KR20090084530A - 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치 - Google Patents

스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치 Download PDF

Info

Publication number
KR20090084530A
KR20090084530A KR1020080010767A KR20080010767A KR20090084530A KR 20090084530 A KR20090084530 A KR 20090084530A KR 1020080010767 A KR1020080010767 A KR 1020080010767A KR 20080010767 A KR20080010767 A KR 20080010767A KR 20090084530 A KR20090084530 A KR 20090084530A
Authority
KR
South Korea
Prior art keywords
code
blocking
attack
hooking
database
Prior art date
Application number
KR1020080010767A
Other languages
English (en)
Other versions
KR100985071B1 (ko
Inventor
김민성
박준용
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020080010767A priority Critical patent/KR100985071B1/ko
Publication of KR20090084530A publication Critical patent/KR20090084530A/ko
Application granted granted Critical
Publication of KR100985071B1 publication Critical patent/KR100985071B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2139Recurrent verification

Abstract

본 발명은 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지, 차단 방법 및 그 장치에 관한 것이다.
본 발명의 일 실시예에 따른 취약점 공격 코드의 실시간 탐지 및 차단 방법은 악성 코드의 시그니처 정보가 저장되어 있는 시그니처 데이터베이스 및 시스템 보호 관련 정책이 저장되어 있는 정책 데이터베이스를 메모리에 로드하는 단계, 스크립트 코드와 보호 대상 객체 사이의 단계에 위치하며, 스크립트 코드 및 보호 대상 객체가 함께 사용하는 운영체제의 공유 라이브러리를 후킹하는 단계, 후킹 단계를 통해 후킹된 공유 라이브러리의 인터페이스를 시그니처 데이터베이스 및 정책 데이터베이스에 기초하여 검사하는 단계, 스크립트 코드가 악성 코드인지 여부를 검사 결과에 기초하여 판단하는 단계를 포함한다.
본 발명에 따르면, 취약점 공격 코드가 생성되고 실행되는 과정에서 동적으로 이를 탐지하여 암호화 등의 회피 방법을 사용하는 공격 코드도 실시간으로 탐지하고 이를 차단할 수 있는 효과가 있다.
스크립트, 악성 코드, 취약점 공격 코드, 실시간 탐지

Description

스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지 및 차단 방법, 및 그 장치{Method and Apparatus for detection and prevention malicious code using script languages for computer system}
본 발명은 컴퓨터 시스템에서 스크립트 언어를 사용한 취약점 공격 코드를 실시간으로 탐지하고 차단하는 방법 및 그 장치에 관한 것으로서, 더욱 상세하게는, 스크립트 언어를 사용한 취약점 공격 코드의 실행을 공유 라이브러리 후킹을 통해 동적으로 탐지하고 차단하는 방법 및 장치에 관한 것이다.
통상적으로 취약점 공격 코드는 특정 어플리케이션 시스템의 보안 취약점을 이용하여 시스템에 비정상적인 동작을 일으키거나, 시스템의 권한을 획득하여 웜이나 바이러스 같은 형태의 악성 코드를 사용자 시스템에서 실행하거나, 또는 개인 정보를 몰래 얻어내는 등의 방식으로 사용자를 공격하는 코드를 의미한다. 또한, 권한을 얻어낸 사용자의 시스템을 이용하여 제3의 시스템을 공격하는 형태로 동작하기도 한다.
이러한 공격 코드의 대부분은, 컴파일러에 의해 동작되는 것이 아닌 해석기를 통해 읽혀지며 다양한 환경에서 실행 가능하고 제작이 쉬운 특징을 지니고 있는 스크립트 언어(scripting language)를 사용하여 제작된다. 특히, 취약점 공격 코드는 불특정 다수의 인터넷 사용자를 공격하기 위하여 인터넷으로 연결된 대부분의 컴퓨터 시스템에서 적용이 가능한 자바 스크립트(Java Script)나 비주얼 베이직 스크립트(Visual Basic Script)로써 작성되어 웹 페이지에 삽입되고 있다. 사용자가 특정 웹 페이지에 접속하게 되면 스크립트 언어로 제작된 취약점 공격 코드가 사용자의 컴퓨터 시스템에 설치되고 실행됨에 따라 취약점 공격 코드가 동작하게 되고 악성 코드가 다운로드 되는 등의 동작이 일어나게 된다.
COM(Component Object Model) 객체는 운영체제의 종류와 관계없이 언어 중립적인 방식으로 수행 가능하며, 여기에는 일정한 규약이 따른다. 이는 외부 프로그램이 해당 객체를 사용할 수 있기 위한 규약으로서 객체의 식별자(예컨대, 클래스 아이디, UUID 등), 파일 위치, 객체가 제공하는 속성(attribute), 인터페이스 함수의 목록, 속성 개수, 및 데이터 형식 등을 형식 라이브러리의 형태로 운영체제에 등록한다. 통상적으로, 외부 프로그램은 형식 라이브러리에 열거되어 있는 속성을 변경하거나 인터페이스 함수를 호출하는 방법으로 해당 객체를 사용한다. 또한, 일반적으로 COM 객체라는 표현은 OLE, OLE Automation, ActiveX, DCOM, COM+, XPCOM 기술 등을 모두 포함하는 상위적인 개념으로 사용된다.
예를 들면, 취약점 공격 코드는 사용자의 컴퓨터에 설치되어 있는 키보드 입력 이벤트 관련 COM 객체의 속성이나 인터페이스 함수를 사용하여 특정 웹 사이트에 대한 비밀번호를 얻어낼 수도 있고, 문자열 입력에 대해서 보안이 취약한 특정 객체의 파라미터에 버퍼 오버플로우 등을 유발하여 비정상적으로 동작하게 할 수도 있다.
이러한 공격 코드에 의한 피해를 방지하기 위한 종래 기술은 악성 코드를 진단하는 것과 같이 공격 코드의 시그니처(signature)를 작성한 후, 시그니처 패턴과 일치하는 공격 코드가 감지되면 해당 스크립트 파일을 삭제하는 방법이었다. 통상적으로, 공격 코드의 시그니처는 그 공격 코드임을 식별할 수 있는 지표가 되는 것으로서, 공격 코드의 동작 과정에서 공격 코드가 사용하려고 하는 객체, 예컨대 COM 객체의 인터페이스에 적용하려는 파라미터 값 등에 기초하여 작성된다. 따라서, 공격 코드가 포함된 스크립트 등에서 시그니처가 발견될 경우 해당 스크립트를 삭제하는 것과 같은 방식으로 공격 코드에 의한 피해를 방지한다.
그러나, 이러한 종래의 공격 코드 방지 기술은 새롭게 나올 수많은 공격 코드의 시그니처를 일일이 작성해야 하고, 공격 코드가 암호화되거나 조작되는 경우에는 기존에 작성된 시그니처로는 이를 검색할 수 없는 문제점이 있다. 예컨대, 공격 대상이 되는 객체의 인터페이스 함수의 파라미터를 이용한 공격의 경우 파라미터를 암호화 시키거나 문자열을 조작하는 방법을 사용하여 인터페이스를 호출할 경우, 기존에 작성된 시그니처 정보를 통해서 공격 코드를 파악하기 어려운 문제점이 존재한다.
도 1은 종래의 공격 코드 탐지 기술을 회피하기 위하여 문자열 조작 방법을 사용하는 공격 코드의 한 예를 나타내고 있다.
기존의 공격 코드에서 인터페이스 함수에 입력하는 파라미터 값이 “This is a very bad parameter”라고 할 경우, 시그니처를 이러한 문자열을 검색하도록 작 성될 수 있다. 그러나 이를 회피하기 위해 공격 코드는 “This is a very”,“bad parameter”와 같이 입력 값을 두 개로 분리한 후, 이를 별도의 문자열 변수에 각각 저장한 뒤에 이 문자열 변수를 연결 연산자를 통해 연결하여 공격 대상 객체의 인터페이스를 호출할 수도 있다. 이러한 경우에는 기존에 작성된 시그니처로는 공격 코드의 탐지가 되지 않을 뿐만 아니라, 이러한 방법 외에도 문자열을 조작하는 방법은 무수하게 존재할 수 있기 때문에 이에 대응하는 시그니처를 일일이 작성하는 것은 매우 어려운 일이라 할 수 있다.
이와 같이, 시그니처 비교하여 공격코드를 탐지하는 종래의 방법은 암호화 내지 문자열 조작 등을 사용하여 시그니처를 조작하는 공격 코드를 탐지하는 데 한계가 있을 뿐만 아니라, 암호화되거나 문자열이 조작된 모든 경우를 시그니처 목록에 포함시켜야 한다는 문제점이 있었다.
본 발명은 상기와 같은 문제점을 해결하기 위한 것으로서, 본 발명이 이루고자 하는 기술적 과제는 공유 라이브러리 후킹 기술을 이용하여 사용자의 시스템을 스크립트를 사용한 공격 코드로부터 보호하기 위해 그러한 공격 코드가 실행되는 것을 실시간으로 탐지하고 차단하는 방법 및 장치를 제공하는 것이다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 목적을 달성하기 위하여 본 발명의 실시예에 따른 취약점 공격 코드의 실시간 탐지 및 차단 방법은 악성 코드의 시그니처 정보가 저장되어 있는 시그니처 데이터베이스 및 시스템 보호 관련 정책이 저장되어 있는 정책 데이터베이스를 메모리에 로드하는 단계, 스크립트 코드와 보호 대상 객체 사이의 단계에 위치하며 스크립트 코드 및 보호 대상 객체가 함께 사용하는 운영체제의 공유 라이브러리를 후킹하는 단계, 후킹 단계를 통해 후킹된 공유 라이브러리의 인터페이스를 시그니처 데이터베이스 및 정책 데이터베이스에 기초하여 검사하는 단계, 스크립트 코드가 악성 코드인지 여부를 검사 결과에 기초하여 판단하는 단계를 포함한다.
바람직하게는 보호 대상 객체는 COM(Component Object Model) 객체를 포함한다.
바람직하게는 정책 데이터베이스는 각 객체별로 설정된 보호 정책을 포함한다.
바람직하게는 판단 결과 악성 코드라고 판단될 경우 객체의 실행을 차단하는 단계를 더 포함한다.
바람직하게는 판단 결과 정상 스크립트 코드라고 판단될 경우 정책 데이터베이스를 기반으로 객체가 차단 객체인지 여부를 검사하는 단계 및 검사 결과 차단 객체이면 객체의 실행을 차단하는 단계를 더 포함한다.
본 발명의 또 다른 일 실시예에 따른 취약점 공격 코드의 실시간 탐지 및 방지 방법은 시스템 보호 관련 정책이 저장되어 있는 정책 데이터베이스를 메모리에 로드하는 단계, 스크립트 코드와 보호 대상 객체 사이의 통신을 담당하며 스크립트 코드 및 보호 대상 객체가 함께 사용하는 운영체제의 공유 라이브러리를 후킹하는 단계, 후킹 단계를 통해 후킹된 공유 라이브러리의 인터페이스를 정책 데이터베이스에 기초하여 검사하여 보호 대상 객체가 차단 객체로 설정되어 있는지 여부를 판단하는 단계, 및 판단 결과 차단 객체인 경우 객체의 실행을 차단하는 단계를 포함한다.
상기 목적을 달성하기 위하여 본 발명의 실시예에 따른 취약점 공격 코드의 실시간 탐지 및 방지 장치는 악성 코드의 시그니처 정보가 저장되어 있는 시그니처 데이터베이스, 시스템 보호 관련 정책이 저장되어 있는 정책 데이터베이스, 공유 라이브러리를 후킹하는 후킹 엔진, 시그니처 데이터베이스 및 정책 데이터베이스를 기반으로 하여 공격 코드의 존재 여부를 판단하는 결정 엔진을 포함한다.
바람직하게는 본 발명에 따른 방법을 실행하기 위한 컴퓨터로 읽을 수 있는 프로그램을 기록한 기록매체를 포함한다.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
상술한 바와 같은 본 발명의 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지, 차단 방법 및 그 장치 방법에 따르면 다음과 같은 효과가 있다.
본 발명에 따르면, 취약점 공격 코드가 생성되고 실행되는 과정에서 동적으로 이를 탐지하기 때문에, 암호화 등의 회피 방법을 사용하는 공격 코드도 실시간으로 탐지하고 차단할 수 있는 장점이 있다.
또한, 공격 코드의 진단에 실패하는 경우에도 정책에 따라 보호하고자 하는 객체의 실행을 차단함으로써 사용자의 시스템을 보호할 수 있는 장점이 있다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하 나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이하에서는 먼저, 본 발명에 따른 공격 코드의 실시간 탐지 및 차단 방법을 설명하기 위해 컴퓨터 시스템에서 통상적인 COM 객체의 실행 구조 및 스크립트 언어를 사용한 통상적인 공격 코드의 흐름도를 살펴본다.
도 2는 컴퓨터 시스템에서 스크립트 코드가 COM 객체를 실행하는 단계를 도시한 구조를 나타내는 도면이다.
어떤 스크립트 코드(210)가 컴퓨터 시스템(200) 상의 특정 객체(230)에 접근하여 이에 대한 사용 권한을 얻고자 하는 경우, 스크립트 코드(210)가 직접 특정 객체(230)의 바이너리에 접근하여 이에 대한 권한을 획득하는 것이 아니라, 운영 체제의 공유 라이브러리(220)를 통해 접근하여 권한을 획득하게 된다. 공유 라이브러리(220)는 예컨대 마이크로소프트 사의 윈도우 운영체제의 경우 mshtml.dll, oleaut32.dll등이 있다. 예를 들어, 스크립트 코드(210)가 COM 객체(230)에 접근하고자 할 경우, 공유 라이브러리(220)에 COM 객체(230)의 식별자(예컨대, 클래스 아이디) 등의 정보를 제공하면서 객체의 생성을 요청하게 되고 공유 라이브러리(220)가 이 정보를 통해 해당하는 COM 객체를 제공한다. 이와 같은 과정은 컴퓨 터 내에서 정상적인 동작을 수행하기 위하여 일반적인 스크립트 언어로 작성된 코드 뿐만 아니라 취약점을 공격하려는 코드 역시 동일하게 거치는 과정이다. 한편, 공유 라이브러리를 통하여 접근할 수 있는 객체는 COM 객체에 한정되는 것은 아니며 ActiveX, COM+, DCOM, XPCOM 등 본 발명의 기술 분야에서 통상적으로 사용되는 모든 객체를 포함할 수 있다.
도 3은 스크립트 언어를 사용한 공격 코드의 전형적인 흐름을 나타낸 흐름도이다.
통상적으로 스크립트 언어를 사용한 공격 코드가 객체에 대한 사용 권한을 획득하는 과정(S300)은 전술한 도 2의 과정과 동일한 바 이에 대한 설명은 생략한다. 상술한 바와 같이 공격 코드가 공격하고자 하는 객체를 생성하거나 객체에 대한 접근권을 획득한 후, 객체의 속성(attribute) 데이터 값을 변경하거나 인터페이스 함수의 파라미터에 컴퓨터 시스템을 비정상적으로 동작시킬 수 있는 값을 입력하여 인터페이스 함수를 호출한다.(S320) 보다 구체적으로 설명하면, 통상, 객체가 외부와 연결되고 동작하기 위한 수단으로 속성과 인터페이스 함수를 갖는다. 속성이란 객체의 특징을 나타낼 수 있는 변수를 의미하며, 인터페이스 함수는 객체의 특정 동작을 수행할 수 있도록 하는 함수를 의미한다. 따라서, 객체의 속성 값을 조작한다면 해당 객체의 특성이 변경되어서 정상적인 동작 수행에 장애가 발생할 수 있다. 또한, 인터페이스 함수의 파라미터(인자) 값은 함수의 동작 시에 필요한 값으로, 예컨대 객체의 동작을 일정시간 정지시키는 함수가 있다면, 정지 시간이 인자 값의 하나가 될 수 있다. 파라미터는 문자열이 될 수도 있으며, 그 입 력 값에 따라 컴퓨터 시스템을 비정상적으로 동작시킬 수도 있다. 예컨대, 인터페이스 함수에 사전 결정되어 있는 입력 문자열의 크기보다 큰 문자열 값을 넣을 경우 버퍼 오버플로우가 발생하여 객체 및 컴퓨터 시스템이 오동작할 수 있다. 다음으로, 공격 코드가 객체를 호출하게 되면 객체의 코드가 동작되기에 앞서 운영체제의 공유 라이브러리 코드가 실행되게 된다.(S330) 이후 공유 라이브러리 코드 단에서는 공격 코드로부터 입력받은 정보, 예컨대 생성 또는 실행하고자 하는 객체의 식별자(예컨대, 클래스 아이디), 인터페이스 함수 및 파라미터 값 등의 정보를 통해 객체를 재호출(S340)한다. 즉, 공격 코드를 포함한 통상적인 스크립트 코드와 객체는 공유 라이브러리 코드를 통해 통신하게 된다. 공격 코드는 그 종류에 따라 객체의 파라미터에 전술한 바와 같이 문자열 조작된 값이나 암호화된 값을 입력(S310)하여 공격 코드를 탐지하고자 하는 시도를 우회할 수도 있다.
보다 구체적으로 살펴보면, 공격 코드가 인터페이스 함수를 호출할 시에는 반드시 운영 체제의 공유 라이브러리를 통하게 되고, 따라서 공유 라이브러리에 전달되는 객체의 속성 값 또는 파라미터 값을 알아 내면 객체에 전달되는 속성 값 또는 파라미터 값을 파악할 수 있다. 또한, 공격 코드가 스크립트 코드 상에서 암호화된 값이나 조작된 문자열을 사용하여 미리 작성된 시그니처를 통하여 공격 코드를 탐지하는 방법을 회피하고자 하는 경우에도, 최종적으로 객체에 전달되어야 하는 값은 복호화되거나 정상적으로 조합된 문자열이어야 하기 때문에 공유 라이브러리로 전달되는 값 역시 복원된 값이 된다. 즉, 공격 코드가 실행되어 공유 라이브러리를 호출하게 된 시점에서 공유 라이브러리의 각종 파라미터 값들을 조사하면 암호화 여부와 관계없이 공격 코드의 시그니처를 파악할 수 있다.
이하에서는 본원 발명의 실시예들에 따른 방법들의 흐름도를 참조하여 설명하며, 전술한 바와 같이 흐름도의 각 단계 순서는 절대적인 것은 아니며, 본 발명의 사상을 벗어나지 않는 범위 내에서 역순으로 수행되거나 또는 생략될 수도 있다.
도 4는 본원 발명의 일 실시예에 따른 취약점 공격 코드의 실시간 탐지 및 방지 방법의 흐름도를 나타낸 도면이다.
스크립트 코드에 의해 공유 라이브러리로 전달되는 인자 값 등을 검사하고, 검사 결과에 기초하여 스크립트 코드가 공격 코드라고 판단될 시에 객체의 실행을 차단하기 위해, 공유 라이브러리를 후킹(S400)한다. 후킹이란 통상 다른 프로세스나 쓰레드 등에 전달되는 메시지나 이벤트 등을 가로채는 동작을 의미한다. 또한, 공격 코드들의 시그니처 관련 정보가 저장되어 있는 시그니처 데이터베이스 및 차단할 객체 리스트 등 객체의 보호와 관련된 정책이 저장되어 있는 정책 데이터베이스를 메모리에 로드(S410)한다. 다음으로, 후킹된 공유 라이브러리에 객체로 전달되는 함수가 호출되거나 이벤트가 발생하면 이를 조사(S420)한다. 시그니처 데이터베이스 또는 정책 데이터베이스에 기초하여 취약점 공격 코드라고 판단되는 경우(S430의‘예’), 해당 객체의 인터페이스 실행을 차단(S440)함으로써 공격을 방지한다. 또한, 정책에 따라서 해당 객체의 생성 자체를 차단함으로써 공격을 방지하는 것도 가능하다. 즉, 객체의 생성시부터 소멸시까지 일련의 과정을 동적으로 감시하고 보호한다.
후킹 단계(S400)는 본 발명의 기술 분야에서 통상적으로 사용되는 방법을 통해 수행될 수 있다. 시그니처 데이터베이스에는 공격 코드의 시그니처 정보 등이 저장되어 있으며 공유 라이브러리 후킹을 통해 얻게 되는 정보와의 비교를 통해 공격 코드인지 여부를 판단(S430)할 수 있다. 정책 데이터베이스는 컴퓨터 시스템을 보호하고자 하는 구체적인 방향을 설정하고 있는 정책을 저장하고 있는 데이터 베이스로서, 예를 들어 보호하고자 하는 각각의 객체 별로 보호 정도를 설정할 수도 있고, 취약점이 많거나 빈번하게 공격을 받는 것으로 판단되는 객체의 경우 공격 코드로 판단되는 것과 관계 없이 객체의 생성 또는 실행을 차단할 수도 있다. 따라서, 공격 코드라고 판단하는 단계(S430)에서는 시그니처 데이터베이스 또는 정책 데이터베이스에만 기초하여 판단할 수도 있고, 양자를 동시에 참조하여 객체의 실행 여부를 판단할 수도 있다.
이와 같이 본 발명에 따른 취약점 공격 코드의 탐지 및 차단 방법은 객체가 생성되고 인터페이스 함수가 수행되는 과정을 실행 시에 동적으로 검사하므로 종래의 정적인 방식에 의한 탐지 및 차단 방법에 비해 안정성과 정확성이 향상된다. 또한, 앞서 서술한 바와 같이 객체의 실행 시에는 암호화되거나 조작된 파라미터 값 등도 공유 라이브러리가 객체를 호출하는 시점에는 모두 복원되기 때문에 공격 코드 탐지의 정확성이 향상되는 효과가 있다.
도 5는 본 발명의 다른 실시예에 따른 취약점 공격 코드의 실시간 탐지 및 차단 방법을 나타낸 도면이다.
공유 라이브러리 후킹 단계(S500), 시그니처 및 정책 데이터베이스 로딩 단 계(S510) 및 인터페이스 함수 조사 단계(S520)는 도 4의 과정과 동일한 과정이므로, 자세한 설명은 생략한다. 정책 데이터베이스에 기반하여 차단객체라고 판단될 경우(S530의 ‘예’) 인터페이스 실행을 차단(S540)한다.
즉, 스크립트 코드가 정상이라고 판단되는 경우라도, 공격이 빈번한 객체이거나 취약성이 높은 객체(S530의 ‘예’)라면, 이와 같은 객체의 인터페이스 함수의 실행을 공격 코드 여부에 관계없이 차단하게끔 정책을 설정함으로써 실행을 차단한다. 객체 별로 설정된 정책 정도에 따라 위험성이 있는 객체의 실행을 차단하여 시스템을 안전하게 보호할 수 있다. 또한, 공유 라이브러리 후킹을 통해서 객체의 생성 시점부터 객체의 일련의 동작을 후킹할 수 있으므로, 객체 별로 설정된 정책에 따라 객체의 생성 자체를 차단하는 것도 가능하다.
도 6은 본 발명의 또 다른 일 실시예에 따른 취약점 공격 코드의 실시간 탐지 및 차단 방법을 나타낸 도면이다.
공유 라이브러리 후킹 단계(S600), 시그니처 및 정책 데이터베이스 로딩 단계(S610) 및 인터페이스 함수 조사 단계(S620)는 도 4의 과정과 동일한 과정이므로, 자세한 설명은 생략한다. 시그니처 데이터베이스 또는 정책 데이터베이스에 기초하여 취약점 공격 코드라고 판단되는 경우(S630의‘예’), 해당 객체의 인터페이스 생성 또는 실행을 차단(S650)함으로써 공격을 방지한다. 또한, 취약점 공격 코드라고 판단되지 않더라도(S630의‘아니오’) 보안 정책의 레벨에 따라서 실행 시 위험성이 높다고 판단되는 객체인 경우(S640의‘예’) 역시 수행을 차단할 수 있다. 전술한 바와 같이 각 단계의 순서는 절대적인 것은 아니며, 본 발명의 사상 을 벗어나지 않는 범위 내에서 역순으로 수행되거나 또는 생략될 수도 있다.
도 7은 본 발명의 일 실시예에 따른 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지 및 차단 장치의 구성을 나타내는 블록도이다.
본 발명에 따른 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지 및 차단 장치는 시그니처 데이터 베이스부(710), 정책 데이터 베이스부(720), 후킹 엔진부(730) 및 결정 엔진부(740)로 구성된다.
시그니처 데이터 베이스부(710)는 공격 코드가 입력하는 파라미터 값 및 속성 값 등의 인자 값 등으로부터 현재 스크립트 코드가 공격 코드인지 여부를 검사하기 위한 기준으로 사용되는 악성 코드 시그니처가 저장되어 있다. 정책 데이터 베이스부(720)는 예컨대 각 객체들에 대하여 또는 일괄적으로 운영 체제(700)에 대하여 보호 레벨을 정하거나, 객체의 실행 여부를 결정하는 것과 같은 보호 정책을 결정하고 저장하고 있다. 후킹 엔진부(730)는 공유 라이브러리의 코드를 후킹한 후 객체의 생성, 인터페이스 함수의 호출 및 사용 등 일련의 과정을 감시하는데 사용된다. 결정 엔진부(740)는 후킹 엔진부(730)로부터 취득한 결과와 시그니처 데이터 및 정책 데이터를 기준으로 하여 객체의 실행 여부를 결정하는 역할을 수행한다.
상술한 각 구성요소는 소프트웨어(software) 또는, FPGA(field-programmable gate array)나 ASIC(application-specific integrated circuit)과 같은 하드웨어(hardware)를 의미할 수 있다.  그렇지만 상기 구성요소들은 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, 어드레싱(addressing)할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 실행시키도록 구성될 수도 있다.  상기 구성요소들 안에서 제공되는 기능은 더 세분화된 구성요소에 의하여 구현될 수 있으며, 복수의 구성요소들을 합하여 특정한 기능을 수행하는 것으로 구현할 수도 있다.  뿐만 아니라, 상기 구성요소들은 시스템 내의 하나 또는 그 이상의 컴퓨터들을 실행시키도록 구현될 수 있다. 또한, 모든 구성요소가 필수 구성요소이지는 않으며, 본 발명의 기술적 사상을 벗어나지 않는 범위에서 포함되지 않거나 복수로 포함될 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
도 1는 종래의 공격 코드 탐지 기술을 회피하기 위해 문자열 조작 방법을 사용하는 공격 코드의 소스 코드의 일 실시예이다.
도 2는 컴퓨터 시스템에서 스크립트 코드가 COM 객체를 실행하는 단계를 도시한 구조를 나타내는 도면이다.
도 3은 스크립트 언어를 사용한 공격 코드의 전형적인 흐름을 나타낸 흐름도이다.
도 4는 본원 발명의 일 실시예에 따른 취약점 공격 코드의 실시간 탐지 및 방지 방법의 흐름도를 나타낸 도면이다.
도 5는 본 발명의 다른 실시예에 따른 취약점 공격 코드의 실시간 탐지 및 차단 방법을 나타낸 도면이다.
도 6은 본 발명의 또 다른 일 실시예에 따른 취약점 공격 코드의 실시간 탐지 및 차단 방법을 나타낸 도면이다.
도 7은 본 발명의 일 실시예에 따른 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지 및 차단 장치의 구성을 나타내는 블록도이다.

Claims (11)

  1. 악성 코드의 시그니처 정보가 저장되어 있는 시그니처 데이터베이스 및 시스템 보호 관련 정책이 저장되어 있는 정책 데이터베이스를 메모리에 로드하는 단계;
    스크립트 코드와 보호 대상 객체 사이의 단계에 위치하며 스크립트 코드 및 상기 보호 대상 객체가 함께 사용하는 운영체제의 공유 라이브러리를 후킹하는 단계;
    상기 후킹 단계를 통해 후킹된 상기 공유 라이브러리의 인터페이스를 상기 시그니처 데이터베이스 및 상기 정책 데이터베이스에 기초하여 검사하는 단계;
    상기 스크립트 코드가 악성 코드인지 여부를 상기 검사 결과에 기초하여 판단하는 단계를 포함하는
    스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지 및 차단 방법.
  2. 제 1 항에 있어서,
    상기 보호 대상 객체는 COM(Component Object Model) 객체를 포함하는
    방법.
  3. 제 1 항에 있어서
    상기 정책 데이터베이스는 각 객체별로 설정된 보호 정책을 포함하는
    방법.
  4. 제 1 항에 있어서,
    상기 판단 결과 악성 코드라고 판단될 경우 상기 객체의 생성 또는 실행을 차단하는 단계를 더 포함하는
    방법.
  5. 제 1 항에 있어서,
    상기 판단 결과 정상 스크립트 코드라고 판단될 경우 상기 정책 데이터베이스를 기반으로 상기 객체가 차단 객체인지 여부를 검사하는 단계; 및
    상기 검사 결과 차단 객체이면 상기 객체의 생성 또는 실행을 차단하는 단계를 더 포함하는
    방법.
  6. 제 1 항에 있어서,
    상기 검사하는 단계는 상기 보호 대상 객체의 생성 시부터 소멸 시까지 수행 되는
    방법.
  7. 시스템 보호 관련 정책이 저장되어 있는 정책 데이터베이스를 메모리에 로드하는 단계;
    스크립트 코드와 보호 대상 객체 사이의 통신을 담당하며 상기 스크립트 코드 및 상기 보호 대상 객체가 함께 사용하는 운영체제의 공유 라이브러리를 후킹하는 단계;
    상기 후킹 단계를 통해 후킹된 상기 공유 라이브러리의 인터페이스를 상기 정책 데이터베이스에 기초하여 검사하여 상기 보호 대상 객체가 차단 객체로 설정되어 있는지 여부를 판단하는 단계; 및
    상기 판단 결과 차단 객체인 경우 객체의 생성 또는 실행을 차단하는 단계를 포함하는
    스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지 및 차단 방법.
  8. 제 7 항에 있어서,
    상기 보호 대상 객체는 COM 객체를 포함하는
    방법.
  9. 제 1 항에 있어서,
    상기 판단하는 단계는 상기 보호 대상 객체의 생성 시부터 소멸 시까지 수행되는
    방법.
  10. 악성 코드의 시그니처 정보가 저장되어 있는 시그니처 데이터베이스;
    시스템 보호 관련 정책이 저장되어 있는 정책 데이터베이스;
    공유 라이브러리를 후킹하는 후킹 엔진;
    상기 시그니처 데이터베이스 및 상기 정책 데이터베이스를 기반으로 하여 공격 코드의 존재 여부를 판단하는 결정 엔진을 포함하는
    스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지 및 차단 장치.
  11. 제 1 항 내지 제 9 항 중 어느 한 항에 의한 방법을 실행하기 위한 컴퓨터로 읽을 수 있는 프로그램을 기록한 기록매체.
KR1020080010767A 2008-02-01 2008-02-01 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치 KR100985071B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080010767A KR100985071B1 (ko) 2008-02-01 2008-02-01 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080010767A KR100985071B1 (ko) 2008-02-01 2008-02-01 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치

Publications (2)

Publication Number Publication Date
KR20090084530A true KR20090084530A (ko) 2009-08-05
KR100985071B1 KR100985071B1 (ko) 2010-10-05

Family

ID=41205069

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080010767A KR100985071B1 (ko) 2008-02-01 2008-02-01 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치

Country Status (1)

Country Link
KR (1) KR100985071B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101628101B1 (ko) * 2014-12-31 2016-06-09 주식회사 시큐아이 시그니처 탐지를 위한 침입 차단 시스템 장비
KR20180004462A (ko) * 2016-07-04 2018-01-12 순천향대학교 산학협력단 키 백업을 사용한 랜섬웨어 방지 시스템 및 방법
KR102067733B1 (ko) * 2019-05-15 2020-01-17 세종대학교산학협력단 포맷 스트링 취약점 검출 방법 및 이를 수행하기 위한 장치

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101181843B1 (ko) 2010-12-21 2012-09-11 한국인터넷진흥원 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100518584B1 (ko) * 2003-07-12 2005-10-04 삼성전자주식회사 공유 라이브러리 시스템 및 상기 시스템 구축 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101628101B1 (ko) * 2014-12-31 2016-06-09 주식회사 시큐아이 시그니처 탐지를 위한 침입 차단 시스템 장비
KR20180004462A (ko) * 2016-07-04 2018-01-12 순천향대학교 산학협력단 키 백업을 사용한 랜섬웨어 방지 시스템 및 방법
KR102067733B1 (ko) * 2019-05-15 2020-01-17 세종대학교산학협력단 포맷 스트링 취약점 검출 방법 및 이를 수행하기 위한 장치

Also Published As

Publication number Publication date
KR100985071B1 (ko) 2010-10-05

Similar Documents

Publication Publication Date Title
EP3039608B1 (en) Hardware and software execution profiling
KR102307534B1 (ko) 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들
KR101265173B1 (ko) 비실행 파일 검사 장치 및 방법
US9424426B2 (en) Detection of malicious code insertion in trusted environments
Wysopal et al. Static detection of application backdoors: Detecting both malicious software behavior and malicious indicators from the static analysis of executable code
US20180075233A1 (en) Systems and methods for agent-based detection of hacking attempts
US9600665B2 (en) Monitoring device and monitoring method
JP2012501028A (ja) コード解析の発見的方法
US9104860B2 (en) Systems, methods and media for managing process image hijacks
JP6000465B2 (ja) プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法
CN113632432B (zh) 一种攻击行为的判定方法、装置及计算机存储介质
JP2013168141A (ja) マルウェアの検出方法
CN110717181B (zh) 基于新型程序依赖图的非控制数据攻击检测方法及装置
Verma et al. A literature review on malware and its analysis
KR100985071B1 (ko) 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치
KR100745640B1 (ko) 커널 메모리를 보호하는 방법 및 그 장치
KR100666562B1 (ko) 커널 드라이버 및 프로세스 보호 방법
EP4016343A1 (en) Processor arrangement for monitoring control-flow integrity
US10402564B2 (en) Fine-grained analysis and prevention of invalid privilege transitions
JP5177206B2 (ja) ソフトウェアの改竄検出装置及び改竄検出方法
Albabtain et al. The process of reverse engineering GPU malware and provide protection to GPUs
US20190294795A1 (en) Threat Detection System
Kirmani et al. Analyzing detection avoidance of malware by process hiding
Kim et al. Detection and Blocking Method against DLL Injection Attack Using PEB-LDR of ICS EWS in Smart IoT Environments
US20210157925A1 (en) Selective runtime activation of anti-rop defense

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130930

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140929

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150929

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170928

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180928

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190930

Year of fee payment: 10