우, 암호화 키를 복구할 수 있고(S230), 메모리 정보의 끝부분이 아닌 경우, 메모리 주소별 메모리 읽기 연산 데이터의 발생 횟수를 카운트 할 수 있다(S221).
또한, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법은 암호화 키의 복구 결과를 출력할 수 있다(S230).
즉, 단계(S230)는 상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력할 수 있다.
이 때, 단계(S230)는 상기 메모리 읽기 연산 데이터의 후보군으로부터 상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구할 수 있다.
이 때, 단계(S230)는 연속된 메모리 주소에서 동일한 발생 횟수를 갖는 메모리 읽기 연산 데이터가 정렬된 암호화 키 후보군을 출력할 수 있다.
이 때, 단계(S230)는 암호화 키 후보군을 각각 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력할 수 있다.
도 6은 본 발명의 일실시예에 따른 메모리 읽기 연산 데이터의 추출 결과를 나타낸 도면이다.
도 6을 참조하면, 메모리 정보가 메모리 주소 및 메모리 읽기 연산 데이터 순으로 반복해서 출력된 것을 알 수 있다.
도 7은 본 발명의 일실시예에 따른 메모리 주소상에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 추출 결과를 나타낸 도면이다.
도 7을 참조하면, 메모리 주소상에서 메모리 읽기 연산 데이터의 발생 횟수가, 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력된 것을 알 수 있다.
도 8은 본 발명의 일실시예에 따른 연속된 메모리 주소상에서 기설정된 크기 이상의 메모리 읽기 연산 데이터를 추출한 결과를 나타낸 도면이다.
도 8을 참조하면, 연속된 메모리 주소상에서 기설정된 크기 이상의 메모리 읽기 연산 데이터가 연속된 주소에서 발생 횟수에 따라 정렬된 암호화키 후보군을 나타낸 것을 알 수 있다.
도 9는 본 발명의 일실시예에 따른 분석된 암호화 마스터키 후보군 및 라운드 키 후보군을 나타낸 도면이다.
도 9를 참조하면, 암호화 마스터 키 후보군 및 라운드 키 후보군이 각각 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력된 것을 알 수 있다.
이 때, 메모리 읽기 연산 데이터의 발생횟수가 3인 후보군이 암호화 마스터 키 후보군으로 생성되고, 메모리 읽기 연산 데이터의 발생횟수가 9인 후보군이 라운드 키 후보군으로 생성되는 것을 알 수 있다.
도 10은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 과정을 나타낸 도면이다.
도 10을 참조하면, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 과정은 메모리 분석 기반 암호화 키 복구 장치(100)가 먼저 동적 바이너리 계측 기술을 기반으로 랜섬웨어가 탐지된 파일에서 메모리 정보를 수집할 수 있다.
이 때, 메모리 분석 기반 암호화 키 복구 장치(100)는 랜섬웨어가 탐지된 파일의 실행에 따른 명령어 정보를 수집하여 파일 열기/닫기 연산을 확인하고, 파일 열기/닫기 연산 사이의 메모리 정보를 수집할 수 있다.
또한, 메모리 분석 기반 암호화 키 복구 장치(100)는 메모리 정보에서 메모리 읽기 연산 데이터를 메모리 주소 별로 읽기 연산의 발생횟수를 카운트하고, 기설정된 크기 이상의 메모리 주소상 메모리 읽기 연산 데이터를 추출할 수 있다.
또한, 메모리 분석 기반 암호화 키 복구 장치(100)는 연속된 메모리 주소에서 동일한 발생 횟수로 추출된 메모리 읽기 연산 데이터들을 발생 횟수에 따라 암호화 키 후보군을 출력하고, 암호화 키 후보군으로부터 암호화 키를 복구할 수 있다.
도 11은 본 발명의 일실시예에 따른 암호화 마스터 키 및 라운드 키 복구 결과를 나타낸 도면이다.
도 11을 참조하면, 파일의 암호화에 사용된 암호화 마스터키(30), 파일 암호화에 사용된 라운드 키(40)를 나타낸 것을 알 수 있다.
이 때, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 파일 열기/닫기 연산 사이의 메모리 정보를 수집하여 연속된 메모리 주소상에서 동일한 발생횟수로 측정된 메모리 읽기 연산 데이터의 분석 결과에 기반하여 복구된 암호화 마스터키 후보군(50)과 라운드 키 후보군(60)을 나타낸 것을 알 수 있다.
도 12는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.
도 12를 참조하면, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 12에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 인터페이스 입력 장치(1140), 사용자 인터페이스 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.
본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 하나 이상의 프로세서(1110); 및 상기 하나 이상의 프로세서(1110)에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리(1130)를 포함하고, 상기 적어도 하나 이상의 프로그램은 동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집하고, 상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석하고, 상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력한다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터의 크기가 기설정된 크기 이상인 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 읽기 연산 데이터의 후보군으로부터 상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구할 수 있다.
이상에서와 같이 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 메모리 분석 기반 암호화 키 복구 장치
110: 메모리 정보 수집부 120: 메모리 정보 분석부
130: 암호화 키 출력부
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크

Claims (16)

  1. 하나 이상의 프로세서; 및
    상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고,
    상기 적어도 하나 이상의 프로그램은
    동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집하고,
    상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석하고,
    상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력하고,
    상기 적어도 하나 이상의 프로그램은
    상기 메모리 정보의 끝부분까지 상기 메모리 읽기 연산 데이터의 분석이 완료된 경우, 상기 암호화 키를 복구하고, 상기 메모리 정보의 끝부분까지 상기 메모리 읽기 연산 데이터의 분석이 완료되지 않은 경우, 메모리 주소별 메모리 읽기 연산 데이터의 발생 횟수를 카운트 하고,
    상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치.
  2. 청구항 1에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치.
  3. 청구항 1에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치.
  4. 청구항 3에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치.
  5. 청구항 4에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치.
  6. 청구항 5에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터의 크기가 기설정된 크기 이상인 경우, 상기 메모리 읽기 연산 데이터를 추출하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치.
  7. 청구항 6에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치.
  8. 삭제
  9. 메모리 분석 기반 암호화 키 복구 장치의 메모리 분석 기반 암호화 키 복구 방법에 있어서,
    동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집하는 단계;
    상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석하는 단계; 및
    상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력하는 단계;
    를 포함하고,
    상기 분석하는 단계는
    상기 메모리 정보의 끝부분까지 상기 메모리 읽기 연산 데이터의 분석이 완료된 경우, 상기 암호화 키를 복구하고, 상기 메모리 정보의 끝부분까지 상기 메모리 읽기 연산 데이터의 분석이 완료되지 않은 경우, 메모리 주소별 메모리 읽기 연산 데이터의 발생 횟수를 카운트 하고,
    상기 출력하는 단계는
    상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법.
  10. 청구항 9에 있어서,
    상기 수집하는 단계는
    상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법.
  11. 청구항 9에 있어서,
    상기 분석하는 단계는
    상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법.
  12. 청구항 11에 있어서,
    상기 분석하는 단계는
    상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법.
  13. 청구항 12에 있어서,
    상기 분석하는 단계는
    상기 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법.
  14. 청구항 13에 있어서,
    상기 분석하는 단계는
    상기 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터의 크기가 기설정된 크기 이상인 경우, 상기 메모리 읽기 연산 데이터를 추출하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법.
  15. 청구항 14에 있어서,
    상기 분석하는 단계는
    상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법.
  16. 삭제
KR1020200104860A 2020-08-20 2020-08-20 메모리 분석 기반 암호화 키 복구 장치 및 방법 KR102395263B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020200104860A KR102395263B1 (ko) 2020-08-20 2020-08-20 메모리 분석 기반 암호화 키 복구 장치 및 방법
US17/069,084 US11838414B2 (en) 2020-08-20 2020-10-13 Apparatus and method for recovering encryption key based on memory analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200104860A KR102395263B1 (ko) 2020-08-20 2020-08-20 메모리 분석 기반 암호화 키 복구 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20220023873A KR20220023873A (ko) 2022-03-03
KR102395263B1 true KR102395263B1 (ko) 2022-05-10

Family

ID=80271164

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200104860A KR102395263B1 (ko) 2020-08-20 2020-08-20 메모리 분석 기반 암호화 키 복구 장치 및 방법

Country Status (2)

Country Link
US (1) US11838414B2 (ko)
KR (1) KR102395263B1 (ko)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10742665B2 (en) * 2016-02-01 2020-08-11 NortonLifeLock Inc. Systems and methods for modifying file backups in response to detecting potential ransomware
KR101685014B1 (ko) 2016-02-19 2016-12-12 주식회사 블랙포트시큐리티 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치
US10387648B2 (en) * 2016-10-26 2019-08-20 Cisco Technology, Inc. Ransomware key extractor and recovery system
US20190012459A1 (en) 2017-07-10 2019-01-10 Electronics And Telecommunications Research Institute Ransomware detection apparatus and operating method thereof
KR102145289B1 (ko) 2017-07-10 2020-08-28 한국전자통신연구원 랜섬웨어 감지 장치 및 그 동작 방법
US11126718B2 (en) * 2017-07-12 2021-09-21 Acronis International Gmbh Method for decrypting data encrypted by ransomware
US20190116030A1 (en) * 2017-10-16 2019-04-18 Chronicle Llc Storing data for ransomware recovery
KR101899774B1 (ko) * 2018-03-16 2018-09-19 주식회사 시큐브 랜섬웨어 대응을 위한 데이터 처리 방법, 이를 실행시키는 프로그램 및 상기 프로그램을 기록한 컴퓨터 판독 가능한 기록매체
KR102091787B1 (ko) 2018-05-29 2020-03-20 고려대학교 산학협력단 파일 시스템에서의 랜섬웨어 탐지 방법 및 그 장치

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Amin Kharraz et al, "Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks"(2015.07.)*
Carsten Willems et al, "Automated Identification of Cryptographic Primitives in Binary Programs"(2011.09.)*

Also Published As

Publication number Publication date
KR20220023873A (ko) 2022-03-03
US11838414B2 (en) 2023-12-05
US20220060324A1 (en) 2022-02-24

Similar Documents

Publication Publication Date Title
Carmony et al. Extract Me If You Can: Abusing PDF Parsers in Malware Detectors.
CN111382439A (zh) 基于多模态深度学习的恶意软件检测方法
KR102185869B1 (ko) 머신러닝과 자연어처리 기술을 활용한 사이버위협 탐지 방법
US10121004B2 (en) Apparatus and method for monitoring virtual machine based on hypervisor
KR100932537B1 (ko) 이미지 필터를 이용한 포렌식 증거 분석 시스템 및 방법
RU2427890C2 (ru) Система и способ сравнения файлов на основе шаблонов функциональности
Shafiq et al. PE-probe: leveraging packer detection and structural information to detect malicious portable executables
CN112560031B (zh) 一种勒索病毒检测方法及系统
JPWO2018070404A1 (ja) マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラムが格納された記録媒体
CN111651768B (zh) 计算机二进制程序的链接库函数名识别方法及装置
Petrik et al. Towards architecture and os-independent malware detection via memory forensics
Oh et al. De-Wipimization: Detection of data wiping traces for investigating NTFS file system
Hand et al. Bin-Carver: Automatic recovery of binary executable files
US11068595B1 (en) Generation of file digests for cybersecurity applications
US8151117B2 (en) Detection of items stored in a computer system
KR102031592B1 (ko) 악성코드를 탐지하기 위한 방법 및 장치
KR102395263B1 (ko) 메모리 분석 기반 암호화 키 복구 장치 및 방법
KR102192196B1 (ko) Ai 기반 머신러닝 교차 검증 기법을 활용한 악성코드 탐지 장치 및 방법
CN112632548B (zh) 一种恶意安卓程序检测方法、装置,电子设备及存储介质
Sali et al. Ram forensics: The analysis and extraction of malicious processes from memory image using gui based memory forensic toolkit
CN112163217B (zh) 恶意软件变种识别方法、装置、设备及计算机存储介质
Nataraj et al. Detecting packed executables based on raw binary data
CN101739519B (zh) 用于一硬件的监控装置及监控方法
US20090133124A1 (en) A method for detecting the operation behavior of the program and a method for detecting and clearing the virus program
Ouairy et al. Confiance: detecting vulnerabilities in Java Card applets

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant