KR102699552B1 - 복합 이진 형식 문서 또는 Office Open XML 형식 문서의 내부 특징 정보를 검사하여 보안 솔루션에서 추가 분석대상을 빠르게 분류하기 위한 방법 - Google Patents

복합 이진 형식 문서 또는 Office Open XML 형식 문서의 내부 특징 정보를 검사하여 보안 솔루션에서 추가 분석대상을 빠르게 분류하기 위한 방법 Download PDF

Info

Publication number
KR102699552B1
KR102699552B1 KR1020240036662A KR20240036662A KR102699552B1 KR 102699552 B1 KR102699552 B1 KR 102699552B1 KR 1020240036662 A KR1020240036662 A KR 1020240036662A KR 20240036662 A KR20240036662 A KR 20240036662A KR 102699552 B1 KR102699552 B1 KR 102699552B1
Authority
KR
South Korea
Prior art keywords
file
filter
target file
analysis target
engine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020240036662A
Other languages
English (en)
Inventor
나우성
Original Assignee
시큐레터 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 시큐레터 주식회사 filed Critical 시큐레터 주식회사
Priority to KR1020240036662A priority Critical patent/KR102699552B1/ko
Application granted granted Critical
Publication of KR102699552B1 publication Critical patent/KR102699552B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V30/00Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
    • G06V30/10Character recognition

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Multimedia (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Storage Device Security (AREA)

Abstract

본 명세서는 서버가 유입된 문서 내부 정보를 검사하여 사전 필터링하기 위한 방법에 있어서, 분석 대상 파일을 입력받는 단계; 상기 분석 대상 파일을 정적 분석 엔진으로 검사하는 단계; 상기 정적 분석 엔진의 검사 결과가 정상인 것에 근거하여, 상기 분석 대상 파일을 필터 엔진으로 검사하는 단계; 상기 필터 엔진을 통해, 상기 분석 대상 파일의 필터 항목의 존재 여부를 검사하는 단계; 및 상기 필터 항목이 존재하는 것에 근거하여, 상기 분석 대상 파일을 동적 분석 엔진으로 검사하는 단계; 를 포함하며, 상기 분석 대상 파일은 복합 이진 형식 또는 Office Open XML(OOXML) 형식을 포함할 수 있다.

Description

복합 이진 형식 문서 또는 Office Open XML 형식 문서의 내부 특징 정보를 검사하여 보안 솔루션에서 추가 분석대상을 빠르게 분류하기 위한 방법 { METHOD FOR INSPECTING THE INTERNAL FEATURES OF COMPOUND FILE BINARY FORMAT OR OFFICE OPEN XML FORMAT DOCUMENTS FOR QUICK CLASSIFICATION OF ADDITIONAL ANALYSIS TARGETS IN SECURITY SOLUTIONS }
본 명세서는 복합 이진 형식 문서 또는 Office Open XML 형식 문서의 내부 특징 정보를 검사하여 보안 솔루션에서 추가 분석대상을 빠르게 분류하기 위한 방법 및 장치에 관한 것이다.
지능형 지속 위협(APT: Advanced Persistent Threat) 공격은 공격자가 특정 타깃을 정하고 목표한 정보를 빼내기 위해 고도의 공격기법을 적용하여 지속적으로 다양한 형태의 악성 코드를 활용한다.
특히 APT 공격은 초기 침입단계에서 탐지하지 못하는 경우가 많으며, 주로 악성 코드를 포함하는 비실행((Non-PE: Non-Portable Executable) 파일을 이용하는 경우가 많다.
실제 사용되는 대부분의 비실행 파일들은 정상파일임에도 보안 솔루션은 적은 비율의 악성 문서를 탐지하기 위해, 모든 파일에 대해 모든 탐지 방법을 적용하여 검사를 수행하고 있다. 특히 샌드박스 기반의 동적 분석 방식은 정적 분석방식보다 정확하지만 상대적으로 분석 시간이 더 많이 소요된다.
본 명세서의 목적은 복합 이진 형식 문서 또는 Office Open XML 형식 문서를 동적 분석하기 전에 사전 필터링을 적용하는 방법을 제안한다.
본 명세서가 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 이하의 명세서의 상세한 설명으로부터 본 명세서가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서의 일 양상은, 서버가 유입된 문서 내부 정보를 검사하여 사전 필터링하기 위한 방법에 있어서, 분석 대상 파일을 입력받는 단계; 상기 분석 대상 파일을 정적 분석 엔진으로 검사하는 단계; 상기 정적 분석 엔진의 검사 결과가 정상인 것에 근거하여, 상기 분석 대상 파일을 필터 엔진으로 검사하는 단계; 상기 필터 엔진을 통해, 상기 분석 대상 파일의 필터 항목의 존재 여부를 검사하는 단계; 및 상기 필터 항목이 존재하는 것에 근거하여, 상기 분석 대상 파일을 동적 분석 엔진으로 검사하는 단계; 를 포함하며, 상기 분석 대상 파일은 복합 이진 형식 또는 Office Open XML(OOXML) 형식을 포함할 수 있다.
또한, 상기 필터 항목의 존재 여부를 검사하는 단계는 상기 분석 대상 파일의 크기가 기준값을 존재하는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계; 를 포함할 수 있다.
또한, 상기 필터 항목의 존재 여부를 검사하는 단계는 상기 분석 대상 파일의 내부에 삽입된 파일이 있는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계; 를 포함할 수 있다.
또한, 상기 분석 대상 파일의 내부에 삽입된 파일이 있는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계는 상기 분석 대상 파일이 상기 복합 이진 형식인 것에 근거하여 : ObjectPool 스토리지를 식별하는 단계; 및 \1Ole10Native 스트림을 식별하는 단계; 를 포함할 수 있다.
또한, 상기 분석 대상 파일의 내부에 삽입된 파일이 있는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계는 상기 분석 대상 파일이 상기 OOXML 형식인 것에 근거하여 : Embeddings 폴더를 식별하는 단계; 및 oleObject1.bin 파일을 식별하는 단계; 를 포함할 수 있다.
또한, 상기 필터 항목의 존재 여부를 검사하는 단계는 상기 분석 대상 파일의 내부에 삽입된 스크립트가 있는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계; 를 더 포함할 수 있다.
또한, 상기 필터 항목의 존재 여부를 검사하는 단계는 상기 분석 대상 파일에 삽입된 외부 링크가 있는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계; 를 더 포함할 수 있다.
또한, 상기 필터 항목의 존재 여부를 검사하는 단계는 상기 분석 대상 파일이 암호화되어 있는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계; 를 더 포함할 수 있다.
또한, 상기 필터 항목의 존재 여부를 검사하는 단계는 기설정된 취약점과 관련된 개체들의 목록에 근거하여, 상기 분석 대상 파일의 내부에 상기 취약점과 관련된 개체가 존재하는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계; 를 더 포함할 수 있다.
또한, 상기 필터 항목의 존재 여부를 검사하는 단계는 상기 분석 대상 파일을 바이너리로 읽어드리는 단계; 및 상기 바이너리 상에 상기 취약점과 관련된 쉘코드가 존재하는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계; 를 더 포함할 수 있다.
또한, 상기 필터 항목의 존재 여부를 검사하는 단계는 상기 분석 대상 파일의 정보 엔트로피가 기준값을 초과하는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계; 를 더 포함할 수 있다.
또한, 상기 필터 항목의 존재 여부를 검사하는 단계는 상기 분석 대상 파일의 이미지를 추출하는 단계; OCR을 통해, 상기 이미지에서 텍스트를 추출하는 단계; 및 상기 텍스트가 피싱 문서와 관련된 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계; 를 더 포함할 수 있다.
또한, 상기 필터 항목의 존재 여부를 검사하는 단계는 상기 분석 대상 파일의 텍스트를 추출하는 단계; 및 상기 텍스트가 피싱 문서와 관련된 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계; 를 더 포함할 수 있다.
본 명세서의 또 다른 일 양상은, 유입된 문서 내부 정보를 검사하여 사전 필터링하기 위한 서버에 있어서, 통신부; 정적 분석 엔진, 필터 엔진, 및 동적 분석 엔진이 포함된 메모리; 및 상기 통신부 및 상기 메모리를 기능적으로 제어하는 프로세서; 를 포함하고, 상기 프로세서는 분석 대상 파일을 입력받고, 상기 분석 대상 파일을 상기 정적 분석 엔진으로 검사하며, 상기 정적 분석 엔진의 검사 결과가 정상인 것에 근거하여, 상기 분석 대상 파일을 상기 필터 엔진으로 검사하고, 상기 필터 엔진을 통해, 상기 분석 대상 파일의 필터 항목의 존재 여부를 검사하며, 상기 필터 항목이 존재하는 것에 근거하여, 상기 분석 대상 파일을 상기 동적 분석 엔진으로 검사하며, 상기 분석 대상 파일은 복합 이진 형식 또는 Office Open XML 형식을 포함할 수 있다.
본 명세서의 실시예에 따르면 복합 이진 형식 문서 또는 Office Open XML 형식 문서를 동적 분석하기 전에 사전 필터링을 수행할 수 있다.
본 명세서에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 명세서가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 명세서와 관련된 서버 또는 클라이언트를 나타내는 도면이다.
도 2는 본 명세서에 적용될 수 있는 비정상 입력의 예시이다.
도 3는 본 명세서가 적용될 수 있는 분석 방법을 예시한다.
본 명세서에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 명세서에 대한 실시예를 제공하고, 상세한 설명과 함께 본 명세서의 기술적 특징을 설명한다.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 또한, 본 명세서에 개시된 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 명세서의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 명세서에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 명세서에서 사용되는 "부"라는 용어는 소프트웨어 또는 하드웨어 구성요소를 의미하며, "부"는 어떤 역할들을 수행한다. 그렇지만 "부"는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. "부"는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 "부"는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 "부"들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 "부"들로 결합되거나 추가적인 구성요소들과 "부"들로 더 분리될 수 있다.
또한, 본 명세서의 일 실시예에 따르면 "부"는 프로세서 및 메모리로 구현될 수 있다. 용어 "프로세서"는 범용 프로세서, 중앙 처리 장치 (CPU), 마이크로프로세서, 디지털 신호 프로세서 (DSP), 제어기, 마이크로제어기, 상태 머신 등을 포함하도록 넓게 해석되어야 한다. 몇몇 환경에서는, "프로세서"는 주문형 반도체 (ASIC), 프로그램가능 로직 디바이스 (PLD), 필드 프로그램가능 게이트 어레이 (FPGA) 등을 지칭할 수도 있다. 용어 "프로세서"는, 예를 들어, DSP 와 마이크로프로세서의 조합, 복수의 마이크로프로세서들의 조합, DSP 코어와 결합한 하나 이상의 마이크로프로세서들의 조합, 또는 임의의 다른 그러한 구성들의 조합과 같은 처리 디바이스들의 조합을 지칭할 수도 있다.
용어 "메모리"는 전자 정보를 저장 가능한 임의의 전자 컴포넌트를 포함하도록 넓게 해석되어야 한다. 용어 메모리는 임의 액세스 메모리 (RAM), 판독-전용 메모리 (ROM), 비-휘발성 임의 액세스 메모리 (NVRAM), 프로그램가능 판독-전용 메모리 (PROM), 소거-프로그램가능 판독 전용 메모리 (EPROM), 전기적으로 소거가능 PROM (EEPROM), 플래쉬 메모리, 자기 또는 광학 데이터 저장장치, 레지스터들 등과 같은 프로세서-판독가능 매체의 다양한 유형들을 지칭할 수도 있다. 프로세서가 메모리로부터 정보를 판독하고/하거나 메모리에 정보를 기록할 수 있다면 메모리는 프로세서와 전자 통신 상태에 있다고 불린다. 프로세서에 집적된 메모리는 프로세서와 전자 통신 상태에 있다.
본 명세서에서 사용되는 "비실행 파일"이란 실행 파일 또는 실행 가능한 파일과 반대되는 개념으로서 자체적으로 실행되지 않는 파일을 의미한다. 예를 들어, 비실행 파일은 PDF 파일, 한글 파일, 워드 파일과 같은 문서 파일, JPG 파일과 같은 이미지 파일, 동영상 파일, 자바 스크립트 파일, HTML 파일 등이 될 수 있으나, 이에 한정되지 않는다.
아래에서는 첨부한 도면을 참고하여 실시예에 대하여 본 명세서가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그리고 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분들은 생략될 수 있다.
도 1은 본 명세서와 관련된 서버 또는 클라이언트를 나타내는 도면이다.
본 명세서에서 서버(또는 클라우드 서버) 또는 클라이언트는 제어부(100) 및 통신부(130)를 포함할 수 있다. 제어부(100)는 프로세서(110) 및 메모리(120)를 포함할 수 있다. 프로세서(110)는 메모리(120)에 저장된 명령어들을 수행할 수 있다. 프로세서(110)는 통신부(130)를 제어할 수 있다.
프로세서(110)는 메모리(120)에 저장된 명령어에 기초하여 서버 또는 클라이언트의 동작을 제어할 수 있다. 서버 또는 클라이언트는 하나의 프로세서를 포함할 수 있고, 복수의 프로세서를 포함할 수 있다. 서버 또는 클라이언트가 복수의 프로세서를 포함하는 경우, 복수의 프로세서 중 적어도 일부는 물리적으로 이격된 거리에 위치할 수 있다. 또한, 서버 또는 클라이언트는 이에 한정되지 않고 알려진 다양한 방식으로 구현될 수 있다.
통신부(130)는, 서버 또는 클라이언트와 무선 통신 시스템 사이, 서버 또는 클라이언트와 다른 서버 또는 클라이언트 사이, 또는 서버 또는 클라이언트와 외부서버 사이의 무선 통신을 가능하게 하는 하나 이상의 모듈을 포함할 수 있다. 또한, 통신부(110)는, 서버 또는 클라이언트를 하나 이상의 네트워크에 연결하는 하나 이상의 모듈을 포함할 수 있다.
제어부(100)는 메모리(120)에 저장된 응용 프로그램을 구동하기 위하여, 서버 또는 클라이언트의 구성요소들 중 적어도 일부를 제어할 수 있다. 나아가, 제어부(100)는 상기 응용 프로그램의 구동을 위하여, 서버 또는 클라이언트에 포함된 구성요소들 중 적어도 둘 이상을 서로 조합하여 동작 시킬 수 있다.
본 명세서에서 서버는 리버싱 엔진 또는/및 CDR 서비스를 제공하는 CDR 엔진을 포함할 수 있다.
리버싱(Reversing) 엔진
리버싱 엔진이란, 악성 비실행 파일에 대한 리버스 엔지니어링(리버싱) 과정을 자동화 한 분석/진단 엔진이다.
예를 들어, 리버싱 엔진은 다음의 단계를 수행할 수 있다.
1. 파일 분석: 비실행 파일 자체의 외관(예를 들어, 속성, 작성자, 작성 날짜, 파일 타입)을 분석하는 단계로서, 일반 백신 프로그램과 유사하게 비실행 파일 자체의 정보만으로 악성여부를 진단할 수 있다.
2. 정적 분석: 비실행 파일 내의 데이터를 추출, 분석해서 정상, 악성 여부를 판별하는 단계로서, 비실행 파일은 실행하지 않고 파일 구조에 맞게 내부 데이터를 추출하여 비교 분석하여 악성여부를 진단할 수 있다. 이는 매크로, URL 추출 분석 등에 적합할 수 있다.
3. 동적 분석: 비실행 파일을 실행하고 모니터링하면서 행위를 분석하여 악성 여부를 판별하는 단계로서, 매크로, 하이퍼링크, DDE 등 정상기능을 이용한 악성 행위를 탐지하기에 용이하다.
4. 디버깅 분석: 비실행 파일을 실행하고 디버깅하여 취약점, 익스플로잇 등을 분석하는 단계로서, 매크로, 하이퍼링크, DDE를 포함하여 문서 내 본문, 표, 폰트, 그림 등을 이용한 응용프로그램의 취약점을 탐지하기에 적합하다.
리버싱 엔진은 디버깅 분석에 사용될 수 있는 디버깅 엔진을 포함할 수 있다. 디버깅 엔진은 비실행 파일의 열람 과정을 디버깅하여 문서 입력, 처리, 출력단계에서 발생하는 취약점을 진단할 수 있다. 여기서 취약점이란, 응용프로그램이 응용프로그램의 개발자가 개발한 코드(로직)에서 예상하지 못한 값을 입력 받았을 때, 발생하는 오류, 버그 등을 이용하는 것으로서, 공격자는 취약점을 통해 비정상 종료로 인한 서비스 거부, 원격 코드 실행 등의 악성 행위를 실행할 수 있다.
CDR(Contents Disarm and Reconstruction)
CDR 서비스는 비실행 파일을 분해해 악성파일 혹은 불필요한 파일을 제거하고 콘텐츠는 원본과 최대한 동일하게 하여, 새로운 파일을 만드는 솔루션이다.
즉, Contents Disarm and Reconstruction(CDR)은 문서 내의 컨텐츠를 무해화(Disarm)하고 재조합(Reconstruction)하여 안전한 문서를 만들어 고객에게 제공하는 서비스를 의미하며, 무해화 대상 파일은 비실행 파일 일체(예를 들어, 워드, 엑셀, 파워포인트, 한글, HWP)를 대상으로 할 수 있으며, 무해화 대상 컨텐츠는 액티브 컨텐츠(예를 들어, 매크로, 하이퍼링크, OLE 객체 등)일 수 있다.
도 2는 본 명세서에 적용될 수 있는 비정상 입력의 예시이다.
도 2를 참조하면, 응용프로그램은 비실행 파일을 통해, 비정상적인 값(예를 들어, 입력값이 정상범위인 2를 초과하는 경우)을 입력 받는 경우, 개발자가 의도하지 않은 실행흐름으로 변경되어 취약점이 동작될 수 있다. 디버깅 엔진은 문서 열람 과정을 자동 디버깅하여 취약점과 관련된 특정 지점에 브레이크 포인트를 설정하고 입력값과 관련된 특정값을 확인하여 입력값이 취약점을 일으키는 값인지 아닌지 판별하여 악성 여부를 진단할 수 있다.
보다 자세하게, 디버깅 엔진은 비실행 파일을 확인하고 이를 열람하기 위한 응용프로그램을 실행하여 디버깅을 시작할 수 있다. 비실행 파일을 열람하는 과정에서 모듈이 로드되면, 디버깅 엔진은 해당 모듈이 분석 대상 모듈인지 확인하고, 분석 대상이라면 지정된 주소에 브레이크 포인트를 설정할 수 있다.
예를 들어, 악성 비실행 파일은 응용프로그램의 버전이나 운영체제 환경 등의 특정 조건이 만족하지 않으면 응용프로그램을 종료하거나 아무런 악성 행위가 발생하지 않는 흐름으로 분기하는 분기 지점들을 가질 수 있다. 서버는 사전에 분석가에 의해 분석되어 이러한 가능성을 가지는 분기 지점에 브레이크 포인트를 설정할 수 있다.
또한, 서버는 해당 분기 지점과 연관되어, 응용프로그램을 종료하지 않고 계속 실행하거나 악성 행위가 발생할 수 있는 흐름으로 유도할 수 있는 조건들을 설정할 수 있다.
응용프로그램의 프로세스 실행 중 해당 브레이크 포인트 지점에서 프로세스가 멈춘 경우, 서버는 탐지 로직에 따라 취약점 여부를 탐지한 후, 결과를 분석 리포트에 저장하는 단계를 수행할 수 있다.
서버에 포함된 자동화 리버싱 엔진은 전술한 단계들을 자동으로 수행하면서 분석하여 분석가가 연구, 개발한 진단 알고리즘을 통해, 악성 비실행 파일을 진단하고 차단할 수 있다.
도 3는 본 명세서가 적용될 수 있는 분석 방법을 예시한다.
도 3을 참조하면, 서버는 메모리 상에 정적 분석 (Static Analysis) 엔진, 필터룰이 적용된 필터 엔진, 및 동적 분석 엔진 (Dynamic Analysis)을 포함할 수 있다.
정적 분석 엔진은 파일의 내부 구조나 코드를 분석하여 악성 코드의 특징을 식별할 수 있다. 예를 들어, 정적 분석 엔진은 비실행 파일의 헤더, 섹션, 문자열, 바이너리 코드 등을 조사하여 악성 행위를 알아낼 수 있다. 이러한 정적 분석은 파일을 실행하지 않고도 악성 코드를 탐지할 수 있으므로, 본 명세서에서 서버는 정적 분석 엔진을 이용하여, 정적 분석을 통해 탐지할 수 있는 악성 코드를 빠르게 먼저 탐지할 수 있다.
예를 들어, 정적 분석 엔진은 비실행 파일의 고유한 서명이나 악성 패턴을 식별할 수 있다. 정적 분석은 실시간으로 작동할 수 있으므로, 필터 엔진이나 동적 분석 엔진 보다 먼저 수행될 수 있다. 즉, 정적 분석은 분석 대상 파일을 실행하지 않고 분석을 수행하는 방법으로 동적 분석을 시행했을 때보다 더 빠른 분석 결과를 얻을 수 있어 전체 분석 엔진 과정에서 먼저 수행될 수 있다.
필터 엔진은 필터룰로 대상 파일 내부에 필터항목의 존재 유무를 검사할 수 있다. 검사 수행결과 파일 내부에 필터항목을 탐지했을 경우, 서버는 동적 분석 엔진을 통해 추가분석을 진행할 수 있다.
동적 분석 엔진은 분석 대상 파일을 실행하고 그 실행 동안의 행위를 관찰하여 악성 코드를 탐지할 수 있다. 예를 들어, 동적 분석 엔진은 전술한 리버싱 엔진 및/또는 CDR 엔진을 포함할 수 있다.
동적 분석 엔진은 분석 대상 파일을 실행하여 악성 행위가 나타나는지 모니터링하고, 악성 코드의 행동 패턴을 분석할 수 있다.
서버는 분석 대상 파일로서, 비실행 파일을 입력 받는다(S3010). 예를 들어, 서버는 비실행 파일의 문서 포맷을 판단하기 위해, 비실행 파일을 열고 바이너리 코드 상의 식별(Signature) 타입을 확인하여, 문서의 포맷이 무엇인지 확인할 수 있다.
예를 들어, 비실행 파일들은 각각 고유한 포맷을 가지고 있는데 포맷의 기본이 되는 내용이 파일 시그니처(File Signature)이다. 파일 시그니처는 파일의 가장 처음에 위치하는 특정 바이트들도 파일 포맷을 구분하기 위해 사용될 수 있다.
예를 들어, 비실행 파일은 복합 이진 형식(Compound File Binary File Format, CFB) 문서 또는 Office Open XML 형식(OOXML) 문서를 포함할 수 있다. 보다 자세하게, CFB는 마이크로소프트 오피스의 구버전(97-2003)에서 사용된 파일 형식이며, OOXML은 마이크로소프트 오피스 2007 버전부터 사용되기 시작한 XML 기반의 파일 형식을 의미할 수 있다.
서버는 비실행 파일의 문서 포맷을 판단하기 위해, 파일의 헤더 부분에서 시그니처를 검사할 수 있다. 예를 들어, CFB 문서는 헤더의 처음 8바이트가 CFB 형식을 나타내는 특정 패턴을 갖을 수 있고, OOXML 문서는 ZIP 파일의 시그니처를 갖을 수 있다.
또는, 서버는 파일 확장자를 통해서 구분이 가능하며(예를 들어, CFB는 .doc, .xls, .ppt 등이고, OOXML은 .docx, .xlsx, .pptx 등), OOXML 파일의 내부 구조를 검사하거나, CFB 파일의 스토리지 및 스트림 구조를 분석하여, 문서 포맷을 판단할 수 있다.
서버는 비실행 파일의 포맷에 근거하여, 분석 대상 파일을 정적 분석 엔진으로 검사한다(S3020).
예를 들어, 비실행 파일의 포맷이 CFB 문서인 경우, 서버는 정적 분석 엔진을 통해, CFB 문서의 데이터 스트림에서 CFB 파일 구조를 식별하고, 파일 내용을 실시간으로 분석하여 악성 코드, 의심스러운 패턴 등을 탐지할 수 있다. 보다 자세하게, 서버는 CFB 파일의 내용을 직접 실행하지 않고 분석할 수 있다. 예를 들어, 서버는 CFB 파일의 코드, 매크로, 문서 내에 포함된 스크립트, 임베디드 오브젝트 등을 검사하여 알려진 악성 코드 시그니처, 의심스러운 패턴, 또는 취약점을 식별할 수 있다.
또한, 비실행 파일의 포맷이 OOXML 문서인 경우, 서버는 정적 분석 엔진을 통해, ZIP 파일을 압축 해제하고, XML 파일과 리소스를 추출하여, 메타 데이터, 문서 구조, 스크립트 등을 검사하여, 알려진 악성 코드 시그니처, 의심스러운 패턴, 또는 취약점을 식별할 수 있다. 이를 통해, 서버는 OOOXML 문서를 직접 실행하지 않고, 정적 분석을 수행할 수 있다.
서버는 정적 분석 엔진의 검사 결과 이상이 없는 경우, 분석 대상 파일을 필터 엔진으로 검사한다(S3030). 예를 들어, 필터 엔진은 기설정된 필터룰에 근거하여, 분석 대상 파일의 내부에 필터항목의 존재 유무를 검사할 수 있다.
비실행 파일의 문서 형식에는 사용자에게 편의를 제공하기 위해 구현된 여러 기능과 해당 기능을 수행하는 다양한 요소가 있다. 서버는 이 중에서 악성 코드가 주로 악용하는 기능들을 식별하여 그와 관련된 요소를 검사하는 필터링 규칙을 적용할 수 있다. 이러한 필터링 규칙을 기반으로 추가 분석을 수행할 파일을 분류하는 메커니즘을 적용하면, 문서 내부에 필터링된 항목이 존재하는 경우에만 추가 분석을 수행하고, 해당 사항이 없는 경우에는 빠르게 파일 분석을 완료할 수 있다.
서버는 필터 엔진으로 분석 대상 파일의 필터 항목의 존재 여부를 검사한다(S3040). 서버는 필터 엔진을 통해, 분석 대상 파일에서 필터 항목을 탐지한 경우, 이를 동적 분석 엔진의 추가 검사를 수행할 수 있다.
예를 들어, 서버의 필터룰을 이용한 CFB 파일의 필터 항목은 다음과 같다 :
1) 파일 크기
서버는 파일의 크기를 검사할 수 있다. 예를 들어, 악성 CFB 파일은 악성 파일 또는 스크립트를 삽입, 포장하여 기존 보안솔루션의 탐지를 우회할 수 있다. 따라서, 서버는 필터 엔진을 통해 검사한 CFB 파일의 크기가 기준값을 초과할 경우, 추가분석을 수행할 수 있다. 예를 들어, CFB 파일의 크기가 1mb 이상일 경우 서버는 추가분석을 수행할 수 있다.
2) 파일 내부 삽입 개체
서버는 CFB 파일의 내부 삽입 파일의 존재 유무를 검사할 수 있다. 삽입된 파일은 실행 파일이거나 문서파일과 같은 비실행 파일 일 수 있다. 예를 들어, 악성 CFB 파일의 경우 내부에 악성파일을 삽입하여 보안솔루션의 탐지를 우회할 수 있으며, CFB 열람 시 악성 파일이 실행되도록 유도할 수 있다.
이를 검사하기 위해, 예를 들어, 서버는 필터 엔진을 통해, ObjectPool 스토리지나 MBD로 시작하는 스토리지를 식별할 수 있다. 이 스토리지는 이미지, OLE(Object Linking and Embedding) 객체를 포함할 수 있다. 또한, 서버는 필터 엔진을 통해, \1Ole10Native 스트림을 식별할 수 있다. 이러한 스트림은 외부에서 삽입된 파일이나 객체의 데이터를 포함할 수 있다.
3) 파일 내부 스크립트
서버는 CFB 파일에 내부 삽입된 스크립트 존재 유무 및 데이터를 검사할 수 있다. 예를 들어, CFB 문서 열람 시 편의성을 위해, 특정 이벤트가 발생할 경우, 실행될 수 있는 스크립트가 삽입될 수 있다. 악성 CFB의 경우, 내부에 VBA를 삽입하여 악성행위가 수행될 수 있다.
이를 검사하기 위해, 예를 들어, 서버는 필터 엔진을 통해 ‘VBA', 'Macros', '_VBA_PROJECT_CUR' 등의 스토리지를 식별할 수 있다.
4) 외부 링크 존재 유무 검사
서버는 CFB 파일에 삽입된 외부 링크 유무를 검사할 수 있다. 예를 들어, 이러한 외부 링크는 사용자가 문서를 열 때 자동으로 연결되어 외부 데이터를 가져오거나, 악의적인 웹사이트로 사용자를 유도할 수 있다. 특히, 악성 CFB 형식 파일은 이러한 링크를 이용하여 악성 코드를 사용자의 PC에 자동으로 다운로드 및 실행시킬 수 있다.
이를 검사하기 위해, 예를 들어, 서버는 필터 엔진을 통해, 외부 링크를 포함할 가능성이 있는 스토리지(예를 들어, ObjectPool이나 MBD로 시작하는 스토리지)를 식별할 수 있다. 또한, 서버는 필터 엔진을 통해, 식별된 스토리지 내의 스트림을 순차적으로 검사하여, 'http' 문자열을 포함하는 스트림을 식별할 수 있다. 'http' 문자열을 포함하는 스트림이 식별되는 경우, 서버는 이에 대해 동적 분석을 수행할 수 있다.
5) 암호화 여부 검사
서버는 CFB 파일의 암호화 여부를 검사할 수 있다. 예를 들어, 악성 CFB 형식 파일은 암호화를 이용해 악성 행위를 숨기거나, 정상 파일로 위장하여 보안 솔루션의 탐지를 우회할 수 있다. 따라서, 서버는 필터 엔진을 통해, 암호화된 데이터를 포함하고 있을 가능성이 있는 스토리지와 스트림을 식별할 수 있다. 예를 들어, 서버는 암호화 정보를 관리하는 데 사용될 수 있는 \0x06DataSpaces 스토리지를 식별할 수 있고, 실제 암호화된 문서 데이터를 포함할 수 있는 EncryptedPackage 스트림, 암호화에 사용된 키와 알고리즘 정보를 담고 있을 수 있는 EncryptionInfo 스트림을 식별할 수 있다.
6) CFB 문서 내 취약점이 주로 악용된 개체 검사
서버는 필터 엔진을 통해, CFB 파일 내의 취약점이 자주 악용된 개체 존재 유무를 검사할 수 있다. 예를 들어, CFB 문서 내의 여러 개체 중 특히 취약점이 많이 노출된 개체들이 존재할 수 있다. 서버는 그 개체들을 목록화할 수 있고, 이러한 목록에 근거하여, 그 개체가 존재하는 경우, CFB 파일의 추가 분석을 수행할 수 있다.
예를 들어, 서버는 CFB 파일 형식에서 알려진 취약점이 자주 발생하는 개체의 목록을 생성하고, 당해 개체를 식별할 수 있다. 이러한 목록은 취약한 플래시 이미지(.swf 파일), 오래된 OLE 개체, 실행 가능한 스크립트, 매크로 등이 포함될 수 있다.
7) CFB 문서 구조 내 쉘코드 검사
서버는 필터 엔진을 통해, 취약점 발현 시 실행되는 명령어코드인 쉘코드의 존재 유무를 검사할 수 있다. 쉘코드는 연속된 바이너리 데이터 묶음으로 이루어져 있다. 서버는 자체 수집된 쉘코드 중 주로 악용되는 데이터를 필터항목으로 선정하여 전체 문서 데이터 중 일치할 경우 추가분석을 수행할 수 있다.
예를 들어, 서버는 필터항목으로 설정된 쉘코드를 탐지할 수 있다. 이를 위해, 서버는 주로 악용되는 쉘코드를 필터 항목으로 선정할 수 있다. 보다 자세하게, 이러한 쉘코드는 보통 악의적인 목적으로 사용되는 특정한 패턴이나 바이너리 시그니처를 포함할 수 있다. 서버는 필터 엔진을 통해, CFB 문서 데이터 중에서 쉘코드와 일치하는 부분을 찾을 수 있다. 예를 들어, CFB 파일을 바이너리로 읽어들인 후, 쉘코드와 일치하는 부분을 검사하여 필터 항목에 해당하는 쉘코드가 있는지 확인할 수 있다.
예를 들어, 필터 엔진은 다음의 쉘코드를 필터항목으로 포함할 수 있다.
“33 C9 64 A1 30 00 00 00 8B 40 0C 8B 70 14 AD 96 AD 8B 58 10 8B 53 3C 03 D3 8B 52 78 03 D3 8B 72 20 03 F3 33 C9 41 AD 03 C3 81 38 47 65 74 50 75 F4 81 78 04 72 6F 63 41 75 EB 81 78 08 64 64 72 65 75 E2 8B 72 24 03 F3 66 8B 0C 4E 49 8B 72 1C 03 F3 8B 14 8E 03 D3 33 F6 8B F2 33 C9 51 68 61 72 79 41 68 4C 69 62 72 68 4C 6F 61 64 8B CC 51 53 FF D2 50 33 C9 B9 64 6C 6C 00 51 68 6C 33 32 2E 68 73 68 65 6C 8B CC 51 FF D0 50 33 C9 66 B9 6C 6C 51 68 72 74 2E 64 68 6D 73 76 63 8B CC 51 8B 54 24 20 FF D2 50 E8 8B 05 00 00 73 74 72 6C 65 6E 00 77 00 00 90 90 90 90 90 90 5C 32 5F 4D 57 41 4C 52 44 45”
서버는 분석 대상 파일은 CFB 파일을 바이너리로 읽어들인 후, 필터항목의 쉘코드가 있는 경우, 추가 분석을 수행할 수 있다.
8) CFB 문서 데이터 엔트로피 측정
CFB 파일은 보통 텍스트, 이미지, 그래픽 등 다양한 유형의 데이터를 포함하고 있으며, 이러한 다양한 데이터의 조합으로 인해 CFB 파일은 일정 수준의 엔트로피를 갖을 수 있다. 예를 들어, 엔트로피는 데이터의 무질서 정도를 나타내는 지표로, 데이터의 예측 가능성이 낮을수록 엔트로피가 높아질 수 있다.
악성 CFB 파일은 보통 보안 솔루션을 회피하기 위해 악성 코드나 악성 스크립트를 난독화한다. 난독화된 코드는 일반적인 텍스트나 이미지와 달리 예측하기 어렵고, 그 결과 엔트로피가 높아질 수 있다.
보다 자세하게, CFB 파일은 평균 정보량이 존재한다. 예를 들어, 악성 CFB 파일인 경우, 악성 파일 혹은 스크립트가 존재할 수 있다. 이 때 존재하는 악성 개체들은 탐지를 회피하기 위해 난독화 되어 있어 평균 정보량이 정상 파일보다 월등히 높을 수 있다. 따라서, 서버는 비트 단위의 정보 엔트로피 공식을 적용하여 평균 정보량을 측정하고, 평균 정보량이 일정 수치 이상일 경우 추가 분석을 수행할 수 있다.
다음의 표 1은 본 명세서가 적용될 수 있는 정보 엔트로피의 예시이다.
표 1을 참조하면, 정보량(information content)은 사건 k가 발생할 확률(p)에 반비례할 수 있다. 정보 엔트로피는 각 사건의 정보량에 확률을 곱한 값을 모두 합하여 계산될 수 있다. 예를 들어, 어떤 결과값의 발생 가능도가 작아질수록 그 정보량은 커지고, 더 자주 발생할수록 그 정보량은 작아질 수 있다. CFB 파일의 경우, 각 비트는 파일 내의 정보를 표현하므로, 파일의 정보량은 각 비트의 정보량의 합으로 나타낼 수 있다. 따라서, 서버는 CFB 파일의 비트 정보량을 계산하고, 이를 통해 엔트로피를 측정할 수 있다. 보다 자세하게, 서버는 CFB 파일을 이진 데이터로 변환한 후, 데이터 스트림을 생성하고, 이러한 스트림들을 분석하여, 각 비트가 0 또는 1일 확률을 추정하는 것을 통해, 정보량을 계산할 수 있다.예를 들어, 서버는 필터 엔진을 통해, CFB 파일의 엔트로피가 일정 수준(예를 들어, 7 이상)을 넘어가면 추가 분석을 수행하여 악성 코드나 악성 스크립트의 존재 여부를 확인할 수 있다.
9) CFB 문서 내부 이미지 텍스트 추출 및 검사
피싱 문서는 악의적인 목적으로 사용자로 하여금 개인정보를 입력하도록 유도하는 CFB 문서이다. 이러한 문서는 보통 계정 정보 입력을 유도하는 텍스트나 링크를 이미지 형태로 삽입하여 사용자의 주의를 끌고, 개인정보를 요구한다. 예를 들어, 서버는 필터 엔진을 통해, 피싱 문서를 탐지하기 위해, OCR(광학 문자 인식) 기술을 사용할 수 있다.
보다 자세하게, 서버는 필터 엔진을 통해, CFB 문서에서 이미지를 추출하고, 추출된 이미지에 OCR 기술을 적용하여 이미지 속 문자를 식별하고 텍스트로 변환할 수 있다. 해당 텍스트가 피싱 문서에서 주로 사용되는 텍스트 패턴이나 특정 키워드(예를 들어, "Enable Contents", "Click here to read message") 인 경우, 서버는 추가 분석을 수행할 수 있다.
10) CFB 문서 내부의 텍스트 내용 검사
서버는 필터 엔진을 통해, CFB 문서의 텍스트 데이터를 구문 분석하여, 추가 분석을 수행할 수 있다. 예를 들어, 서버는 CFB 문서 내에 개인정보 입력을 유도하는 텍스트 패턴이나 특정 키워드(예를 들어, "Enable Contents", "Click here to read message")가 존재하는 경우, 서버는 추가 분석을 수행할 수 있다.
예를 들어, 서버의 필터룰을 이용한 OOXML 파일의 필터 항목은 다음과 같다 :
1) 파일 크기
서버는 파일의 크기를 검사할 수 있다. 예를 들어, 악성 OOXML 파일은 악성 파일 또는 스크립트를 삽입, 포장하여 기존 보안솔루션의 탐지를 우회할 수 있다. 따라서, 서버는 필터 엔진을 통해 검사한 OOXML 파일의 크기가 기준값을 초과할 경우, 추가분석을 수행할 수 있다. 예를 들어, OOXML 파일의 크기가 1mb 이상일 경우 서버는 추가분석을 수행할 수 있다.
2) 파일 내부 삽입 개체
서버는 OOXML 파일의 내부 삽입 파일의 존재 유무를 검사할 수 있다. 삽입된 파일은 실행 파일이거나 문서파일과 같은 비실행 파일 일 수 있다. 예를 들어, 악성 OOXML 파일의 경우 내부에 악성파일을 삽입하여 보안솔루션의 탐지를 우회할 수 있으며, OOXML 열람 시 악성 파일이 실행되도록 유도할 수 있다.
이를 검사하기 위해, 예를 들어, 서버는 필터 엔진을 통해, ‘embeddings' 폴더를 식별할 수 있다. 또한, 서버는 필터 엔진을 통해, ‘oleObject1.bin' 파일을 식별할 수 있다. 이러한 폴더 및 파일은 외부에서 삽입된 파일이나 객체의 데이터를 포함할 수 있다.
3) 파일 내부 스크립트
서버는 OOXML 파일에 내부 삽입된 스크립트 존재 유무 및 데이터를 검사할 수 있다. 예를 들어, OOXML 문서 열람 시 편의성을 위해, 특정 이벤트가 발생할 경우, 실행될 수 있는 스크립트가 삽입될 수 있다. 악성 OOXML의 경우, 내부에 VBA를 삽입하여 악성행위가 수행될 수 있다.
이를 검사하기 위해, 예를 들어, 서버는 필터 엔진을 통해 'vbaProject.bin' 등의 파일을 식별할 수 있다.
4) 외부 링크 존재 유무 검사
서버는 OOXML 파일에 삽입된 외부 링크 유무를 검사할 수 있다. 예를 들어, 이러한 외부 링크는 사용자가 문서를 열 때 자동으로 연결되어 외부 데이터를 가져오거나, 악의적인 웹사이트로 사용자를 유도할 수 있다. 특히, 악성 OOXML 형식 파일은 이러한 링크를 이용하여 악성 코드를 사용자의 PC에 자동으로 다운로드 및 실행시킬 수 있다.
이를 검사하기 위해, 예를 들어, 서버는 필터 엔진을 통해, 외부 링크를 포함할 가능성이 있는 파일(예를 들어, ‘document.xml.rels')을 식별할 수 있다. 또한, 서버는 필터 엔진을 통해, 식별된 파일의 'Relationship 요소의 'TargetMode' 옵션이 'External'일 경우, 서버는 이에 대해 동적 분석을 수행할 수 있다.
5) 암호화 여부 검사
서버는 OOXML 파일의 암호화 여부를 검사할 수 있다. 예를 들어, 악성 OOXML 형식 파일은 암호화를 이용해 악성 행위를 숨기거나, 정상 파일로 위장하여 보안 솔루션의 탐지를 우회할 수 있다. 따라서, 서버는 필터 엔진을 통해, 암호화된 데이터를 포함하고 있을 가능성이 있는 스토리지와 스트림을 식별할 수 있다. 예를 들어, 서버는 암호화 정보를 관리하는 데 사용될 수 있는 ‘_DataSpaces' 폴더를 식별할 수 있고, 실제 암호화된 문서 데이터를 포함할 수 있는 EncryptedPackage 파일, 암호화에 사용된 키와 알고리즘 정보를 담고 있을 수 있는 EncryptionInfo 파일을 식별할 수 있다.
6) OOXML 문서 내 취약점이 주로 악용된 개체 검사
서버는 필터 엔진을 통해, OOXML 파일 내의 취약점이 자주 악용된 개체 존재 유무를 검사할 수 있다. 예를 들어, OOXML 문서 내의 여러 개체 중 특히 취약점이 많이 노출된 개체들이 존재할 수 있다. 서버는 그 개체들을 목록화할 수 있고, 이러한 목록에 근거하여, 그 개체가 존재하는 경우, OOXML 파일의 추가 분석을 수행할 수 있다.
예를 들어, 서버는 OOXML 파일 형식에서 알려진 취약점이 자주 발생하는 개체의 목록을 생성하고, 당해 개체를 식별할 수 있다. 이러한 목록은 취약한 플래시 이미지(.swf 파일), 오래된 OLE 개체, 실행 가능한 스크립트, 매크로 등이 포함될 수 있다.
7) OOXML 문서 구조 내 쉘코드 검사
서버는 필터 엔진을 통해, 취약점 발현 시 실행되는 명령어코드인 쉘코드의 존재 유무를 검사할 수 있다. 쉘코드는 연속된 바이너리 데이터 묶음으로 이루어져 있다. 서버는 자체 수집된 쉘코드 중 주로 악용되는 데이터를 필터항목으로 선정하여 전체 문서 데이터 중 일치할 경우 추가분석을 수행할 수 있다.
예를 들어, 서버는 필터항목으로 설정된 쉘코드를 탐지할 수 있다. 이를 위해, 서버는 주로 악용되는 쉘코드를 필터 항목으로 선정할 수 있다. 보다 자세하게, 이러한 쉘코드는 보통 악의적인 목적으로 사용되는 특정한 패턴이나 바이너리 시그니처를 포함할 수 있다. 서버는 필터 엔진을 통해, OOXML 문서 데이터 중에서 쉘코드와 일치하는 부분을 찾을 수 있다. 예를 들어, OOXML 파일을 바이너리로 읽어들인 후, 쉘코드와 일치하는 부분을 검사하여 필터 항목에 해당하는 쉘코드가 있는지 확인할 수 있다.
예를 들어, 필터 엔진은 다음의 쉘코드를 필터항목으로 포함할 수 있다.
“33 C9 64 A1 30 00 00 00 8B 40 0C 8B 70 14 AD 96 AD 8B 58 10 8B 53 3C 03 D3 8B 52 78 03 D3 8B 72 20 03 F3 33 C9 41 AD 03 C3 81 38 47 65 74 50 75 F4 81 78 04 72 6F 63 41 75 EB 81 78 08 64 64 72 65 75 E2 8B 72 24 03 F3 66 8B 0C 4E 49 8B 72 1C 03 F3 8B 14 8E 03 D3 33 F6 8B F2 33 C9 51 68 61 72 79 41 68 4C 69 62 72 68 4C 6F 61 64 8B CC 51 53 FF D2 50 33 C9 B9 64 6C 6C 00 51 68 6C 33 32 2E 68 73 68 65 6C 8B CC 51 FF D0 50 33 C9 66 B9 6C 6C 51 68 72 74 2E 64 68 6D 73 76 63 8B CC 51 8B 54 24 20 FF D2 50 E8 8B 05 00 00 73 74 72 6C 65 6E 00 77 00 00 90 90 90 90 90 90 5C 32 5F 4D 57 41 4C 52 44 45”
서버는 분석 대상 파일은 OOXML 파일을 바이너리로 읽어들인 후, 필터항목의 쉘코드가 있는 경우, 추가 분석을 수행할 수 있다.
8) OOXML 문서 데이터 엔트로피 측정
표 1을 참조하면, 서버는 OOXML 파일의 비트 정보량을 계산하고, 이를 통해 엔트로피를 측정할 수 있다. 보다 자세하게, 서버는 OOXML 파일을 이진 데이터로 변환한 후, 데이터 스트림을 생성하고, 이러한 스트림들을 분석하여, 각 비트가 0 또는 1일 확률을 추정하는 것을 통해, 정보량을 계산할 수 있다.
예를 들어, 서버는 필터 엔진을 통해, OOXML 파일의 엔트로피가 일정 수준(예를 들어, 7 이상)을 넘어가면 추가 분석을 수행하여 악성 코드나 악성 스크립트의 존재 여부를 확인할 수 있다.
9) OOXML 문서 내부 이미지 텍스트 추출 및 검사
피싱 문서는 악의적인 목적으로 사용자로 하여금 개인정보를 입력하도록 유도하는 OOXML 문서이다. 이러한 문서는 보통 계정 정보 입력을 유도하는 텍스트나 링크를 이미지 형태로 삽입하여 사용자의 주의를 끌고, 개인정보를 요구한다. 예를 들어, 서버는 필터 엔진을 통해, 피싱 문서를 탐지하기 위해, OCR(광학 문자 인식) 기술을 사용할 수 있다.
보다 자세하게, 서버는 필터 엔진을 통해, OOXML 문서에서 이미지를 추출하고, 추출된 이미지에 OCR 기술을 적용하여 이미지 속 문자를 식별하고 텍스트로 변환할 수 있다. 해당 텍스트가 피싱 문서에서 주로 사용되는 텍스트 패턴이나 특정 키워드(예를 들어, "Enable Contents", "Click here to read message") 인 경우, 서버는 추가 분석을 수행할 수 있다.
10) OOXML 문서 내부의 텍스트 내용 검사
서버는 필터 엔진을 통해, OOXML 문서의 텍스트 데이터를 구문 분석하여, 추가 분석을 수행할 수 있다. 예를 들어, 서버는 OOXML 문서 내에 개인정보 입력을 유도하는 텍스트 패턴이나 특정 키워드(예를 들어, "Enable Contents", "Click here to read message")가 존재하는 경우, 서버는 추가 분석을 수행할 수 있다.
서버는 필터 항목을 탐지한 경우, 분석 대상 파일을 동적 분석 엔진으로 검사한다(S3050). 서버는 동적분석엔진으로 추가분석을 수행 후 파일 검사를 종료할 수 있다. 동적 분석은 대상 파일을 실행하여 분석하는 방법으로 정적 분석을 시행했을 때보다 상대적으로 분석시간이 더 소요되지만 보다 정확한 결과를 얻을 수 있다.
기존의 검사 방식은 정적 분석 엔진을 통해 악성 파일을 탐지한 후, 모든 파일에 대해 동적 분석을 수행한다. 이는 모든 파일에 대해 동적 분석을 수행하므로 시간이 많이 소요된다. 그러나 악성 행위는 특정 개체를 통해 주로 발생하며, 모든 파일이 동적 분석을 필요로 하는 것은 비효율적이다.
따라서, 본 명세서에서 서버는 필터 엔진을 적용하여 악성 개체가 없는 파일을 동적 분석 대상에서 제외할 수 있다. 이를 통해, 검사 시간이 단축되어 솔루션의 탐지 시간을 줄일 수 있다. 이는 보안 솔루션의 성능을 향상시키고, 가용성을 향상시켜 주요 업무 애플리케이션의 실시간 소통에 영향을 미칠 수 있다. 따라서, 본 명세서에서 필터 엔진을 적용한 보안 솔루션은 업무의 연속성과 보안성을 동시에 향상시킬 수 있다.
전술한 본 명세서는, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀 질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 명세서의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 명세서의 등가적 범위 내에서의 모든 변경은 본 명세서의 범위에 포함된다.
또한, 이상에서 서비스 및 실시 예들을 중심으로 설명하였으나 이는 단지 예시일 뿐 본 명세서를 한정하는 것이 아니며, 본 명세서가 속하는 분야의 통상의 지식을 가진 자라면 본 서비스 및 실시 예의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 실시 예들에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있는 것이다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부한 청구 범위에서 규정하는 본 명세서의 범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (14)

  1. 서버가 유입된 문서 내부 정보를 검사하여 사전 필터링하기 위한 방법에 있어서,
    분석 대상 파일을 입력받는 단계;
    상기 분석 대상 파일을 정적 분석 엔진으로 검사하는 단계;
    상기 정적 분석 엔진의 검사 결과가 정상인 것에 근거하여, 상기 분석 대상 파일을 필터 엔진으로 검사하는 단계;
    상기 필터 엔진을 통해, 상기 분석 대상 파일의 필터 항목의 존재 여부를 검사하는 단계; 및
    상기 필터 항목이 존재하는 것에 근거하여, 상기 분석 대상 파일을 동적 분석 엔진으로 검사하는 단계;
    를 포함하며,
    상기 분석 대상 파일은 복합 이진 형식 또는 Office Open XML(OOXML) 형식을 포함하고,
    상기 필터 항목의 존재 여부를 검사하는 단계는
    기설정된 취약점과 관련된 개체들의 목록에 근거하여, 상기 분석 대상 파일의 내부에 상기 취약점과 관련된 개체가 존재하는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계;
    상기 분석 대상 파일을 바이너리로 읽어 들이는 단계;
    상기 바이너리 상에 상기 취약점과 관련된 쉘코드가 존재하는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계; 및
    상기 분석 대상 파일의 정보 엔트로피가 기준값을 초과하는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계;
    를 포함하는, 사전 필터링 방법.
  2. 제1항에 있어서,
    상기 필터 항목의 존재 여부를 검사하는 단계는
    상기 분석 대상 파일의 크기가 기준값을 초과하는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계;
    를 포함하는, 사전 필터링 방법.
  3. 제1항에 있어서,
    상기 필터 항목의 존재 여부를 검사하는 단계는
    상기 분석 대상 파일의 내부에 삽입된 파일이 있는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계;
    를 포함하는, 사전 필터링 방법.
  4. 제3항에 있어서,
    상기 분석 대상 파일의 내부에 삽입된 파일이 있는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계는
    상기 분석 대상 파일이 상기 복합 이진 형식인 것에 근거하여 :
    ObjectPool 스토리지를 식별하는 단계; 및
    \1Ole10Native 스트림을 식별하는 단계;
    를 포함하는, 사전 필터링 방법.
  5. 제3항에 있어서,
    상기 분석 대상 파일의 내부에 삽입된 파일이 있는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계는
    상기 분석 대상 파일이 상기 OOXML 형식인 것에 근거하여 :
    Embeddings 폴더를 식별하는 단계; 및
    oleObject1.bin 파일을 식별하는 단계;
    를 포함하는, 사전 필터링 방법.
  6. 제3항에 있어서,
    상기 필터 항목의 존재 여부를 검사하는 단계는
    상기 분석 대상 파일의 내부에 삽입된 스크립트가 있는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계;
    를 더 포함하는, 사전 필터링 방법.
  7. 제6항에 있어서,
    상기 필터 항목의 존재 여부를 검사하는 단계는
    상기 분석 대상 파일에 삽입된 외부 링크가 있는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계;
    를 더 포함하는, 사전 필터링 방법.
  8. 제6항에 있어서,
    상기 필터 항목의 존재 여부를 검사하는 단계는
    상기 분석 대상 파일이 암호화되어 있는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계;
    를 더 포함하는, 사전 필터링 방법.
  9. 삭제
  10. 삭제
  11. 삭제
  12. 제6항에 있어서,
    상기 필터 항목의 존재 여부를 검사하는 단계는
    상기 분석 대상 파일의 이미지를 추출하는 단계;
    OCR을 통해, 상기 이미지에서 텍스트를 추출하는 단계; 및
    상기 텍스트가 피싱 문서와 관련된 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계;
    를 더 포함하는, 사전 필터링 방법.
  13. 제12항에 있어서,
    상기 필터 항목의 존재 여부를 검사하는 단계는
    상기 분석 대상 파일의 텍스트를 추출하는 단계; 및
    상기 텍스트가 피싱 문서와 관련된 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는 단계;
    를 더 포함하는, 사전 필터링 방법.
  14. 유입된 문서 내부 정보를 검사하여 사전 필터링하기 위한 서버에 있어서,
    통신부;
    정적 분석 엔진, 필터 엔진, 및 동적 분석 엔진이 포함된 메모리; 및
    상기 통신부 및 상기 메모리를 기능적으로 제어하는 프로세서; 를 포함하고,
    상기 프로세서는
    분석 대상 파일을 입력받고, 상기 분석 대상 파일을 상기 정적 분석 엔진으로 검사하며, 상기 정적 분석 엔진의 검사 결과가 정상인 것에 근거하여, 상기 분석 대상 파일을 상기 필터 엔진으로 검사하고, 상기 필터 엔진을 통해, 상기 분석 대상 파일의 필터 항목의 존재 여부를 검사하며, 상기 필터 항목이 존재하는 것에 근거하여, 상기 분석 대상 파일을 상기 동적 분석 엔진으로 검사하며,
    상기 분석 대상 파일은 복합 이진 형식 또는 Office Open XML 형식을 포함하며,
    상기 필터 항목의 존재 여부를 검사하기 위해, 기설정된 취약점과 관련된 개체들의 목록에 근거하여, 상기 분석 대상 파일의 내부에 상기 취약점과 관련된 개체가 존재하는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하고, 상기 분석 대상 파일을 바이너리로 읽어 들이며, 상기 바이너리 상에 상기 취약점과 관련된 쉘코드가 존재하는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하고,
    상기 분석 대상 파일의 정보 엔트로피가 기준값을 초과하는 것에 근거하여, 상기 필터 항목이 존재한다고 판단하는, 서버.

KR1020240036662A 2024-03-15 2024-03-15 복합 이진 형식 문서 또는 Office Open XML 형식 문서의 내부 특징 정보를 검사하여 보안 솔루션에서 추가 분석대상을 빠르게 분류하기 위한 방법 Active KR102699552B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020240036662A KR102699552B1 (ko) 2024-03-15 2024-03-15 복합 이진 형식 문서 또는 Office Open XML 형식 문서의 내부 특징 정보를 검사하여 보안 솔루션에서 추가 분석대상을 빠르게 분류하기 위한 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020240036662A KR102699552B1 (ko) 2024-03-15 2024-03-15 복합 이진 형식 문서 또는 Office Open XML 형식 문서의 내부 특징 정보를 검사하여 보안 솔루션에서 추가 분석대상을 빠르게 분류하기 위한 방법

Publications (1)

Publication Number Publication Date
KR102699552B1 true KR102699552B1 (ko) 2024-08-27

Family

ID=92587505

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020240036662A Active KR102699552B1 (ko) 2024-03-15 2024-03-15 복합 이진 형식 문서 또는 Office Open XML 형식 문서의 내부 특징 정보를 검사하여 보안 솔루션에서 추가 분석대상을 빠르게 분류하기 위한 방법

Country Status (1)

Country Link
KR (1) KR102699552B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100031359A1 (en) * 2008-04-14 2010-02-04 Secure Computing Corporation Probabilistic shellcode detection
US10169579B1 (en) * 2012-03-06 2019-01-01 Palo Alto Networks, Inc. Malicious PDF detection
KR102494827B1 (ko) * 2022-09-26 2023-02-06 시큐레터 주식회사 Ocr 기술을 이용하여 비실행 파일의 악성 매크로를 탐지하기 위한 방법 및 이를 위한 장치
KR102548985B1 (ko) * 2022-11-14 2023-06-28 시큐레터 주식회사 악성 문서 파일을 탐지하기 위한 머신러닝 모델링 방법 및 이를 위한 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100031359A1 (en) * 2008-04-14 2010-02-04 Secure Computing Corporation Probabilistic shellcode detection
US10169579B1 (en) * 2012-03-06 2019-01-01 Palo Alto Networks, Inc. Malicious PDF detection
KR102494827B1 (ko) * 2022-09-26 2023-02-06 시큐레터 주식회사 Ocr 기술을 이용하여 비실행 파일의 악성 매크로를 탐지하기 위한 방법 및 이를 위한 장치
KR102548985B1 (ko) * 2022-11-14 2023-06-28 시큐레터 주식회사 악성 문서 파일을 탐지하기 위한 머신러닝 모델링 방법 및 이를 위한 장치

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Chintan Shah, "Static Analysis Methods for Detection of Microsoft Office Exploits"(2019.12.)* *
Jamie, "oleObject1.bin - OLe10nATive - shellcode"(2021.03.)* *

Similar Documents

Publication Publication Date Title
Muralidharan et al. File packing from the malware perspective: Techniques, analysis approaches, and directions for enhancements
US10019573B2 (en) System and method for detecting executable machine instructions in a data stream
Naseem et al. MINOS: A Lightweight Real-Time Cryptojacking Detection System.
Yamaguchi et al. Chucky: Exposing missing checks in source code for vulnerability discovery
Kapravelos et al. Revolver: An automated approach to the detection of evasive web-based malware
Carmony et al. Extract Me If You Can: Abusing PDF Parsers in Malware Detectors.
Corona et al. Lux0r: Detection of malicious pdf-embedded javascript code through discriminant analysis of api references
JP5265061B1 (ja) 悪意のあるファイル検査装置及び方法
US20200012793A1 (en) System and Method for An Automated Analysis of Operating System Samples
US8646076B1 (en) Method and apparatus for detecting malicious shell codes using debugging events
Li et al. FEPDF: a robust feature extractor for malicious PDF detection
KR102698907B1 (ko) 유입된 문서의 내부 정보를 검사하여 보안 솔루션에서 사전 필터링을 하기 위한 방법 및 이를 위한 장치
KR102548985B1 (ko) 악성 문서 파일을 탐지하기 위한 머신러닝 모델링 방법 및 이를 위한 장치
Jang et al. Function‐Oriented Mobile Malware Analysis as First Aid
KR102699552B1 (ko) 복합 이진 형식 문서 또는 Office Open XML 형식 문서의 내부 특징 정보를 검사하여 보안 솔루션에서 추가 분석대상을 빠르게 분류하기 위한 방법
Falah et al. Towards enhanced PDF maldocs detection with feature engineering: design challenges
KR102698908B1 (ko) 유입된 문서 내부 정보를 검사하여 보안솔루션에서 빠르게 탐지할 수 있는 방법
US20220237289A1 (en) Automated malware classification with human-readable explanations
KR20230072750A (ko) 웹 위협 사이트 및 파일 위변조 방지 장치 및 방법
Gundoor Identification Of Dominant Features in Non-Portable Executable Malicious File
KR102468431B1 (ko) Ms-ooxml에서 ole object 무해화를 위한 방법 및 장치
EP4332805A1 (en) Emulation-based malware detection
KR102864815B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 컴퓨터 판독 가능한 저장매체
KR102548984B1 (ko) 인공지능 모델을 이용하여 악성 문서 파일을 탐지하기 위한 방법 및 이를 위한 장치
KR102864817B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 컴퓨터로 판독 가능한 저장매체

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20240315

PA0201 Request for examination

Patent event code: PA02011R01I

Patent event date: 20240315

Comment text: Patent Application

PA0302 Request for accelerated examination

Patent event date: 20240315

Patent event code: PA03022R01D

Comment text: Request for Accelerated Examination

Patent event date: 20240315

Patent event code: PA03021R01I

Comment text: Patent Application

PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20240428

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20240820

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20240822

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20240822

End annual number: 3

Start annual number: 1

PG1601 Publication of registration