KR20120070025A - Web / email for distributing malicious code through the automatic control system and how to manage them - Google Patents
Web / email for distributing malicious code through the automatic control system and how to manage them Download PDFInfo
- Publication number
- KR20120070025A KR20120070025A KR1020100131412A KR20100131412A KR20120070025A KR 20120070025 A KR20120070025 A KR 20120070025A KR 1020100131412 A KR1020100131412 A KR 1020100131412A KR 20100131412 A KR20100131412 A KR 20100131412A KR 20120070025 A KR20120070025 A KR 20120070025A
- Authority
- KR
- South Korea
- Prior art keywords
- malicious code
- automatic
- management
- url
- malware
- Prior art date
Links
- 208000015181 infectious disease Diseases 0.000 claims abstract description 24
- 238000000034 method Methods 0.000 claims abstract description 12
- 238000007726 management method Methods 0.000 claims description 95
- 238000004458 analytical method Methods 0.000 claims description 76
- 238000001514 detection method Methods 0.000 claims description 39
- 230000004044 response Effects 0.000 claims description 17
- 238000013515 script Methods 0.000 claims description 10
- 230000003068 static effect Effects 0.000 claims description 10
- 230000009193 crawling Effects 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 5
- 238000011084 recovery Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000002498 deadly effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G06Q50/60—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
Description
본 발명은 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법은 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템을 포함하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법에 관한 것이다.The present invention is automatically distributed through a web / email management system and its management method is transmitted through the malicious code infection path collected from the automatic PC analysis system infected with, and detected through interaction with the malicious code via / spread detection system Via a web / email including an automatic malicious code collection system including a management module for receiving and storing the pass-through / distribution list and unanalyzed lists, and a collection module for collecting generated files and file information transmitted from the management module. The present invention relates to an automated malicious code management system and a management method thereof.
최근 악성코드로 인한 사이버 공격 대응 시간 단축이 되면서 사전 예방기술 확보가 필요하게 되었다. DDoS 공격, 개인정보 탈취 등 대부분의 사이버 공격에 악용되는 다양한 악성코드가 급증하고 있으며, 빈번히 발생하는 협박형 DDoS 공격 및 침해사고에서 볼 수 있듯이 그로 인한 피해가 점차 커지고 있는 상황인 것을 알 수가 있다. Recently, as cyber attack response time is shortened due to malware, it is necessary to secure proactive technologies. Various malwares used in most cyber attacks, such as DDoS attacks and personal information takeovers, are rapidly increasing. As can be seen from the frequently intimidating DDoS attacks and infringement incidents, the damages are gradually increasing.
따라서, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하는 기술을 통해 사이버 공격을 사전에 예방할 수 있는 시스템 구축이 필요한 문제점이 있다.
Therefore, there is a problem in that it is necessary to construct a system that can prevent cyber attacks in advance through a technology of early collecting malicious codes that may pose a deadly threat and generating / distributing corresponding signatures from the analyzed results.
따라서, 본 발명은 종래 기술에 제기된 문제점을 해결하기 위한 것으로, 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법을 제공하는데 그 목적이 있다.
Accordingly, the present invention is to solve the problems posed in the prior art, and receives the path of malware infection collected from the automatic PC analysis system infected with, via the distribution / distribution site detection system via the malicious code via / distribution site detected It includes a malicious code automatic collection system having a management module for receiving and storing a list and unanalyzed lists and a collection module for collecting generated files and file information transmitted from the management module, thereby causing a malicious threat. The purpose is to provide an automatic malware management system and its management method, which are distributed through web / email that can prevent cyber attacks by proactively collecting codes and generating / distributing corresponding signatures from the analyzed results.
상기의 목적을 달성하기 위한 본 발명은 악성코드 자동 관리 시스템에 있어서, 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 감염 PC 자동 분석 시스템; 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 악성코드 경유/유포지 탐지 시스템; 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템; 및 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 악성코드 자동 분석 시스템;을 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템을 제공한다.In order to achieve the above object, the present invention provides an automatic malicious code management system, which is installed on a malicious code PC and automatically detects infected malicious code and a malicious code infection path distributed through a web / email. ; A malware via / distribution detection system that detects via / distribution using a malware via / distribution detection signature; The management module and the management for receiving and storing the malicious code infection path collected from the automatic PC analysis system for infection, and receiving and storing the detected gasoline / distribution list and the unanalyzed list in cooperation with the malicious code via / distribution detection system. Automatic malware collection system having a collection module for collecting the generated file and file information transmitted from the module; And a malicious code automatic analysis system which periodically receives and manages the collected malicious code information by interworking with the automatic malicious code collection system, and performs static or dynamic analysis. Provides automatic malware management system.
또한, 상기 관리모듈은, 악성코드 자동 수집을 위해 EML 로그를 분석하고, 검색엔진을 연동하고, URL 블랙 리스트를 수집하는 Seed URL 수집부; 상기 URL 중복과 통계를 관리하는 URL 큐관리부; HTTP Request 생성 및 Response 다운로드, HTML Document 추출 및 분석, 스크립트 난독화를 검사하는 웹 컨텐츠 크롤링부; 및상기 웹 컨텐츠 크롤링부로부터 의심 URL 분석 결과를 저장하고 조회하는 제 1 DB 관리부;를 포함할 수 있다.In addition, the management module, Seed URL collection unit for analyzing the EML log for automatic collection of malicious code, linking the search engine, and collects the URL black list; A URL queue manager for managing the URL duplication and statistics; A web content crawler that checks HTTP request generation and response download, HTML document extraction and analysis, and script obfuscation; And a first DB manager configured to store and query a suspicious URL analysis result from the web content crawler.
또한, 상기 관리모듈은, 관리 UI으로부터 가상 머신 복구 요청을 받아 게스트 OS Rever로 복구하는 가상 머신 제어부; 관리 UI으로부터 F/W 정책 조회, 변경 제어를 관리하는 F/W 관리부; 및 정책관리 UI를 통해 상기 Seed URL 수집부, URL 큐관리부, 웹 컨텐츠 크롤링부의 설정을 조회하고 변경하는 설정관리부;를 포함할 수 있다.In addition, the management module, the virtual machine control unit for receiving a virtual machine recovery request from the management UI to restore to the guest OS Rever; An F / W management unit that manages F / W policy inquiry and change control from the management UI; And a setting management unit for querying and changing the settings of the Seed URL collecting unit, the URL queue managing unit, and the web content crawling unit through a policy management UI.
또한, 상기 수집모듈은, 상기 관리모듈로부터 의심 URL 정보를 주기적으로 HTTP로 전송받는 통신관리부; Secure FS 파일을 추가, 삭제, 복사, 조회하는 Secure FS 관리부; 상기 Secure FS 관리부의 초기화, URL 로딩 실행, 정보를 공유하는 URL 로딩 실행부; 상기 URL 로딩 실행부로부터 분석된 결과를 저장, 조회하는 제 2 DB 관리부; 상기 URL 로딩 실행부로부터 출력된 스크립트 함수 및 COM Object를 후킹하는 후킹 DLL부; 상기 후킹 DLL부로부터 후킹된 데이터를 수신받아 페이지 리다이렉션 및 악성 Active X를 분석하는 결과 분석부; 및 IRP 후커를 통해 IRP MSG 수신받아 분석하고, PID를 관리하는 IRP MSG 후커부;를 포함할 수 있다.In addition, the collection module, the communication management unit for receiving the suspicious URL information from the management module periodically by HTTP; A Secure FS management unit that adds, deletes, copies, and searches Secure FS files; An initialization of the Secure FS management unit, an URL loading execution unit, and a URL loading execution unit sharing information; A second DB manager which stores and retrieves the result analyzed by the URL loading execution unit; A hooking DLL unit hooking a script function and a COM object output from the URL loading execution unit; A result analysis unit which receives the hooked data from the hooking DLL unit and analyzes page redirection and malicious Active X; And an IRP MSG hooker unit for receiving and analyzing the IRP MSG through the IRP hooker and managing the PID.
상기의 목적을 달성하기 위한 본 발명은 악성코드 자동 관리방법에 있어서,감염 PC 자동 분석 시스템이 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 단계; 악성코드 경유/유포지 탐지 시스템이 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 단계; 관리모듈 및 수집모듈을 구비한 악성코드 자동 수집 시스템이 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계; 및 악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계;를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법을 제공한다.In order to achieve the above object, the present invention provides a method for automatically managing malicious code, wherein an automatic PC analysis system for infection is installed on a malicious code PC to detect infected malware information and a malicious code infection path distributed through a web / email. Making; Detecting, via the malicious code via / distribution detection system, using the malware via / distribution detection signature; The automatic malicious code collection system having a management module and a collection module receives the malicious code infection path collected from the automatic PC analysis system, and the diesel / distribution list detected through interworking with the malicious code via / distribution detection system; Receiving unanalyzed lists; And receiving the malicious code information collected and managed by interworking with the automatic malicious code automatic collection system, and performing static or dynamic analysis; and through the web / email. Provides automatic management method of spreading malicious codes.
또한, 악성코드 자동 수집 시스템이 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계는, (a)상기 악성코드 경유/유포지 탐지 시스템이 상기 악성코드 자동 수집 시스템에 악성 웹사이트 방문을 요청하는 단계; (b) 상기 악성코드 수집 시스템은 해당 URL 조회하고 그 결과를 반환하여 상기 악성코드 경유/유포지 탐지 시스템에 방문 요청을 응답하는 단계; (c) 상기 악성코드 자동 수집 시스템의 관리모듈은 상기 수집모듈에 방문처리 결과를 전송하는 단계; 및 (d) 상기 악성코드 경유/유포지 탐지 시스템은 상기 악성코드 자동 수집 시스템에 방문결과를 요청하는 단계;로 이루어질 수 있다.In addition, the automatic malicious code collection system is connected to the route via the malicious code / distribution site detection system and receiving the detected route / distribution list and un-analyzed list, (a) the malicious code via / distribution site detection system is the malicious Requesting a malicious website visit to the automatic code collection system; (b) the malicious code collection system querying the corresponding URL and returning the result to respond to the visit request to the malicious code route / distribution detection system; (c) transmitting, by the management module of the automatic malicious code collection system, a visit processing result to the collection module; And (d) requesting a visit result to the malicious code automatic collection system through the malicious code route / distribution detection system.
또한, 악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계는, (a) 상기 악성코드 자동 분석 시스템은 의심 URL 분석하는 단계; (b) 의심 URL 분석 결과를 DB에 저장하는 단계; (c) 생성파일이 존재하는지 여부를 판단하는 단계; (d) 생성파일 존재시 생성 파일 및 파일 정보를 저장하는 단계; (e) 생성 파일 정보를 XML 파일로 작성하는 단계; 및 (f) XML 파일로 작성된 수집 파일을 상기 분석하는 단계;로 이루어질 수 있다.
In addition, the automatic malicious code analysis system is interoperated with the automatic malicious code collection system periodically receiving the collected malware information, and performing a static or dynamic analysis, (a) the automatic malware analysis system Analyzing suspicious URLs; (b) storing the suspected URL analysis result in a DB; (c) determining whether a generated file exists; (d) storing the generation file and file information when the generation file exists; (e) creating the generated file information into an XML file; And (f) analyzing the collected file created as an XML file.
이상에서, 본 발명은 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있는 효과가 있다.
In the above, the present invention receives the malicious code infection path collected from the automatic PC analysis system, and receives and manages the stored route / distribution list and the unanalyzed list, which are interlocked with the malware route / distribution detection system. By including a malicious code automatic collection system having a management module and a collection module for collecting the generated files and file information transmitted from the management module, by collecting the malicious code that can pose a critical threat early, from the analysis result It is effective to prevent cyber attacks by creating / distributing response signatures.
도 1은 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템에 대한 구성도이다.
도 2는 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템에 채용되는 관리모듈에 대한 세부 구성도이다.
도 3은 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템에 채용되는 수집모듈에 대한 세부 구성도이다.
도 4는 본 발명의 실시에에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법에 대한 순서도이다.
도 5은 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법에서 악성코드 자동 수집 시스템과 악성코드 경유/유포지 탐지 시스템에 대한 연동 흐름도이다.
도 6는 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법에서 악성코드 자동 분석 시스템에 대한 연동 흐름도이다.1 is a block diagram of a system for automatically managing malware distributed through a web / email according to an embodiment of the present invention.
Figure 2 is a detailed configuration diagram of the management module employed in the automatic management system for malicious code spread through the web / email according to an embodiment of the present invention.
Figure 3 is a detailed configuration diagram of the collection module employed in the automatic management system for malicious code spread through the web / email according to an embodiment of the present invention.
4 is a flowchart illustrating a method for automatically managing malicious code spread through web / e-mail according to an embodiment of the present invention.
5 is an interlocking flow diagram for an automatic system for collecting malicious codes and a system for detecting and passing through malicious codes in a method for automatically managing malicious codes distributed through web / email according to an embodiment of the present invention.
6 is an interlocking flow diagram for an automatic malicious code analysis system in a method for automatically managing malicious codes distributed through a web / email according to an embodiment of the present invention.
본 발명에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법에 대한 기술적 구성을 비롯한 작용효과에 관한 사항은 본 발명의 바람직한 실시예가 도시된 도면을 참조하여 아래의 상세한 설명에 의해서 명확하게 이해될 것이다.Matters related to the effect including the technical configuration of the automatic malicious code management system and its management method distributed through the web / email according to the present invention will be described by the following description with reference to the drawings showing preferred embodiments of the present invention Will be clearly understood.
웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템Automatic malware management system distributed through web / email
도 1 내지 도 3을 참조하여 설명하면, 본 발명은 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템(100)은 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 감염 PC 자동 분석 시스템(110), 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 악성코드 경유/유포지 탐지 시스템(120), 상기 감염 PC 자동 분석 시스템(110)으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈(140) 및 상기 관리모듈(140)로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈(150)을 구비하는 악성코드 자동 수집 시스템(130) 및 상기 악성코드 자동 수집 시스템(130)과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 악성코드 자동 분석 시스템(170)을 포함하여 이루어질 수 있다.Referring to Figures 1 to 3, the present invention, the automatic malicious code management system distributed through the web /
상기 감염 PC 자동 분석 시스템(110)은 악성코드 감염 PC에 설치되어, 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하고, 수집된 악성코드를 악성코드 자동 수집 시스템(130)으로 전송할 수 있다.The infected PC
상기 악성코드 경유/유포지 탐지 시스템(120)은 악성코드 경유/유포지 탐지 시그니처를 이용하여, 경유/유포지를 탐지하는 시스템으로 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 주기적으로 악성코드 자동 수집 시스템(130)으로 전송할 수 있다.The malicious code route /
상기 악성코드 자동 수집 시스템(130)은 상기 감염 PC 자동 분석 시스템(110)으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받을 수 있다.The automatic malicious
그리고 상기 악성코드 자동 수집 시스템(130)은 상기 경유/유포지 리스트 및 미 분석 리스트를 관리 저장하는 관리모듈(140) 및 상기 관리모듈(140)로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈(150)을 구비하고 있다. 또한, 상기 악성코드 자동 수집 시스템(130)은 관리 수집된 정보를 악성코드 DB(160)에 전송한다.In addition, the automatic malicious
상기 관리모듈(140)은 악성코드 자동 수집을 위한 Seed URL 수집, 분석을 통해 의심 URL 선별하고, 웹 컨텐츠 크롤링을 위한 설정, 검사 결과 기준 변경 기능 및 수집 시스템 관리를 위한 UI를 제공하며, 수집 시스템 제어를 위해 VMWare API를 사용한다.The
보다 자세하게 설명하면 도 2에 도시된 바와 같이 관리모듈(140)은 Seed URL 수집부(141), URL 큐관리부(142), 웹 컨텐츠 크롤링부(143), 제 1 DB 관리부(144), 가상 머신 제어부(145), F/W 관리부(146), 설정관리부(147)로 구성될 수 있다.In more detail, as shown in FIG. 2, the
상기 Seed URL 수집부(141)는 악성코드 자동 수집을 위해 EML 로그를 분석하고, 검색엔진을 연동하고, URL 블랙 리스트를 수집할 수 있다. 이때, 상기 Seed URL 수집부는 시작 시점에 설정 파일을 참고하여, EML 로그 저장 경로, 검색 주기, 검색 Keyword, 블랙 리스트 도메인 목록 등과 같은 설정 파일을 읽는다. 또한, 검색 엔진 연동은 키워드 별 검색 엔진 응답 결과 중 중복 URL을 제거하고 URL 큐 관리부(142)에 저장할 수 있다.The Seed
상기 URL 큐관리부(142)는 상기 URL 중복과 통계를 관리할 수 있다. 이때, 상기 URL 큐관리부는 URL 큐는 파일, DB, 메모리 등과 같은 다양한 저장 공간에 구현 가능하며, 구현 및 상세 설계에서 구체화 예정이다. The
그리고 상기 URL 큐관리부(142)는 URL 개채 확인을 통해 Seed URL 수집모듈과 연동되고 수집되어진 URL의 값이 실제 웹 페이지의 URL인지 다운받을 파일의 URL인지 판단하며, 다운 받을 파일인 경우 해당 URL값과 파일을 DB에 저장할 수 있다. 또한, 상기 URL 큐관리부 URL 중복 조회를 통해 URL 개채 확인을 통과한 URL은 설정된 중복 금지 Time 동안 중복이 되는지 체크한 다음 중복이 없는 URL에 대해서만 URL 큐에 저장하고 URL 추출을 통해 상기 웹 컨텐츠 크롤링부(143)로부터 URL 조회 요청을 수신 한뒤, URL 큐에 저장된 URL을 삭제 후 상기 웹 컨텐츠 크롤링부(143)에 전달할 수 있다.The
상기 웹 컨텐츠 크롤링부(143)는 HTTP Request 생성 및 Response 다운로드, HTML Document 추출 및 분석, 스크립트 난독화를 검사할 수 있다. 이때, 상기 웹 컨텐트 크롤링부(143)는 HTTP Request 생성을 통해 URL 큐 관리모듈로부터 전달 받은 URL을 이용하여, HTTP Request 생성하고, HTTP Request의 User-Agent정보는 설정 정보를 이용하며, 생성된 HTTP Request 정보는 HTTP Request 전송 및 Response 수신으로 전달할 수 있다. 그리고 상기 웹 컨텐츠 크롤링부(143)는 HTTP Request 전송 및 Response 수신을 통해 생성된 HTTP Request를 해당 URL로 전송하고, URL로부터 HTTP Response 수신 후 응답 코드 분석하며, 응답코드가 302 (리다이렉트)일 경우, HTTP Request의 Reffer 정보를 설정한 다음 HTTP Request 재송신하고 응답 코드가 200일 경우, HTTP Response를 HTML Document 추출 & 분석으로 전달할 수 있다. 상기 웹 컨텐츠 크롤링부는 HTTP Document 추출 & 분석을 통해 HTTP Response로부터 HTML Document 추출 및 분석하고, HTML Document에 Hidden Iframe이 존재할 경우, 의심 URL로 DB에 저장할 수 있다. 이때, 상기 Hidden IFrame 정의는 <iframe src=http://www.kisa.or.kr width=0 height=0>, </iframe> <iframe src=http://www.kisa.or.kr width=1 height=0></iframe>, <iframe src=http://www.kisa.or.kr width=0% height=1%></iframe>, <iframe src=“http://www.kisa.or.kr” width=150 height=100 style=“display:none;”></iframe>, src 값이 External site일 경우만 Hidden iframe으로 간주, width값과 height값의 곱이 0인 경우 Hidden iframe으로 간주할 수 있다.The web
그리고 상기 웹 컨텐츠 크롤링부(143)는 HTML Document에 JavaScript 태그가 존재할 경우, HTML 문서 전체, 웹 문서안의 JavaScript 전체와 각 JavaScript 블록 별 스크립트 난독화 검사가 이루어지고, 스크립트가 난독화 되어 있을 경우, 의심 URL로 DB에 저장하며,자바스크립트 난독화와 Hidden iframe의 결과는 동일한 레벨에서 점검될 수 있다.In addition, when the JavaScript tag exists in the HTML document, the web
이때, 상기 스크립트 난독화 강도 검사는 자바스크립트, 사용된 문자, 함수와 변수 이름 Entropy를 통해 JavaScript 전체 Entropy, JavaScript Block 평균 Entropy 측정하여 기준 값과 비교하여 악성 난독화 의심 웹사이트 판별하고, 사용된 문자를 기준으로 특수문자, 비특수문자의 각 Entropy를 구하여 측정값 그 차이를 이용하여 악성 난독화 의심 웹사이트 판별하고, 변수와 함수 이름 평균 Entropy를 측정하여 판별하는데 단, 변수와 함수 이름의 크기가 3이상인 경우 점검한다. (사이즈가 1또는 2인 경우 점검 시 무의미한 데이터 과잉 현상이 발생, 예. 분기문, 반복문등에 사용되는 변수 크기는 대부분 2이하의 크기를 보임) 그리고 특정 문자와 특정 함수 발생 빈도를 통해 난독화 해독에 사용되는 특정 함수(Substring, fromCharCode, eval, setTimeout, document.write, document.createElement, replace)의 발생 빈도를 점검하여 악성 난독화 의심 웹사이트 판별하며, 특정 문자를 이용하여 다른 방식으로 표현하는 Encoding Mark의 발생 빈도를 측정하여 높은 수치를 보이는 경우 난독화로 판별하고, % 문자의 사용 빈도를 측정하여 일정 값 이상일 경우 난독화로 판별할 수 있다. 그리고 단일 문자열 최대 길이를 통해 문자 구분자( (,),{,},[,],“,‘ 등)를 중심으로 단일 문자열 길이를 측정하여 문자열의 길이가 200이상일 경우 난독화 되었다고 판단하는데 이때, 단일 문자열 중 HTTP 링크에 포함된 문자열은 단일 문자열에 포함하지 않는다.In this case, the script obfuscation strength test determines JavaScript suspected malicious obfuscation website by measuring JavaScript overall Entropy, JavaScript Block average Entropy through JavaScript, used character, function and variable name Entropy Based on the results, each Entropy of special and non-special characters is obtained, and the suspected malignant obfuscation website is determined by using the difference of the measured values, and the variable and function name average Entropy is measured and determined. Check if 3 or more. (If the size is 1 or 2, there is a meaningless data overflow when checking, e.g. the size of variables used in branches, loops, etc. is mostly less than 2.) Checks the frequency of occurrence of malicious obfuscation websites by checking the frequency of occurrence of specific functions (Substring, fromCharCode, eval, setTimeout, document.write, document.createElement, replace) that are used for encoding. The occurrence frequency of Mark can be determined by obfuscation when showing high value, and the frequency of use of% character can be determined by obfuscation when it is over a certain value. In addition, by measuring the length of a single string around the character delimiter ((,), {,}, [,], ",", etc.) through the maximum length of a single string, it is determined that the string is obfuscated when the length of the string is 200 or more. Of the single strings, the strings included in the HTTP link are not included in the single string.
상기 제 1 DB 관리부(144)는 상기 웹 컨텐츠 크롤링부(143)로부터 의심 URL 분석 결과를 저장하고 조회한다.The
상기 가상 머신 제어부(145)는 관리 UI으로부터 가상 머신 복구 요청을 받아 게스트 OS Rever로 복구할 수 있다. 상기 가상 머신 제어부(145)는 관리 UI로부터 가상 머신 복구 요청을 수신 받아 원격에 존재하는 악성코드 수집 시스템 복구(Revert)하고 원격 가상 머신 제어를 위해 VMWare API 사용하며, 가상머신 복구 요청 수신 시 전달 받은 IP 주소를 이용하여, 원격 제어를 수행할 수 있다.The
상기 F/W 관리부(146)는 관리 UI으로부터 F/W 정책 조회, 변경 제어를 관리할 수 있다. 상기 F/W 관리부(146)는 관리 UI로부터 등록된 수집시스템 정보 수정 요청을 수신하여, 수정 요청에 포함된 수집시스템의 IP주소를 F/W 정책에 반영하고 F/W 설정 파일 변경 후 F/W 제어를 통해 F/W 재시작함으로써, F/W 정책을 수정할 수 있다. 또한, 상기 F/W 관리부(146)는 설치된 F/W에 따라 재시작 기능을 구현함으로써 F/W 제어할 수 있다.The F /
상기 설정 관리부(147)는 정책관리 UI를 통해 상기 Seed URL 수집부(141), URL 큐관리부(142), 웹 컨텐츠 크롤링부(143)의 설정을 조회하고 변경할 수 있다.The
상기 수집모듈(150)은 상기 관리모듈(140)로 의심 URL(분석 대상) 정보를 주기적으로 조회하고, 응답 받은 의심 URL을 웹 브라우저를 이용하여 직접 방문 후 악성코드를 수집하며, 수집된 악성코드는 HTTP를 통해 관리 시스템으로 업로드하고 수집 시스템은 VMWare ESX와 의심 URL 방문을 담당하는 게스트 OS로 구성할 수 있다.The
보다 자세하게 설명하면 도 3에 도시된 바와 같이 상기 수집모듈(150)은 통신관리부(151), Secure FS 관리부(152), URL 로딩 실행부(153), 제 2 DB 관리부(154), 후킹 DLL부(155), 결과 분석부(156), IRP MSG 후커부(157)로 구성될 수 있다.In more detail, as shown in FIG. 3, the
상기 통신관리부(151)는 상기 관리모듈(140)로부터 의심 URL 정보를 주기적으로 HTTP로 전송받는다. The
상기 Secure FS 관리부(152)는 Secure FS 파일을 추가, 삭제, 복사, 조회할 수 있다. 상기 Secure FS 관리부(152)는 상기 URL 로딩 실행부(153)로부터 Secure FS 초기화 요청을 수신하고, 생성된 파일이 존재할 경우 상기 통신 관리부를 통해 관리모듈로 전송하며, URL 로딩 실행부(153)로부터 SecureFS초기화 요청 수신받으며, SecureFS 에 생성된 파일이 존재하는지 체크하고, 생성된 파일이 있을 경우 기존 NTFS로 복사 후 업로드할 수 있다.The
상기 URL 로딩 실행부(153)는 상기 Secure FS 관리부(152)의 초기화, URL 로딩 실행, 정보를 공유할 수 있다. 상기 URL 로딩 실행부(153)는 시작 프로그램으로 등록되어 시스템 부팅 시 자동 실행되며, 초기화를 통해 웹브라우저, SecureFS 관리 실행을 담당하고, 실행 중인 웹브라우저에 후킹 DLL 삽입(Injection)한다, 그리고 상기 URL 로딩 실행부(153)는 정보공유를 통해 초기화에서 실행한 웹브라우저와 SecureFS의 프로세스 ID 정보를 상기 IRP MSG 후커부(157)로 전달하고 PID 정보 공유는 미리 정의된 공유 메모리 주소를 이용한다. 그리고 상기 URL 로딩 실행부(153)는 URL 정보 로딩&실행을 통해 상기 관리모듈(140)로부터 의심 URL을 전달받아, 실행 중인 브라우저(IE)에 실행하여 분석 완료 메시지 수신을 위해 Timer 및 이벤트 수신 대기하고 분석 완료 후 분석 URL 정보 저장할 수 있다. 그리고 상기 URL 로딩 실행부(153)는 Timer를 통해 설정된 시간 동안 분석 완료 메시지 수신을 대기하고 타이머 설정 시간 분석 완료 메시지를 수신하지 못했을 경우, 해당 URL 분석 실패로 분석 결과 저장하며, 이벤트 수신을 통해 결과 분석 모듈로부터 URL 분석 완료 메시지 수신 대기할 수 있다.The URL
상기 제 2 DB 관리부(154)는 상기 URL 로딩 실행부(153)로부터 분석된 결과를 저장, 조회할 수 있으며, 상기 후킹 DLL부(155)는 상기 URL 로딩 실행부(153)로부터 출력된 스크립트 함수 및 COM Object를 후킹할 수 있다. The
상기 결과 분석부(156)는 상기 후킹 DLL부(155)로부터 후킹된 데이터를 수신받아 페이지 리다이렉션 및 악성 Active X를 분석할 수 있다. 상기 결과 분석부(156)는 후킹 결과 분석을 통해 후킹 DLL부로터 후킹 결과를 수신하고 CoCreateinstance API 후킹 결과는 CLSID 값을 취약 ActiveX 여부 분석으로 전달하며, Eval, Document.write, Document.writeln, appendChild 후킹 결과는 페이지 리다이렉션 분석으로 전달할 수 있다. 그리고 상기 결과 분석부(156)는 취약 ActiveX 여부 분석을 통해 상기 후킹 DLL부(155)로부터 수신한 CLSID와 killbit리스트의 CLSID 비교하며, 동일 CLSID를 보유한 경우 악성 URL로 판단하고, 분석 결과 이벤트 생성 후 전송할 수 있다. 그리고 상기 결과 분석부(156)는 페이지 리다이렉션 분석을 통해 후킹 DLL부(155)로부터 수신한 동적 생성 스크립트에 iframe 포함 여부를 분석하고, iframe이 포함된 경우 악성 URL로 판단하고, 분석 결과 이벤트 생성 후 전송할 수 있다.The
상기 IRP MSG 후커부(157)는 IRP 후커를 통해 IRP MSG 수신받아 분석하고, PID를 관리할 수 있다. 이때, 상기 IRP MSG 후커부(157)는 Filter Manager로부터 IRP 메시지를 수신받을 수 있다. 그리고 상기 IRP MSG 후커부(157)는 수신받은 IRP 메시지 분석을 통해 IRP 메시지의 PID 값과 PID 매니저에서 관리하는 브라우저, SecureFS 관리 PID 리스트와 비교하고 브라우저로부터의 파일 생성 IRP 메시지는 SecureFS로 리다이렉하며, 브라우저로부터의 파일 읽기 IRP 메시지는 NTFS IRP 메시지는 기존 NTFS의 파일 읽기만 허용할 수 있다.The
상기 악성코드 자동 분석 시스템(170)은 악성코드 자동 분석 시스템은 수집된 악성코드 정보를 주기적으로 전달 받아 정적/동적 분석을 수행할 수 있다. 또한, 상기 악성코드 자동 분석 시스템(170)은 분석된 정보를 악성코드 DB(160)에 전송한다.The automatic malicious
웹/이메일을 통해 유포되는 악성코드 자동 관리방법Automated management of malware spread through web / email
도 4 내지 도 6을 참조하여 설명하면, 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법은 앞서 설명한 도 1 내지 도 3과 같은 구성으로 이루어진 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템(100)을 통한 관리 방법으로 이하 중복되는 설명은 생략한다.4 to 6, the method for automatically managing malicious code distributed through web / email according to an embodiment of the present invention is distributed through web / email configured as shown in FIGS. 1 to 3. The redundant description will be omitted below as a management method through the automatic malicious
먼저, 감염 PC 자동 분석 시스템(110)이 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행한다.(S100)First, the infected PC
다음으로 악성코드 경유/유포지 탐지 시스템(120)이 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지한다.(S110)Next, the malicious code via /
다음으로 관리모듈(140) 및 수집모듈(150)을 구비한 악성코드 자동 수집 시스템(130)이 상기 감염 PC 자동 분석 시스템(110)으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는다.(S120) 이때, 악성코드 자동 수집 시스템(130)이 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계는 도 5에 도시된 바와 같이, (a)상기 악성코드 경유/유포지 탐지 시스템(120)이 상기 악성코드 자동 수집 시스템(130)에 악성 웹사이트 방문을 요청하는 단계, (b) 상기 악성코드 수집 시스템(130)은 해당 URL 조회하고 그 결과를 반환하여 상기 악성코드 경유/유포지 탐지 시스템(120)에 방문 요청을 응답하는 단계, (c) 상기 악성코드 자동 수집 시스템(130)의 관리모듈(140)은 상기 수집모듈(150)에 방문처리 결과를 전송하는 단계 및 (d) 상기 악성코드 경유/유포지 탐지 시스템(120)은 상기 악성코드 자동 수집 시스템에 방문결과를 요청하는 단계로 이루어질 수 있다.Next, the automatic malicious
다음으로 악성코드 자동 분석 시스템(170)이 상기 악성코드 자동 수집 시스템(130)과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행한다.(S130) 이때, 상기 악성코드 자동 분석 시스템(170)이 상기 악성코드 자동 수집 시스템(130)과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계는 (a) 상기 악성코드 자동 분석 시스템(170)은 의심 URL 분석하는 단계, (b) 의심 URL 분석 결과를 DB에 저장하는 단계, (c) 생성파일이 존재하는지 여부를 판단하는 단계, (d) 생성파일 존재시 생성 파일 및 파일 정보를 저장하는 단계, (e) 생성 파일 정보를 XML 파일로 작성하는 단계 및 (f) XML 파일로 작성된 수집 파일을 상기 분석하는 단계로 이루어질 수 있다.Next, the automatic malicious
이처럼, 본 발명은 감염 PC 자동 분석 시스템(110)으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈(140) 및 상기 관리모듈(140)로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈(150)을 구비하는 악성코드 자동 수집 시스템(130)을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있다.As such, the present invention receives the malicious code infection path collected from the automatic
이상에서 설명한 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 당해 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 수 있을 것이다.Although the preferred embodiments of the present invention described above have been described in detail, those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom.
따라서, 본 발명의 권리 범위는 개시된 실시예에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변경 및 개량 형태 또는 본 발명의 권리 범위에 속하는 것으로 보아야 할 것이다. Accordingly, the scope of the present invention should not be limited to the disclosed embodiments but should be regarded as belonging to various modifications and improvements of those skilled in the art using the basic concept of the present invention as defined in the following claims, or the scope of the present invention. .
100 : 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템
110 : 감염 PC 자동 분석 시스템
120 : 악성코드 경유/유포지 탐지 시스템
130 : 악성코드 자동 수집 시스템
140 : 관리모듈 150 : 수집모듈
160 : 악성코드 DB
170 : 악성코드 자동 분석 시스템100: Automatically manage malware distributed through web / email
110: Automatic PC Analysis System
120: malicious code via / dissemination detection system
130: Automatic malware collection system
140: management module 150: collection module
160: malware DB
170: Automatic malware analysis system
Claims (7)
악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 감염 PC 자동 분석 시스템;
악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 악성코드 경유/유포지 탐지 시스템;
상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템; 및
상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 악성코드 자동 분석 시스템;
을 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템.
In the automatic malware management system,
Automatically infected PC analysis system installed on the malware PC to detect infected malware information and malicious code infection route distributed through web / email;
A malware via / distribution detection system that detects via / distribution using a malware via / distribution detection signature;
The management module and the management for receiving and storing the malicious code infection path collected from the automatic PC analysis system for infection, and receiving and storing the detected gasoline / distribution list and the unanalyzed list in cooperation with the malicious code via / distribution detection system. Automatic malware collection system having a collection module for collecting the generated file and file information transmitted from the module; And
An automatic malicious code analysis system which receives the malicious code information collected and managed in association with the automatic malicious code collection system and performs static or dynamic analysis;
Automatic malware management system that is distributed via a web / email, characterized in that it comprises a.
상기 관리모듈은,
악성코드 자동 수집을 위해 EML 로그를 분석하고, 검색엔진을 연동하고, URL 블랙 리스트를 수집하는 Seed URL 수집부;
상기 URL 중복과 통계를 관리하는 URL 큐관리부;
HTTP Request 생성 및 Response 다운로드, HTML Document 추출 및 분석, 스크립트 난독화를 검사하는 웹 컨텐츠 크롤링부; 및
상기 웹 컨텐츠 크롤링부로부터 의심 URL 분석 결과를 저장하고 조회하는 제 1 DB 관리부;
를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템.
The method of claim 1,
The management module,
Seed URL collection unit for analyzing the EML log, integrating the search engine, and collecting the URL black list for automatic collection of malicious code;
A URL queue manager for managing the URL duplication and statistics;
A web content crawler that checks HTTP request generation and response download, HTML document extraction and analysis, and script obfuscation; And
A first DB manager that stores and retrieves a suspicious URL analysis result from the web content crawler;
Automatic malware management system that is distributed via a web / email, characterized in that it comprises a.
상기 관리모듈은,
관리 UI으로부터 가상 머신 복구 요청을 받아 게스트 OS Rever로 복구하는 가상 머신 제어부;
관리 UI으로부터 F/W 정책 조회, 변경 제어를 관리하는 F/W 관리부; 및
정책관리 UI를 통해 상기 Seed URL 수집부, URL 큐관리부, 웹 컨텐츠 크롤링부의 설정을 조회하고 변경하는 설정관리부;
를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템.
The method of claim 2,
The management module,
A virtual machine controller configured to receive a virtual machine recovery request from the management UI and restore the virtual machine to a guest OS Rever;
An F / W management unit that manages F / W policy inquiry and change control from the management UI; And
A setting management unit for viewing and changing the settings of the Seed URL collecting unit, the URL queue managing unit, and the web content crawling unit through a policy management UI;
Automatic malware management system that is distributed via a web / email, characterized in that it comprises a.
상기 수집모듈은,
상기 관리모듈로부터 의심 URL 정보를 주기적으로 HTTP로 전송받는 통신관리부;
Secure FS 파일을 추가, 삭제, 복사, 조회하는 Secure FS 관리부;
상기 Secure FS 관리부의 초기화, URL 로딩 실행, 정보를 공유하는 URL 로딩 실행부;
상기 URL 로딩 실행부로부터 분석된 결과를 저장, 조회하는 제 2 DB 관리부;
상기 URL 로딩 실행부로부터 출력된 스크립트 함수 및 COM Object를 후킹하는 후킹 DLL부;
상기 후킹 DLL부로부터 후킹된 데이터를 수신받아 페이지 리다이렉션 및 악성 Active X를 분석하는 결과 분석부; 및
IRP 후커를 통해 IRP MSG 수신받아 분석하고, PID를 관리하는 IRP MSG 후커부;
를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템.
The method of claim 1,
The collection module,
A communication manager which periodically receives suspicious URL information from the management module through HTTP;
A Secure FS management unit that adds, deletes, copies, and searches Secure FS files;
An initialization of the Secure FS management unit, an URL loading execution unit, and a URL loading execution unit sharing information;
A second DB manager which stores and retrieves the result analyzed by the URL loading execution unit;
A hooking DLL unit hooking a script function and a COM object output from the URL loading execution unit;
A result analysis unit which receives the hooked data from the hooking DLL unit and analyzes page redirection and malicious Active X; And
IRP MSG hooker receiving and analyzing the IRP MSG through the IRP hooker, PID management;
Automatic malware management system that is distributed via a web / email, characterized in that it comprises a.
감염 PC 자동 분석 시스템이 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 단계;
악성코드 경유/유포지 탐지 시스템이 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 단계;
관리모듈 및 수집모듈을 구비한 악성코드 자동 수집 시스템이 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계; 및
악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계;
를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법.
In the malicious code automatic management method,
Installing an infected PC automatic analysis system on the malware PC to detect infected malware information and malware infection paths distributed through web / email;
Detecting, via the malicious code via / distribution detection system, using the malware via / distribution detection signature;
The automatic malicious code collection system having a management module and a collection module receives the malicious code infection path collected from the automatic PC analysis system, and the diesel / distribution list detected through interworking with the malicious code via / distribution detection system; Receiving unanalyzed lists; And
A step in which an automatic malicious code analysis system interoperates with the automatic malicious code collection system and periodically receives and manages collected malicious code information, and performs static or dynamic analysis;
Automatically manage malware distributed via a web / email, characterized in that it comprises a.
악성코드 자동 수집 시스템이 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계는,
(a)상기 악성코드 경유/유포지 탐지 시스템이 상기 악성코드 자동 수집 시스템에 악성 웹사이트 방문을 요청하는 단계;
(b) 상기 악성코드 수집 시스템은 해당 URL 조회하고 그 결과를 반환하여 상기 악성코드 경유/유포지 탐지 시스템에 방문 요청을 응답하는 단계;
(c) 상기 악성코드 자동 수집 시스템의 관리모듈은 상기 수집모듈에 방문처리 결과를 전송하는 단계; 및
(d) 상기 악성코드 경유/유포지 탐지 시스템은 상기 악성코드 자동 수집 시스템에 방문결과를 요청하는 단계;
로 이루어지는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법.
6. The method of claim 5,
The automatic malicious code collection system is linked with the malicious code via / dissemination detection system and receiving the detected via / dissemination list and unanalyzed list,
(a) requesting a malicious website visit to the automatic malicious code collection system by the malicious code route / distribution detection system;
(b) the malicious code collection system querying the corresponding URL and returning the result to respond to the visit request to the malicious code route / distribution detection system;
(c) transmitting, by the management module of the automatic malicious code collection system, a visit processing result to the collection module; And
(d) requesting a result of the visit to the malicious code automatic collection system by the malicious code route / distribution detection system;
Automatic malware management method that is distributed through the web / email, characterized in that consisting of.
악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계는,
(a) 상기 악성코드 자동 분석 시스템은 의심 URL 분석하는 단계;
(b) 의심 URL 분석 결과를 DB에 저장하는 단계;
(c) 생성파일이 존재하는지 여부를 판단하는 단계;
(d) 생성파일 존재시 생성 파일 및 파일 정보를 저장하는 단계;
(e) 생성 파일 정보를 XML 파일로 작성하는 단계; 및
(f) XML 파일로 작성된 수집 파일을 상기 분석하는 단계;
로 이루어지는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법.6. The method of claim 5,
The automatic malicious code analysis system interoperates with the automatic malicious code collection system and periodically receives the collected collected malicious code information to perform static or dynamic analysis.
(a) the malicious code automatic analysis system analyzing suspicious URLs;
(b) storing the suspected URL analysis result in a DB;
(c) determining whether a generated file exists;
(d) storing the generation file and file information when the generation file exists;
(e) creating the generated file information into an XML file; And
(f) analyzing the collected file created as an XML file;
Automatic malware management method that is distributed through the web / email, characterized in that consisting of.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100131412A KR101234066B1 (en) | 2010-12-21 | 2010-12-21 | Web / email for distributing malicious code through the automatic control system and how to manage them |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100131412A KR101234066B1 (en) | 2010-12-21 | 2010-12-21 | Web / email for distributing malicious code through the automatic control system and how to manage them |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20120070025A true KR20120070025A (en) | 2012-06-29 |
KR101234066B1 KR101234066B1 (en) | 2013-02-15 |
Family
ID=46687983
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100131412A KR101234066B1 (en) | 2010-12-21 | 2010-12-21 | Web / email for distributing malicious code through the automatic control system and how to manage them |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101234066B1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101400680B1 (en) * | 2013-03-12 | 2014-05-29 | 주식회사 윈스 | System of automatically collecting malignant code |
KR101401949B1 (en) * | 2012-11-06 | 2014-05-30 | 한국인터넷진흥원 | A System and a Method for Periodically checking spread and pass sites of Malicious Code |
KR20150064331A (en) * | 2013-12-03 | 2015-06-11 | 주식회사 케이티 | Device for monitoring web server and analysing malicious code |
WO2016088937A1 (en) * | 2014-12-03 | 2016-06-09 | Korea Internet & Security Agency | Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and api flow-based dynamic analysis |
KR20180076174A (en) * | 2016-12-27 | 2018-07-05 | 한국인터넷진흥원 | A method and apparatus for detecting malicious scripts based on mobile device |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100688604B1 (en) * | 2004-11-18 | 2007-03-02 | 고려대학교 산학협력단 | Apparatus and method for intercepting malicious executable code in the network |
KR20100070623A (en) * | 2008-12-18 | 2010-06-28 | 한국인터넷진흥원 | System for collecting / analysing bot and method therefor |
-
2010
- 2010-12-21 KR KR1020100131412A patent/KR101234066B1/en not_active IP Right Cessation
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101401949B1 (en) * | 2012-11-06 | 2014-05-30 | 한국인터넷진흥원 | A System and a Method for Periodically checking spread and pass sites of Malicious Code |
KR101400680B1 (en) * | 2013-03-12 | 2014-05-29 | 주식회사 윈스 | System of automatically collecting malignant code |
KR20150064331A (en) * | 2013-12-03 | 2015-06-11 | 주식회사 케이티 | Device for monitoring web server and analysing malicious code |
WO2016088937A1 (en) * | 2014-12-03 | 2016-06-09 | Korea Internet & Security Agency | Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and api flow-based dynamic analysis |
US9680848B2 (en) | 2014-12-03 | 2017-06-13 | Korea Internet & Security Agency | Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and API flow-based dynamic analysis |
KR20180076174A (en) * | 2016-12-27 | 2018-07-05 | 한국인터넷진흥원 | A method and apparatus for detecting malicious scripts based on mobile device |
Also Published As
Publication number | Publication date |
---|---|
KR101234066B1 (en) | 2013-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Milajerdi et al. | Poirot: Aligning attack behavior with kernel audit records for cyber threat hunting | |
JP7084778B2 (en) | Systems and methods for cloud-based detection, exploration and elimination of targeted attacks | |
US9596255B2 (en) | Honey monkey network exploration | |
US8499283B2 (en) | Detection of scripting-language-based exploits using parse tree transformation | |
Sukwong et al. | Commercial antivirus software effectiveness: an empirical study | |
Mutchler et al. | A large-scale study of mobile web app security | |
Egele et al. | Defending browsers against drive-by downloads: Mitigating heap-spraying code injection attacks | |
Oberheide et al. | CloudAV: N-Version Antivirus in the Network Cloud. | |
KR101514984B1 (en) | Detecting system for detecting Homepage spreading Virus and Detecting method thereof | |
Feng et al. | Understanding and securing device vulnerabilities through automated bug report analysis | |
Kapravelos et al. | Escape from monkey island: Evading high-interaction honeyclients | |
Grégio et al. | Toward a taxonomy of malware behaviors | |
Chen et al. | WebPatrol: Automated collection and replay of web-based malware scenarios | |
CN105491053A (en) | Web malicious code detection method and system | |
CN103279710B (en) | Method and system for detecting malicious codes of Internet information system | |
WO2012154658A2 (en) | Methods, systems, and computer readable media for efficient computer forensic analysis and data access control | |
US20110219454A1 (en) | Methods of identifying activex control distribution site, detecting security vulnerability in activex control and immunizing the same | |
Hsu et al. | Browserguard: A behavior-based solution to drive-by-download attacks | |
KR101080953B1 (en) | System and method for detecting and protecting webshell in real-time | |
Cao et al. | JShield: Towards real-time and vulnerability-based detection of polluted drive-by download attacks | |
KR101234066B1 (en) | Web / email for distributing malicious code through the automatic control system and how to manage them | |
JP5752642B2 (en) | Monitoring device and monitoring method | |
CN108351941B (en) | Analysis device, analysis method, and computer-readable storage medium | |
KR100961149B1 (en) | Method for detecting malicious site, method for gathering information of malicious site, apparatus, system, and recording medium having computer program recorded | |
CN105791250B (en) | Application program detection method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |