KR102395263B1 - 메모리 분석 기반 암호화 키 복구 장치 및 방법 - Google Patents
메모리 분석 기반 암호화 키 복구 장치 및 방법 Download PDFInfo
- Publication number
- KR102395263B1 KR102395263B1 KR1020200104860A KR20200104860A KR102395263B1 KR 102395263 B1 KR102395263 B1 KR 102395263B1 KR 1020200104860 A KR1020200104860 A KR 1020200104860A KR 20200104860 A KR20200104860 A KR 20200104860A KR 102395263 B1 KR102395263 B1 KR 102395263B1
- Authority
- KR
- South Korea
- Prior art keywords
- memory
- encryption key
- operation data
- read operation
- analysis
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Abstract
메모리 분석 기반 암호화 키 복구 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치는 하나 이상의 프로세서 및 상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고, 상기 적어도 하나 이상의 프로그램은 동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집하고, 상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석하고, 상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력한다.
Description
본 발명은 랜섬웨어 암호화 키 복구 기술에 관한 것으로, 보다 상세하게는 메모리 분석 기반 랜섬웨어 암호화 키 복구 기술에 관한 것이다.
종래 랜섬웨어 관련 기술로써, 랜섬웨어 탐지 기술은 랜섬웨어의 행위 혹은 코드를 기반으로 한 특정 시그니처를 활용하여 랜섬웨어를 탐지하는 기술이다. 동적 바이너리 계측 기술은 런타임 시 실행 코드를 삽입하여 해당 바이너리 응용 프로그램의 동작 및 행위에 대한 계측 분석 기술이다. 차분 계산 분석 기반 부채널 공격 기술은 서로 다른 입력 데이터에 대한 암호화 수행 시 발생하는 부채널 정보(사용 메모리 정보)를 기반하여 암호화 키를 복구하기 위한 기술이다.
그러나, 종래 랜섬웨어 관련 기술은 암호화에 사용된 키 복구보다는 탐지 및 차단에 초점을 두고 있다. 이로 인해, 랜섬웨어의 오탐지, 과탐지로 인한 사용자의 물질적, 금전적 피해가 발생할 수 있으며, 탐지 시점에 따른 사용자 피해를 최소화하기 위한 암호화 키 복구 기술이 요구되고 있다.
한편, 한국공개특허 제 10-2019-0135752 호"파일 시스템에서의 랜섬웨어 탐지 방법 및 그 장치"는 컴퓨터 사용 환경에서 랜섬웨어에 대한 탐지를 수행하여 파일시스템 내의 파일들이 암호화되는 위협으로부터 파일들을 보호하기 위한 파일시스템에서의 랜섬웨어 탐지 방법 및 그 장치에 관하여 개시하고 있다.
본 발명은 랜섬웨어의 오탐지, 과탐지로 인한 물질적, 금전적 피해 발생 최소화 및 암호화 키 복구를 위한 장치 및 방법을 제공하는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치는 하나 이상의 프로세서 및 상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고, 상기 적어도 하나 이상의 프로그램은 동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집하고, 상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석하고, 상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력한다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터의 크기가 기설정된 크기 이상인 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 읽기 연산 데이터의 후보군으로부터 상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구할 수 있다.
또한, 상기의 목적을 달성하기 위한 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법은 메모리 분석 기반 암호화 키 복구 장치의 메모리 분석 기반 암호화 키 복구 방법에 있어서, 동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집하는 단계; 상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석하는 단계 및 상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력하는 단계를 포함한다.
이 때, 상기 수집하는 단계는 상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집할 수 있다.
이 때, 상기 분석하는 단계는 상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 분석하는 단계는 상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정할 수 있다.
이 때, 상기 분석하는 단계는 상기 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 분석하는 단계는 상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성할 수 있다.
이 때, 상기 출력하는 단계는 상기 메모리 읽기 연산 데이터의 후보군으로부터 상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구할 수 있다.
본 발명은 랜섬웨어의 오탐지, 과탐지로 인한 물질적, 금전적 피해 발생 최소화 및 암호화 키 복구를 위한 장치 및 방법을 제공할 수 있다.
도 1은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 시스템을 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치를 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법을 나타낸 동작흐름도이다.
도 4는 도 3에 도시된 메모리 정보 수집 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 5는 도 3에 도시된 메모리 정보 분석 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 6은 본 발명의 일실시예에 따른 메모리 읽기 연산 데이터의 추출 결과를 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 메모리 주소상에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 추출 결과를 나타낸 도면이다.
도 8은 본 발명의 일실시예에 따른 연속된 메모리 주소상에서 기설정된 크기 이상의 메모리 읽기 연산 데이터를 추출한 결과를 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 분석된 암호화 마스터키 후보군 및 라운드 키 후보군을 나타낸 도면이다.
도 10은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 과정을 나타낸 도면이다.
도 11은 본 발명의 일실시예에 따른 암호화 마스터 키 및 라운드 키 복구 결과를 나타낸 도면이다.
도 12는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치를 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법을 나타낸 동작흐름도이다.
도 4는 도 3에 도시된 메모리 정보 수집 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 5는 도 3에 도시된 메모리 정보 분석 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 6은 본 발명의 일실시예에 따른 메모리 읽기 연산 데이터의 추출 결과를 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 메모리 주소상에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 추출 결과를 나타낸 도면이다.
도 8은 본 발명의 일실시예에 따른 연속된 메모리 주소상에서 기설정된 크기 이상의 메모리 읽기 연산 데이터를 추출한 결과를 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 분석된 암호화 마스터키 후보군 및 라운드 키 후보군을 나타낸 도면이다.
도 10은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 과정을 나타낸 도면이다.
도 11은 본 발명의 일실시예에 따른 암호화 마스터 키 및 라운드 키 복구 결과를 나타낸 도면이다.
도 12는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 시스템을 나타낸 도면이다.
본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 시스템은 메모리 분석 기반 암호화 키 복구 장치(100)가, 랜섬웨어 수행 동작 중 파일별 암호화 수행과정에서 암호화 키를 복구할 수 있다.
이 때, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 파일 암호화 과정에 있어 파일 열기/닫기 연산을 인식할 수 있다.
이 때, 암호화 마스터 키 혹은 라운드 키는 연속된 특정 메모리 주소 공간에 존재할 수 있다. 예를 들어, 암호화 마스터 키 혹은 라운드 키는 AES-128, 16바이트에 상응할 수 있다.
이 때, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 기존의 시스템 보안 기능이나 탐지 기술 기반 랜섬웨어가 감지된 파일로부터 암호화 키를 복구할 수 있다.
이 때, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 라운드 키 후보군(10) 및 암호화 마스터 키 후보군(20)을 생성하고, 라운드 키 후보군(10) 및 암호화 마스터 키 후보군(20)으로부터 암호화 키를 복구할 수 있다.
이 때, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 동적 바이너리 계측(DBI, Dynamic Binary Instrumentation, DBI) 기술을 이용하여 랜섬웨어가 탐지된 파일에서 메모리 정보를 수집할 수 있다.
도 2는 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치를 나타낸 블록도이다.
도 2를 참조하면, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 메모리 정보 수집부(110), 메모리 정보 분석부(120) 및 암호화 키 출력부(130)를 포함한다.
메모리 정보 수집부(110)는 동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집할 수 있다.
이 때, 메모리 정보 수집부(110)는 이 때, 단계(S210)는 상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집할 수 있다.
이 때, 메모리 정보 수집부(110)는 랜섬웨어가 탐지된 파일의 실행에 따른 명령어 정보를 수집할 수 있다.
이 때, 메모리 정보 수집부(110)는 수집된 명령어 정보에 파일의 열기 동작 연산 명령어를 확인하면 파일에 대한 메모리 정보를 수집할 수 있고, 파일의 열기 동작 연산 명령어가 확인되지 않은 경우, 명령어 정보를 수집할 수 있다.
이 때, 메모리 정보 수집부(110)는 랜섬웨어가 탐지된 파일의 실행에 따른 명령어 정보를 수집하여, 수집된 명령어 정보에 파일의 닫기 동작 연산 명령어를 확인하면 렌섬웨어의 암호화 연산 종료 여부를 확인할 수 있고, 파일의 닫기 동작 연산 명령어가 확인되지 않은 경우, 명령어 정보를 계속 수집할 수 있다.
이 때, 메모리 정보 수집부(110)는 렌섬웨어의 종료가 확인된 경우, 메모리 정보 분석부(120)에게 수집된 메모리 정보에 대한 메모리 읽기 연산 데이터의 분석을 요청할 수 있고, 렌섬웨어가 종료되지 않은 경우, 메모리 정보를 수집할 수 있다.
메모리 정보 분석부(120)는 상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석할 수 있다.
이 때, 메모리 정보 분석부(120)는 상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 메모리 정보 분석부(120)는 메모리 정보를 메모리 주소 및 메모리 읽기 연산 데이터 순으로 반복해서 출력할 수 있다.
이 때, 메모리 정보 분석부(120)는 메모리 정보에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 뒤, 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력할 수 있다.
이 때, 메모리 정보 분석부(120)는 먼저 상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정할 수 있다.
이 때, 메모리 정보 분석부(120)는 메모리 읽기 연산 데이터가 발생한 횟수가 연속된 메모리 주소상에서 발생한 경우, 메모리 정보를 저장하고, 연속된 메모리 주소상에서 발생하지 않은 경우, 메모리 정보에서 해당 메모리 읽기 연산 데이터를 초기화할 수 있다.
이 때, 메모리 정보 분석부(120)는 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 메모리 정보 분석부(120)는 메모리 정보에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 뒤, 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력할 수 있다.
이 때, 메모리 정보 분석부(120)는 상기 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터의 크기가 기설정된 크기 이상인 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 기설정된 크기는 AES-128, 16 바이트에 상응할 수 있다.
이 때, 메모리 정보 분석부(120)는 상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성할 수 있다.
이 때, 메모리 정보 분석부(120)는 메모리 정보의 끝부분까지 메모리 읽기 연산 데이터의 모든 분석이 완료된 경우, 암호화 키 출력부(130)에게 암호화 키의 복구를 요청할 수 있고, 메모리 정보의 끝부분이 아닌 경우, 메모리 주소별 메모리 읽기 연산 데이터의 발생 횟수를 카운트 할 수 있다).
암호화 키 출력부(130)는 상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력할 수 있다.
이 때, 암호화 키 출력부(130)는 상기 메모리 읽기 연산 데이터의 후보군으로부터 상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구할 수 있다.
이 때, 암호화 키 출력부(130)는 연속된 메모리 주소에서 동일한 발생 횟수를 갖는 메모리 읽기 연산 데이터가 정렬된 암호화 키 후보군을 출력할 수 있다.
이 때, 암호화 키 출력부(130)는 암호화 키 후보군을 각각 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력할 수 있다.
도 3은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법을 나타낸 동작흐름도이다. 도 4는 도 3에 도시된 메모리 정보 수집 단계의 일 예를 세부적으로 나타낸 동작흐름도이다. 도 5는 도 3에 도시된 메모리 정보 분석 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 3을 참조하면, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법은 먼저 메모리 정보를 수집할 수 있다(S210).
즉, 단계(S210)는 동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집할 수 있다.
이 때, 단계(S210)는 상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집할 수 있다.
도 4를 참조하면, 단계(S210)는 먼저 랜섬웨어가 탐지된 파일의 실행에 따른 명령어 정보를 수집할 수 있다(S211).
이 때, 단계(S212)는 수집된 명령어 정보에 파일의 열기 동작 연산 명령어를 확인하면 파일에 대한 메모리 정보를 수집할 수 있고(S213), 파일의 열기 동작 연산 명령어가 확인되지 않은 경우, 명령어 정보를 수집할 수 있다(S211).
이 때, 단계(S213)은 랜섬웨어가 탐지된 파일의 실행에 따른 메모리 정보를 수집할 수 있다.
이 때, 단계(S214)는 랜섬웨어가 탐지된 파일의 실행에 따른 명령어 정보를 수집할 수 있다.
이 때, 단계(S215)는 랜섬웨어가 탐지된 파일의 실행에 따른 명령어 정보를 수집하여, 수집된 명령어 정보에 파일의 닫기 동작 연산 명령어를 확인하면 렌섬웨어의 암호화 연산 종료 여부를 확인할 수 있고(S216), 파일의 닫기 동작 연산 명령어가 확인되지 않은 경우, 명령어 정보를 계속 수집할 수 있다(S211).
이 때, 단계(S216)은 렌섬웨어의 종료가 확인된 경우, 수집된 메모리 정보에서 메모리 읽기 연산 데이터를 분석할 수 있고(S220), 렌섬웨어가 종료되지 않은 경우, 메모리 정보를 수집할 수 있다(S213).
본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법은 메모리 정보를 분석할 수 있다(S220).
즉, 단계(S220)는 상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석할 수 있다.
이 때, 단계(S220)는 상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 단계(S220)는 메모리 정보를 메모리 주소 및 메모리 읽기 연산 데이터 순으로 반복해서 출력할 수 있다.
이 때, 단계(S220)는 메모리 정보에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 뒤, 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력할 수 있다.
도 5를 참조하면, 단계(S220)는 먼저 상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정할 수 있다(S221).
이 때, 단계(S222)는 메모리 읽기 연산 데이터가 발생한 횟수가 연속된 메모리 주소상에서 발생한 경우, 메모리 정보를 저장하고(S223), 연속된 메모리 주소상에서 발생하지 않은 경우, 메모리 정보에서 해당 메모리 읽기 연산 데이터를 초기화할 수 있다(S224).
이 때, 단계(S222)는 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 단계(S222)는 메모리 정보에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 뒤, 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력할 수 있다.
이 때, 단계(S222)는 상기 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터의 크기가 기설정된 크기 이상인 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 기설정된 크기는 AES-128, 16 바이트에 상응할 수 있다.
이 때, 단계(S222)는 상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성할 수 있다.
이 때, 단계(S225)는 메모리 정보의 끝부분까지 메모리 읽기 연산 데이터의 모든 분석이 완료된 경우, 암호화 키를 복구할 수 있고(S230), 메모리 정보의 끝부분이 아닌 경우, 메모리 주소별 메모리 읽기 연산 데이터의 발생 횟수를 카운트 할 수 있다(S221).
또한, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 방법은 암호화 키의 복구 결과를 출력할 수 있다(S230).
즉, 단계(S230)는 상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력할 수 있다.
이 때, 단계(S230)는 상기 메모리 읽기 연산 데이터의 후보군으로부터 상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구할 수 있다.
이 때, 단계(S230)는 연속된 메모리 주소에서 동일한 발생 횟수를 갖는 메모리 읽기 연산 데이터가 정렬된 암호화 키 후보군을 출력할 수 있다.
이 때, 단계(S230)는 암호화 키 후보군을 각각 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력할 수 있다.
도 6은 본 발명의 일실시예에 따른 메모리 읽기 연산 데이터의 추출 결과를 나타낸 도면이다.
도 6을 참조하면, 메모리 정보가 메모리 주소 및 메모리 읽기 연산 데이터 순으로 반복해서 출력된 것을 알 수 있다.
도 7은 본 발명의 일실시예에 따른 메모리 주소상에서 메모리 읽기 연산 데이터의 발생 횟수를 측정한 추출 결과를 나타낸 도면이다.
도 7을 참조하면, 메모리 주소상에서 메모리 읽기 연산 데이터의 발생 횟수가, 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력된 것을 알 수 있다.
도 8은 본 발명의 일실시예에 따른 연속된 메모리 주소상에서 기설정된 크기 이상의 메모리 읽기 연산 데이터를 추출한 결과를 나타낸 도면이다.
도 8을 참조하면, 연속된 메모리 주소상에서 기설정된 크기 이상의 메모리 읽기 연산 데이터가 연속된 주소에서 발생 횟수에 따라 정렬된 암호화키 후보군을 나타낸 것을 알 수 있다.
도 9는 본 발명의 일실시예에 따른 분석된 암호화 마스터키 후보군 및 라운드 키 후보군을 나타낸 도면이다.
도 9를 참조하면, 암호화 마스터 키 후보군 및 라운드 키 후보군이 각각 메모리 주소, 메모리 읽기 연산 데이터 및 발생 횟수 순으로 출력된 것을 알 수 있다.
이 때, 메모리 읽기 연산 데이터의 발생횟수가 3인 후보군이 암호화 마스터 키 후보군으로 생성되고, 메모리 읽기 연산 데이터의 발생횟수가 9인 후보군이 라운드 키 후보군으로 생성되는 것을 알 수 있다.
도 10은 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 과정을 나타낸 도면이다.
도 10을 참조하면, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 과정은 메모리 분석 기반 암호화 키 복구 장치(100)가 먼저 동적 바이너리 계측 기술을 기반으로 랜섬웨어가 탐지된 파일에서 메모리 정보를 수집할 수 있다.
이 때, 메모리 분석 기반 암호화 키 복구 장치(100)는 랜섬웨어가 탐지된 파일의 실행에 따른 명령어 정보를 수집하여 파일 열기/닫기 연산을 확인하고, 파일 열기/닫기 연산 사이의 메모리 정보를 수집할 수 있다.
또한, 메모리 분석 기반 암호화 키 복구 장치(100)는 메모리 정보에서 메모리 읽기 연산 데이터를 메모리 주소 별로 읽기 연산의 발생횟수를 카운트하고, 기설정된 크기 이상의 메모리 주소상 메모리 읽기 연산 데이터를 추출할 수 있다.
또한, 메모리 분석 기반 암호화 키 복구 장치(100)는 연속된 메모리 주소에서 동일한 발생 횟수로 추출된 메모리 읽기 연산 데이터들을 발생 횟수에 따라 암호화 키 후보군을 출력하고, 암호화 키 후보군으로부터 암호화 키를 복구할 수 있다.
도 11은 본 발명의 일실시예에 따른 암호화 마스터 키 및 라운드 키 복구 결과를 나타낸 도면이다.
도 11을 참조하면, 파일의 암호화에 사용된 암호화 마스터키(30), 파일 암호화에 사용된 라운드 키(40)를 나타낸 것을 알 수 있다.
이 때, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 파일 열기/닫기 연산 사이의 메모리 정보를 수집하여 연속된 메모리 주소상에서 동일한 발생횟수로 측정된 메모리 읽기 연산 데이터의 분석 결과에 기반하여 복구된 암호화 마스터키 후보군(50)과 라운드 키 후보군(60)을 나타낸 것을 알 수 있다.
도 12는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.
도 12를 참조하면, 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 12에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 인터페이스 입력 장치(1140), 사용자 인터페이스 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.
본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치(100)는 하나 이상의 프로세서(1110); 및 상기 하나 이상의 프로세서(1110)에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리(1130)를 포함하고, 상기 적어도 하나 이상의 프로그램은 동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집하고, 상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석하고, 상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력한다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터의 크기가 기설정된 크기 이상인 경우, 상기 메모리 읽기 연산 데이터를 추출할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 메모리 읽기 연산 데이터의 후보군으로부터 상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구할 수 있다.
이상에서와 같이 본 발명의 일실시예에 따른 메모리 분석 기반 암호화 키 복구 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 메모리 분석 기반 암호화 키 복구 장치
110: 메모리 정보 수집부 120: 메모리 정보 분석부
130: 암호화 키 출력부
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크
110: 메모리 정보 수집부 120: 메모리 정보 분석부
130: 암호화 키 출력부
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크
Claims (16)
- 하나 이상의 프로세서; 및
상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고,
상기 적어도 하나 이상의 프로그램은
동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집하고,
상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석하고,
상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력하고,
상기 적어도 하나 이상의 프로그램은
상기 메모리 정보의 끝부분까지 상기 메모리 읽기 연산 데이터의 분석이 완료된 경우, 상기 암호화 키를 복구하고, 상기 메모리 정보의 끝부분까지 상기 메모리 읽기 연산 데이터의 분석이 완료되지 않은 경우, 메모리 주소별 메모리 읽기 연산 데이터의 발생 횟수를 카운트 하고,
상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치. - 청구항 1에 있어서,
상기 적어도 하나 이상의 프로그램은
상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치. - 청구항 1에 있어서,
상기 적어도 하나 이상의 프로그램은
상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치. - 청구항 3에 있어서,
상기 적어도 하나 이상의 프로그램은
상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치. - 청구항 4에 있어서,
상기 적어도 하나 이상의 프로그램은
상기 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치. - 청구항 5에 있어서,
상기 적어도 하나 이상의 프로그램은
상기 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터의 크기가 기설정된 크기 이상인 경우, 상기 메모리 읽기 연산 데이터를 추출하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치. - 청구항 6에 있어서,
상기 적어도 하나 이상의 프로그램은
상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 장치. - 삭제
- 메모리 분석 기반 암호화 키 복구 장치의 메모리 분석 기반 암호화 키 복구 방법에 있어서,
동적 바이너리 계측(DYNAMIC BINARY INSTRUMENTATIION) 기반으로 랜섬웨어가 탐지된 파일의 암호화된 부분에 대한 메모리 정보를 수집하는 단계;
상기 메모리 정보에서 상기 파일을 암호화한 암호화 키에 상응하는 메모리 읽기 연산 데이터를 분석하는 단계; 및
상기 메모리 읽기 연산 데이터의 분석 결과에 기반하여 상기 암호화 키를 복구하고, 상기 암호화 키의 복구 결과를 출력하는 단계;
를 포함하고,
상기 분석하는 단계는
상기 메모리 정보의 끝부분까지 상기 메모리 읽기 연산 데이터의 분석이 완료된 경우, 상기 암호화 키를 복구하고, 상기 메모리 정보의 끝부분까지 상기 메모리 읽기 연산 데이터의 분석이 완료되지 않은 경우, 메모리 주소별 메모리 읽기 연산 데이터의 발생 횟수를 카운트 하고,
상기 출력하는 단계는
상기 메모리 읽기 연산 데이터가 발생 횟수에 따라 정렬된 암호화 키 후보군을 생성하고, 상기 암호화 키 후보군에 기반하여 상기 암호화 키를 복구하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법. - 청구항 9에 있어서,
상기 수집하는 단계는
상기 파일의 열기 동작과 상기 파일의 닫기 동작 사이 구간의 상기 메모리 정보를 수집하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법. - 청구항 9에 있어서,
상기 분석하는 단계는
상기 메모리 정보에서 메모리 읽기가 발생한 메모리 주소 및 메모리 읽기 연산 데이터를 추출하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법. - 청구항 11에 있어서,
상기 분석하는 단계는
상기 메모리 주소에서 상기 메모리 읽기 연산 데이터가 발생한 횟수를 측정하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법. - 청구항 12에 있어서,
상기 분석하는 단계는
상기 메모리 정보의 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터가 발생한 경우, 상기 메모리 읽기 연산 데이터를 추출하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법. - 청구항 13에 있어서,
상기 분석하는 단계는
상기 연속된 메모리 주소들에서 상기 메모리 읽기 연산 데이터의 크기가 기설정된 크기 이상인 경우, 상기 메모리 읽기 연산 데이터를 추출하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법. - 청구항 14에 있어서,
상기 분석하는 단계는
상기 메모리 읽기 연산 데이터가, 상기 연속된 메모리 주소들에서 동일한 발생 횟수를 갖고, 기설정된 크기 이상인 메모리 읽기 연산 데이터를 포함하는 메모리 읽기 연산 데이터의 후보군을 생성하는 것을 특징으로 하는 메모리 분석 기반 암호화 키 복구 방법. - 삭제
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200104860A KR102395263B1 (ko) | 2020-08-20 | 2020-08-20 | 메모리 분석 기반 암호화 키 복구 장치 및 방법 |
US17/069,084 US11838414B2 (en) | 2020-08-20 | 2020-10-13 | Apparatus and method for recovering encryption key based on memory analysis |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200104860A KR102395263B1 (ko) | 2020-08-20 | 2020-08-20 | 메모리 분석 기반 암호화 키 복구 장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20220023873A KR20220023873A (ko) | 2022-03-03 |
KR102395263B1 true KR102395263B1 (ko) | 2022-05-10 |
Family
ID=80271164
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200104860A KR102395263B1 (ko) | 2020-08-20 | 2020-08-20 | 메모리 분석 기반 암호화 키 복구 장치 및 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11838414B2 (ko) |
KR (1) | KR102395263B1 (ko) |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10742665B2 (en) * | 2016-02-01 | 2020-08-11 | NortonLifeLock Inc. | Systems and methods for modifying file backups in response to detecting potential ransomware |
KR101685014B1 (ko) | 2016-02-19 | 2016-12-12 | 주식회사 블랙포트시큐리티 | 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치 |
US10387648B2 (en) * | 2016-10-26 | 2019-08-20 | Cisco Technology, Inc. | Ransomware key extractor and recovery system |
US20190012459A1 (en) | 2017-07-10 | 2019-01-10 | Electronics And Telecommunications Research Institute | Ransomware detection apparatus and operating method thereof |
KR102145289B1 (ko) | 2017-07-10 | 2020-08-28 | 한국전자통신연구원 | 랜섬웨어 감지 장치 및 그 동작 방법 |
US11126718B2 (en) * | 2017-07-12 | 2021-09-21 | Acronis International Gmbh | Method for decrypting data encrypted by ransomware |
US20190116030A1 (en) * | 2017-10-16 | 2019-04-18 | Chronicle Llc | Storing data for ransomware recovery |
KR101899774B1 (ko) * | 2018-03-16 | 2018-09-19 | 주식회사 시큐브 | 랜섬웨어 대응을 위한 데이터 처리 방법, 이를 실행시키는 프로그램 및 상기 프로그램을 기록한 컴퓨터 판독 가능한 기록매체 |
KR102091787B1 (ko) | 2018-05-29 | 2020-03-20 | 고려대학교 산학협력단 | 파일 시스템에서의 랜섬웨어 탐지 방법 및 그 장치 |
-
2020
- 2020-08-20 KR KR1020200104860A patent/KR102395263B1/ko active IP Right Grant
- 2020-10-13 US US17/069,084 patent/US11838414B2/en active Active
Non-Patent Citations (2)
Title |
---|
Amin Kharraz et al, "Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks"(2015.07.)* |
Carsten Willems et al, "Automated Identification of Cryptographic Primitives in Binary Programs"(2011.09.)* |
Also Published As
Publication number | Publication date |
---|---|
KR20220023873A (ko) | 2022-03-03 |
US11838414B2 (en) | 2023-12-05 |
US20220060324A1 (en) | 2022-02-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Carmony et al. | Extract Me If You Can: Abusing PDF Parsers in Malware Detectors. | |
CN111382439A (zh) | 基于多模态深度学习的恶意软件检测方法 | |
KR102185869B1 (ko) | 머신러닝과 자연어처리 기술을 활용한 사이버위협 탐지 방법 | |
US10121004B2 (en) | Apparatus and method for monitoring virtual machine based on hypervisor | |
KR100932537B1 (ko) | 이미지 필터를 이용한 포렌식 증거 분석 시스템 및 방법 | |
RU2427890C2 (ru) | Система и способ сравнения файлов на основе шаблонов функциональности | |
Shafiq et al. | PE-probe: leveraging packer detection and structural information to detect malicious portable executables | |
CN112560031B (zh) | 一种勒索病毒检测方法及系统 | |
JPWO2018070404A1 (ja) | マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラムが格納された記録媒体 | |
CN111651768B (zh) | 计算机二进制程序的链接库函数名识别方法及装置 | |
Petrik et al. | Towards architecture and os-independent malware detection via memory forensics | |
Oh et al. | De-Wipimization: Detection of data wiping traces for investigating NTFS file system | |
Hand et al. | Bin-Carver: Automatic recovery of binary executable files | |
US11068595B1 (en) | Generation of file digests for cybersecurity applications | |
US8151117B2 (en) | Detection of items stored in a computer system | |
KR102031592B1 (ko) | 악성코드를 탐지하기 위한 방법 및 장치 | |
KR102395263B1 (ko) | 메모리 분석 기반 암호화 키 복구 장치 및 방법 | |
KR102192196B1 (ko) | Ai 기반 머신러닝 교차 검증 기법을 활용한 악성코드 탐지 장치 및 방법 | |
CN112632548B (zh) | 一种恶意安卓程序检测方法、装置,电子设备及存储介质 | |
Sali et al. | Ram forensics: The analysis and extraction of malicious processes from memory image using gui based memory forensic toolkit | |
CN112163217B (zh) | 恶意软件变种识别方法、装置、设备及计算机存储介质 | |
Nataraj et al. | Detecting packed executables based on raw binary data | |
CN101739519B (zh) | 用于一硬件的监控装置及监控方法 | |
US20090133124A1 (en) | A method for detecting the operation behavior of the program and a method for detecting and clearing the virus program | |
Ouairy et al. | Confiance: detecting vulnerabilities in Java Card applets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |