KR20120070025A - Web / email for distributing malicious code through the automatic control system and how to manage them - Google Patents

Web / email for distributing malicious code through the automatic control system and how to manage them Download PDF

Info

Publication number
KR20120070025A
KR20120070025A KR1020100131412A KR20100131412A KR20120070025A KR 20120070025 A KR20120070025 A KR 20120070025A KR 1020100131412 A KR1020100131412 A KR 1020100131412A KR 20100131412 A KR20100131412 A KR 20100131412A KR 20120070025 A KR20120070025 A KR 20120070025A
Authority
KR
South Korea
Prior art keywords
malicious code
automatic
management
url
malware
Prior art date
Application number
KR1020100131412A
Other languages
Korean (ko)
Other versions
KR101234066B1 (en
Inventor
김병익
오주형
임채태
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020100131412A priority Critical patent/KR101234066B1/en
Publication of KR20120070025A publication Critical patent/KR20120070025A/en
Application granted granted Critical
Publication of KR101234066B1 publication Critical patent/KR101234066B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • G06Q50/60
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Abstract

PURPOSE: A system for automatically managing malicious codes circulating through Web/e-mails and a method for managing for the system are provided to generate/distribute corresponding signatures based on the analyzed result of the collected malicious codes. CONSTITUTION: An automatic infected PC analyzing system(110) is installed at a malicious code PC and detects infected malicious code information through Web/e-mails and a malicious code infection route. A malicious code waypoint/distributor detecting system(120) detects a malicious code route/distributing part using a malicious code waypoint/distributor signature. An automatic malicious code collecting system includes a managing module(140) and a collecting module(150).

Description

웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법{Web / email for distributing malicious code through the automatic control system and how to manage them}{Web / email for distributing malicious code through the automatic control system and how to manage them}

본 발명은 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법은 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템을 포함하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법에 관한 것이다.The present invention is automatically distributed through a web / email management system and its management method is transmitted through the malicious code infection path collected from the automatic PC analysis system infected with, and detected through interaction with the malicious code via / spread detection system Via a web / email including an automatic malicious code collection system including a management module for receiving and storing the pass-through / distribution list and unanalyzed lists, and a collection module for collecting generated files and file information transmitted from the management module. The present invention relates to an automated malicious code management system and a management method thereof.

최근 악성코드로 인한 사이버 공격 대응 시간 단축이 되면서 사전 예방기술 확보가 필요하게 되었다. DDoS 공격, 개인정보 탈취 등 대부분의 사이버 공격에 악용되는 다양한 악성코드가 급증하고 있으며, 빈번히 발생하는 협박형 DDoS 공격 및 침해사고에서 볼 수 있듯이 그로 인한 피해가 점차 커지고 있는 상황인 것을 알 수가 있다. Recently, as cyber attack response time is shortened due to malware, it is necessary to secure proactive technologies. Various malwares used in most cyber attacks, such as DDoS attacks and personal information takeovers, are rapidly increasing. As can be seen from the frequently intimidating DDoS attacks and infringement incidents, the damages are gradually increasing.

따라서, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하는 기술을 통해 사이버 공격을 사전에 예방할 수 있는 시스템 구축이 필요한 문제점이 있다.
Therefore, there is a problem in that it is necessary to construct a system that can prevent cyber attacks in advance through a technology of early collecting malicious codes that may pose a deadly threat and generating / distributing corresponding signatures from the analyzed results.

따라서, 본 발명은 종래 기술에 제기된 문제점을 해결하기 위한 것으로, 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법을 제공하는데 그 목적이 있다.
Accordingly, the present invention is to solve the problems posed in the prior art, and receives the path of malware infection collected from the automatic PC analysis system infected with, via the distribution / distribution site detection system via the malicious code via / distribution site detected It includes a malicious code automatic collection system having a management module for receiving and storing a list and unanalyzed lists and a collection module for collecting generated files and file information transmitted from the management module, thereby causing a malicious threat. The purpose is to provide an automatic malware management system and its management method, which are distributed through web / email that can prevent cyber attacks by proactively collecting codes and generating / distributing corresponding signatures from the analyzed results.

상기의 목적을 달성하기 위한 본 발명은 악성코드 자동 관리 시스템에 있어서, 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 감염 PC 자동 분석 시스템; 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 악성코드 경유/유포지 탐지 시스템; 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템; 및 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 악성코드 자동 분석 시스템;을 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템을 제공한다.In order to achieve the above object, the present invention provides an automatic malicious code management system, which is installed on a malicious code PC and automatically detects infected malicious code and a malicious code infection path distributed through a web / email. ; A malware via / distribution detection system that detects via / distribution using a malware via / distribution detection signature; The management module and the management for receiving and storing the malicious code infection path collected from the automatic PC analysis system for infection, and receiving and storing the detected gasoline / distribution list and the unanalyzed list in cooperation with the malicious code via / distribution detection system. Automatic malware collection system having a collection module for collecting the generated file and file information transmitted from the module; And a malicious code automatic analysis system which periodically receives and manages the collected malicious code information by interworking with the automatic malicious code collection system, and performs static or dynamic analysis. Provides automatic malware management system.

또한, 상기 관리모듈은, 악성코드 자동 수집을 위해 EML 로그를 분석하고, 검색엔진을 연동하고, URL 블랙 리스트를 수집하는 Seed URL 수집부; 상기 URL 중복과 통계를 관리하는 URL 큐관리부; HTTP Request 생성 및 Response 다운로드, HTML Document 추출 및 분석, 스크립트 난독화를 검사하는 웹 컨텐츠 크롤링부; 및상기 웹 컨텐츠 크롤링부로부터 의심 URL 분석 결과를 저장하고 조회하는 제 1 DB 관리부;를 포함할 수 있다.In addition, the management module, Seed URL collection unit for analyzing the EML log for automatic collection of malicious code, linking the search engine, and collects the URL black list; A URL queue manager for managing the URL duplication and statistics; A web content crawler that checks HTTP request generation and response download, HTML document extraction and analysis, and script obfuscation; And a first DB manager configured to store and query a suspicious URL analysis result from the web content crawler.

또한, 상기 관리모듈은, 관리 UI으로부터 가상 머신 복구 요청을 받아 게스트 OS Rever로 복구하는 가상 머신 제어부; 관리 UI으로부터 F/W 정책 조회, 변경 제어를 관리하는 F/W 관리부; 및 정책관리 UI를 통해 상기 Seed URL 수집부, URL 큐관리부, 웹 컨텐츠 크롤링부의 설정을 조회하고 변경하는 설정관리부;를 포함할 수 있다.In addition, the management module, the virtual machine control unit for receiving a virtual machine recovery request from the management UI to restore to the guest OS Rever; An F / W management unit that manages F / W policy inquiry and change control from the management UI; And a setting management unit for querying and changing the settings of the Seed URL collecting unit, the URL queue managing unit, and the web content crawling unit through a policy management UI.

또한, 상기 수집모듈은, 상기 관리모듈로부터 의심 URL 정보를 주기적으로 HTTP로 전송받는 통신관리부; Secure FS 파일을 추가, 삭제, 복사, 조회하는 Secure FS 관리부; 상기 Secure FS 관리부의 초기화, URL 로딩 실행, 정보를 공유하는 URL 로딩 실행부; 상기 URL 로딩 실행부로부터 분석된 결과를 저장, 조회하는 제 2 DB 관리부; 상기 URL 로딩 실행부로부터 출력된 스크립트 함수 및 COM Object를 후킹하는 후킹 DLL부; 상기 후킹 DLL부로부터 후킹된 데이터를 수신받아 페이지 리다이렉션 및 악성 Active X를 분석하는 결과 분석부; 및 IRP 후커를 통해 IRP MSG 수신받아 분석하고, PID를 관리하는 IRP MSG 후커부;를 포함할 수 있다.In addition, the collection module, the communication management unit for receiving the suspicious URL information from the management module periodically by HTTP; A Secure FS management unit that adds, deletes, copies, and searches Secure FS files; An initialization of the Secure FS management unit, an URL loading execution unit, and a URL loading execution unit sharing information; A second DB manager which stores and retrieves the result analyzed by the URL loading execution unit; A hooking DLL unit hooking a script function and a COM object output from the URL loading execution unit; A result analysis unit which receives the hooked data from the hooking DLL unit and analyzes page redirection and malicious Active X; And an IRP MSG hooker unit for receiving and analyzing the IRP MSG through the IRP hooker and managing the PID.

상기의 목적을 달성하기 위한 본 발명은 악성코드 자동 관리방법에 있어서,감염 PC 자동 분석 시스템이 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 단계; 악성코드 경유/유포지 탐지 시스템이 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 단계; 관리모듈 및 수집모듈을 구비한 악성코드 자동 수집 시스템이 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계; 및 악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계;를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법을 제공한다.In order to achieve the above object, the present invention provides a method for automatically managing malicious code, wherein an automatic PC analysis system for infection is installed on a malicious code PC to detect infected malware information and a malicious code infection path distributed through a web / email. Making; Detecting, via the malicious code via / distribution detection system, using the malware via / distribution detection signature; The automatic malicious code collection system having a management module and a collection module receives the malicious code infection path collected from the automatic PC analysis system, and the diesel / distribution list detected through interworking with the malicious code via / distribution detection system; Receiving unanalyzed lists; And receiving the malicious code information collected and managed by interworking with the automatic malicious code automatic collection system, and performing static or dynamic analysis; and through the web / email. Provides automatic management method of spreading malicious codes.

또한, 악성코드 자동 수집 시스템이 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계는, (a)상기 악성코드 경유/유포지 탐지 시스템이 상기 악성코드 자동 수집 시스템에 악성 웹사이트 방문을 요청하는 단계; (b) 상기 악성코드 수집 시스템은 해당 URL 조회하고 그 결과를 반환하여 상기 악성코드 경유/유포지 탐지 시스템에 방문 요청을 응답하는 단계; (c) 상기 악성코드 자동 수집 시스템의 관리모듈은 상기 수집모듈에 방문처리 결과를 전송하는 단계; 및 (d) 상기 악성코드 경유/유포지 탐지 시스템은 상기 악성코드 자동 수집 시스템에 방문결과를 요청하는 단계;로 이루어질 수 있다.In addition, the automatic malicious code collection system is connected to the route via the malicious code / distribution site detection system and receiving the detected route / distribution list and un-analyzed list, (a) the malicious code via / distribution site detection system is the malicious Requesting a malicious website visit to the automatic code collection system; (b) the malicious code collection system querying the corresponding URL and returning the result to respond to the visit request to the malicious code route / distribution detection system; (c) transmitting, by the management module of the automatic malicious code collection system, a visit processing result to the collection module; And (d) requesting a visit result to the malicious code automatic collection system through the malicious code route / distribution detection system.

또한, 악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계는, (a) 상기 악성코드 자동 분석 시스템은 의심 URL 분석하는 단계; (b) 의심 URL 분석 결과를 DB에 저장하는 단계; (c) 생성파일이 존재하는지 여부를 판단하는 단계; (d) 생성파일 존재시 생성 파일 및 파일 정보를 저장하는 단계; (e) 생성 파일 정보를 XML 파일로 작성하는 단계; 및 (f) XML 파일로 작성된 수집 파일을 상기 분석하는 단계;로 이루어질 수 있다.
In addition, the automatic malicious code analysis system is interoperated with the automatic malicious code collection system periodically receiving the collected malware information, and performing a static or dynamic analysis, (a) the automatic malware analysis system Analyzing suspicious URLs; (b) storing the suspected URL analysis result in a DB; (c) determining whether a generated file exists; (d) storing the generation file and file information when the generation file exists; (e) creating the generated file information into an XML file; And (f) analyzing the collected file created as an XML file.

이상에서, 본 발명은 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있는 효과가 있다.
In the above, the present invention receives the malicious code infection path collected from the automatic PC analysis system, and receives and manages the stored route / distribution list and the unanalyzed list, which are interlocked with the malware route / distribution detection system. By including a malicious code automatic collection system having a management module and a collection module for collecting the generated files and file information transmitted from the management module, by collecting the malicious code that can pose a critical threat early, from the analysis result It is effective to prevent cyber attacks by creating / distributing response signatures.

도 1은 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템에 대한 구성도이다.
도 2는 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템에 채용되는 관리모듈에 대한 세부 구성도이다.
도 3은 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템에 채용되는 수집모듈에 대한 세부 구성도이다.
도 4는 본 발명의 실시에에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법에 대한 순서도이다.
도 5은 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법에서 악성코드 자동 수집 시스템과 악성코드 경유/유포지 탐지 시스템에 대한 연동 흐름도이다.
도 6는 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법에서 악성코드 자동 분석 시스템에 대한 연동 흐름도이다.1 is a block diagram of a system for automatically managing malware distributed through a web / email according to an embodiment of the present invention.
Figure 2 is a detailed configuration diagram of the management module employed in the automatic management system for malicious code spread through the web / email according to an embodiment of the present invention.
Figure 3 is a detailed configuration diagram of the collection module employed in the automatic management system for malicious code spread through the web / email according to an embodiment of the present invention.
4 is a flowchart illustrating a method for automatically managing malicious code spread through web / e-mail according to an embodiment of the present invention.
5 is an interlocking flow diagram for an automatic system for collecting malicious codes and a system for detecting and passing through malicious codes in a method for automatically managing malicious codes distributed through web / email according to an embodiment of the present invention.
6 is an interlocking flow diagram for an automatic malicious code analysis system in a method for automatically managing malicious codes distributed through a web / email according to an embodiment of the present invention.

본 발명에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법에 대한 기술적 구성을 비롯한 작용효과에 관한 사항은 본 발명의 바람직한 실시예가 도시된 도면을 참조하여 아래의 상세한 설명에 의해서 명확하게 이해될 것이다.Matters related to the effect including the technical configuration of the automatic malicious code management system and its management method distributed through the web / email according to the present invention will be described by the following description with reference to the drawings showing preferred embodiments of the present invention Will be clearly understood.

웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템Automatic malware management system distributed through web / email

도 1 내지 도 3을 참조하여 설명하면, 본 발명은 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템(100)은 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 감염 PC 자동 분석 시스템(110), 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 악성코드 경유/유포지 탐지 시스템(120), 상기 감염 PC 자동 분석 시스템(110)으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈(140) 및 상기 관리모듈(140)로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈(150)을 구비하는 악성코드 자동 수집 시스템(130) 및 상기 악성코드 자동 수집 시스템(130)과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 악성코드 자동 분석 시스템(170)을 포함하여 이루어질 수 있다.Referring to Figures 1 to 3, the present invention, the automatic malicious code management system distributed through the web / email 100 is installed on the malware PC, infected malware information and malicious distributed via the web / email Infection PC automatic analysis system 110 that performs code infection path detection, malicious code via / distribution detection system 120 that detects via / distribution using the signature of malware passing / distribution detection signature, the infection PC automatic analysis system ( A management module 140 for receiving and storing the malicious code infection path collected from 110 and receiving and storing the detected route / distribution list and the unanalyzed list in cooperation with the malicious code via / distribution detection system 120; Automatic malware collection system 130 and the malicious code having a collection module 150 for collecting the generated file and file information transmitted from the management module 140 It may include a malicious code automatic analysis system 170 for periodically receiving the malware information collected and managed in cooperation with the automatic collection system 130 to perform a static or dynamic analysis.

상기 감염 PC 자동 분석 시스템(110)은 악성코드 감염 PC에 설치되어, 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하고, 수집된 악성코드를 악성코드 자동 수집 시스템(130)으로 전송할 수 있다.The infected PC automatic analysis system 110 may be installed on a malicious code infected PC to detect infected malicious code information and a malicious code infection path, and transmit the collected malicious code to the automated malicious code collection system 130.

상기 악성코드 경유/유포지 탐지 시스템(120)은 악성코드 경유/유포지 탐지 시그니처를 이용하여, 경유/유포지를 탐지하는 시스템으로 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 주기적으로 악성코드 자동 수집 시스템(130)으로 전송할 수 있다.The malicious code route / distribution detection system 120 periodically uses a malicious code route / distribution detection signature to automatically collect malware / distribution lists and unanalyzed lists detected as a system for detecting the route / distribution site. 130).

상기 악성코드 자동 수집 시스템(130)은 상기 감염 PC 자동 분석 시스템(110)으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받을 수 있다.The automatic malicious code collection system 130 receives the malicious code infection path collected from the automatic PC analysis system 110, and the diesel / distribution site detected in cooperation with the malicious code via / dissemination site detection system 120 The list and unresolved lists can be received.

그리고 상기 악성코드 자동 수집 시스템(130)은 상기 경유/유포지 리스트 및 미 분석 리스트를 관리 저장하는 관리모듈(140) 및 상기 관리모듈(140)로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈(150)을 구비하고 있다. 또한, 상기 악성코드 자동 수집 시스템(130)은 관리 수집된 정보를 악성코드 DB(160)에 전송한다.In addition, the automatic malicious code collection system 130 is a management module 140 for managing and storing the via / distribution list and the unanalyzed list and a collection module for collecting the generated files and file information transmitted from the management module 140 150 is provided. In addition, the automatic malicious code collection system 130 transmits the management collected information to the malicious code DB (160).

상기 관리모듈(140)은 악성코드 자동 수집을 위한 Seed URL 수집, 분석을 통해 의심 URL 선별하고, 웹 컨텐츠 크롤링을 위한 설정, 검사 결과 기준 변경 기능 및 수집 시스템 관리를 위한 UI를 제공하며, 수집 시스템 제어를 위해 VMWare API를 사용한다.The management module 140 selects suspicious URLs through collecting and analyzing Seed URLs for automatic collection of malicious codes, provides a setting for crawling web content, a change of inspection result criteria, and a UI for managing a collection system. Use the VMWare API for control.

보다 자세하게 설명하면 도 2에 도시된 바와 같이 관리모듈(140)은 Seed URL 수집부(141), URL 큐관리부(142), 웹 컨텐츠 크롤링부(143), 제 1 DB 관리부(144), 가상 머신 제어부(145), F/W 관리부(146), 설정관리부(147)로 구성될 수 있다.In more detail, as shown in FIG. 2, the management module 140 includes a Seed URL collector 141, a URL queue manager 142, a web content crawler 143, a first DB manager 144, and a virtual machine. The controller 145, the F / W manager 146, and the setting manager 147 may be configured.

상기 Seed URL 수집부(141)는 악성코드 자동 수집을 위해 EML 로그를 분석하고, 검색엔진을 연동하고, URL 블랙 리스트를 수집할 수 있다. 이때, 상기 Seed URL 수집부는 시작 시점에 설정 파일을 참고하여, EML 로그 저장 경로, 검색 주기, 검색 Keyword, 블랙 리스트 도메인 목록 등과 같은 설정 파일을 읽는다. 또한, 검색 엔진 연동은 키워드 별 검색 엔진 응답 결과 중 중복 URL을 제거하고 URL 큐 관리부(142)에 저장할 수 있다.The Seed URL collecting unit 141 may analyze an EML log, link a search engine, and collect a URL black list to automatically collect malicious codes. At this time, the Seed URL collector reads a configuration file such as an EML log storage path, a search period, a search keyword, a black list domain list, etc. by referring to the configuration file at the start time. In addition, the search engine interworking may remove duplicate URLs from the search engine response results for each keyword and store the URL in the URL queue manager 142.

상기 URL 큐관리부(142)는 상기 URL 중복과 통계를 관리할 수 있다. 이때, 상기 URL 큐관리부는 URL 큐는 파일, DB, 메모리 등과 같은 다양한 저장 공간에 구현 가능하며, 구현 및 상세 설계에서 구체화 예정이다. The URL queue manager 142 may manage the URL duplication and statistics. In this case, the URL queue management unit may be implemented in various storage spaces such as a file, a DB, a memory, etc., and will be embodied in the implementation and detailed design.

그리고 상기 URL 큐관리부(142)는 URL 개채 확인을 통해 Seed URL 수집모듈과 연동되고 수집되어진 URL의 값이 실제 웹 페이지의 URL인지 다운받을 파일의 URL인지 판단하며, 다운 받을 파일인 경우 해당 URL값과 파일을 DB에 저장할 수 있다. 또한, 상기 URL 큐관리부 URL 중복 조회를 통해 URL 개채 확인을 통과한 URL은 설정된 중복 금지 Time 동안 중복이 되는지 체크한 다음 중복이 없는 URL에 대해서만 URL 큐에 저장하고 URL 추출을 통해 상기 웹 컨텐츠 크롤링부(143)로부터 URL 조회 요청을 수신 한뒤, URL 큐에 저장된 URL을 삭제 후 상기 웹 컨텐츠 크롤링부(143)에 전달할 수 있다.The URL queue manager 142 determines whether the URL value of the collected URL is linked to the Seed URL collection module through URL reconfirmation and is a URL of a real web page or a file to be downloaded. And files can be saved in DB. In addition, the URL that passes the URL object confirmation through the URL queue manager URL duplication inquiry checks whether the URL is duplicated for a set duplicate prohibition time, and then stored only in the URL queue for the URL that does not have a duplicate and the web content crawler through URL extraction After receiving the URL query request from 143, the URL stored in the URL queue may be deleted and transmitted to the web content crawler 143.

상기 웹 컨텐츠 크롤링부(143)는 HTTP Request 생성 및 Response 다운로드, HTML Document 추출 및 분석, 스크립트 난독화를 검사할 수 있다. 이때, 상기 웹 컨텐트 크롤링부(143)는 HTTP Request 생성을 통해 URL 큐 관리모듈로부터 전달 받은 URL을 이용하여, HTTP Request 생성하고, HTTP Request의 User-Agent정보는 설정 정보를 이용하며, 생성된 HTTP Request 정보는 HTTP Request 전송 및 Response 수신으로 전달할 수 있다. 그리고 상기 웹 컨텐츠 크롤링부(143)는 HTTP Request 전송 및 Response 수신을 통해 생성된 HTTP Request를 해당 URL로 전송하고, URL로부터 HTTP Response 수신 후 응답 코드 분석하며, 응답코드가 302 (리다이렉트)일 경우, HTTP Request의 Reffer 정보를 설정한 다음 HTTP Request 재송신하고 응답 코드가 200일 경우, HTTP Response를 HTML Document 추출 & 분석으로 전달할 수 있다. 상기 웹 컨텐츠 크롤링부는 HTTP Document 추출 & 분석을 통해 HTTP Response로부터 HTML Document 추출 및 분석하고, HTML Document에 Hidden Iframe이 존재할 경우, 의심 URL로 DB에 저장할 수 있다. 이때, 상기 Hidden IFrame 정의는 <iframe src=http://www.kisa.or.kr width=0 height=0>, </iframe> <iframe src=http://www.kisa.or.kr width=1 height=0></iframe>, <iframe src=http://www.kisa.or.kr width=0% height=1%></iframe>, <iframe src=“http://www.kisa.or.kr” width=150 height=100 style=“display:none;”></iframe>, src 값이 External site일 경우만 Hidden iframe으로 간주, width값과 height값의 곱이 0인 경우 Hidden iframe으로 간주할 수 있다.The web content crawling unit 143 may check HTTP request generation and response download, HTML document extraction and analysis, and script obfuscation. At this time, the web content crawling unit 143 generates an HTTP request by using the URL received from the URL queue management module through the generation of the HTTP request, and the user-agent information of the HTTP request uses the setting information, and the generated HTTP Request information can be delivered by HTTP Request transmission and Response reception. The web content crawling unit 143 transmits the HTTP request generated through the HTTP request transmission and response reception to the corresponding URL, analyzes the response code after receiving the HTTP response from the URL, and when the response code is 302 (redirect), After setting Reffer information of HTTP Request and resending HTTP Request and response code is 200, HTTP Response can be delivered to HTML Document extraction & analysis. The web content crawler extracts and analyzes an HTML document from an HTTP response through HTTP document extraction & analysis, and when there is a hidden iframe in the HTML document, it can be stored in a DB as a suspect URL. In this case, the hidden IFrame definition is <iframe src = http: //www.kisa.or.kr width = 0 height = 0>, </ iframe> <iframe src = http: //www.kisa.or.kr width = 1 height = 0> </ iframe>, <iframe src = http: //www.kisa.or.kr width = 0% height = 1%> </ iframe>, <iframe src = “http: // www .kisa.or.kr ”width = 150 height = 100 style =“ display: none; ”> </ iframe>, only when the src value is an external site, it is considered a hidden iframe, and the product of width and height is 0 It can be considered as a hidden iframe.

그리고 상기 웹 컨텐츠 크롤링부(143)는 HTML Document에 JavaScript 태그가 존재할 경우, HTML 문서 전체, 웹 문서안의 JavaScript 전체와 각 JavaScript 블록 별 스크립트 난독화 검사가 이루어지고, 스크립트가 난독화 되어 있을 경우, 의심 URL로 DB에 저장하며,자바스크립트 난독화와 Hidden iframe의 결과는 동일한 레벨에서 점검될 수 있다.In addition, when the JavaScript tag exists in the HTML document, the web content crawling unit 143 checks the entire HTML document, the entire JavaScript in the web document, and script obfuscation for each JavaScript block, and when the script is obfuscated, Stored in DB as URL, the result of JavaScript obfuscation and Hidden iframe can be checked at the same level.

이때, 상기 스크립트 난독화 강도 검사는 자바스크립트, 사용된 문자, 함수와 변수 이름 Entropy를 통해 JavaScript 전체 Entropy, JavaScript Block 평균 Entropy 측정하여 기준 값과 비교하여 악성 난독화 의심 웹사이트 판별하고, 사용된 문자를 기준으로 특수문자, 비특수문자의 각 Entropy를 구하여 측정값 그 차이를 이용하여 악성 난독화 의심 웹사이트 판별하고, 변수와 함수 이름 평균 Entropy를 측정하여 판별하는데 단, 변수와 함수 이름의 크기가 3이상인 경우 점검한다. (사이즈가 1또는 2인 경우 점검 시 무의미한 데이터 과잉 현상이 발생, 예. 분기문, 반복문등에 사용되는 변수 크기는 대부분 2이하의 크기를 보임) 그리고 특정 문자와 특정 함수 발생 빈도를 통해 난독화 해독에 사용되는 특정 함수(Substring, fromCharCode, eval, setTimeout, document.write, document.createElement, replace)의 발생 빈도를 점검하여 악성 난독화 의심 웹사이트 판별하며, 특정 문자를 이용하여 다른 방식으로 표현하는 Encoding Mark의 발생 빈도를 측정하여 높은 수치를 보이는 경우 난독화로 판별하고, % 문자의 사용 빈도를 측정하여 일정 값 이상일 경우 난독화로 판별할 수 있다. 그리고 단일 문자열 최대 길이를 통해 문자 구분자( (,),{,},[,],“,‘ 등)를 중심으로 단일 문자열 길이를 측정하여 문자열의 길이가 200이상일 경우 난독화 되었다고 판단하는데 이때, 단일 문자열 중 HTTP 링크에 포함된 문자열은 단일 문자열에 포함하지 않는다.In this case, the script obfuscation strength test determines JavaScript suspected malicious obfuscation website by measuring JavaScript overall Entropy, JavaScript Block average Entropy through JavaScript, used character, function and variable name Entropy Based on the results, each Entropy of special and non-special characters is obtained, and the suspected malignant obfuscation website is determined by using the difference of the measured values, and the variable and function name average Entropy is measured and determined. Check if 3 or more. (If the size is 1 or 2, there is a meaningless data overflow when checking, e.g. the size of variables used in branches, loops, etc. is mostly less than 2.) Checks the frequency of occurrence of malicious obfuscation websites by checking the frequency of occurrence of specific functions (Substring, fromCharCode, eval, setTimeout, document.write, document.createElement, replace) that are used for encoding. The occurrence frequency of Mark can be determined by obfuscation when showing high value, and the frequency of use of% character can be determined by obfuscation when it is over a certain value. In addition, by measuring the length of a single string around the character delimiter ((,), {,}, [,], ",", etc.) through the maximum length of a single string, it is determined that the string is obfuscated when the length of the string is 200 or more. Of the single strings, the strings included in the HTTP link are not included in the single string.

상기 제 1 DB 관리부(144)는 상기 웹 컨텐츠 크롤링부(143)로부터 의심 URL 분석 결과를 저장하고 조회한다.The first DB manager 144 stores and retrieves a suspicious URL analysis result from the web content crawler 143.

상기 가상 머신 제어부(145)는 관리 UI으로부터 가상 머신 복구 요청을 받아 게스트 OS Rever로 복구할 수 있다. 상기 가상 머신 제어부(145)는 관리 UI로부터 가상 머신 복구 요청을 수신 받아 원격에 존재하는 악성코드 수집 시스템 복구(Revert)하고 원격 가상 머신 제어를 위해 VMWare API 사용하며, 가상머신 복구 요청 수신 시 전달 받은 IP 주소를 이용하여, 원격 제어를 수행할 수 있다.The virtual machine controller 145 may receive a virtual machine recovery request from the management UI and recover the guest OS reverberation. The virtual machine controller 145 receives the virtual machine recovery request from the management UI to recover the remote malware collection system and uses the VMWare API to control the remote virtual machine, and received when the virtual machine recovery request is received. Remote control can be performed using the IP address.

상기 F/W 관리부(146)는 관리 UI으로부터 F/W 정책 조회, 변경 제어를 관리할 수 있다. 상기 F/W 관리부(146)는 관리 UI로부터 등록된 수집시스템 정보 수정 요청을 수신하여, 수정 요청에 포함된 수집시스템의 IP주소를 F/W 정책에 반영하고 F/W 설정 파일 변경 후 F/W 제어를 통해 F/W 재시작함으로써, F/W 정책을 수정할 수 있다. 또한, 상기 F/W 관리부(146)는 설치된 F/W에 따라 재시작 기능을 구현함으로써 F/W 제어할 수 있다.The F / W manager 146 may manage F / W policy inquiry and change control from the management UI. The F / W management unit 146 receives the collection system information modification request registered from the management UI, reflects the IP address of the collection system included in the modification request in the F / W policy, and changes the F / W setting file and then changes the F / W setting file. F / W policy can be modified by restarting F / W through W control. In addition, the F / W management unit 146 may control the F / W by implementing a restart function according to the installed F / W.

상기 설정 관리부(147)는 정책관리 UI를 통해 상기 Seed URL 수집부(141), URL 큐관리부(142), 웹 컨텐츠 크롤링부(143)의 설정을 조회하고 변경할 수 있다.The configuration manager 147 may query and change the settings of the Seed URL collector 141, the URL queue manager 142, and the web content crawler 143 through a policy management UI.

상기 수집모듈(150)은 상기 관리모듈(140)로 의심 URL(분석 대상) 정보를 주기적으로 조회하고, 응답 받은 의심 URL을 웹 브라우저를 이용하여 직접 방문 후 악성코드를 수집하며, 수집된 악성코드는 HTTP를 통해 관리 시스템으로 업로드하고 수집 시스템은 VMWare ESX와 의심 URL 방문을 담당하는 게스트 OS로 구성할 수 있다.The collection module 150 periodically queries the suspected URL (analysis target) information with the management module 140, collects malicious code after directly visiting the suspected URL received by using a web browser, and collects the malicious code. Can be uploaded to the management system via HTTP, and the collection system can be configured as VMWare ESX and the guest OS responsible for visiting suspicious URLs.

보다 자세하게 설명하면 도 3에 도시된 바와 같이 상기 수집모듈(150)은 통신관리부(151), Secure FS 관리부(152), URL 로딩 실행부(153), 제 2 DB 관리부(154), 후킹 DLL부(155), 결과 분석부(156), IRP MSG 후커부(157)로 구성될 수 있다.In more detail, as shown in FIG. 3, the collection module 150 includes a communication manager 151, a Secure FS manager 152, a URL loading execution unit 153, a second DB manager 154, and a hooking DLL unit. 155, the result analysis unit 156 and the IRP MSG hooker unit 157 may be configured.

상기 통신관리부(151)는 상기 관리모듈(140)로부터 의심 URL 정보를 주기적으로 HTTP로 전송받는다. The communication manager 151 periodically receives suspicious URL information from the management module 140 in HTTP.

상기 Secure FS 관리부(152)는 Secure FS 파일을 추가, 삭제, 복사, 조회할 수 있다. 상기 Secure FS 관리부(152)는 상기 URL 로딩 실행부(153)로부터 Secure FS 초기화 요청을 수신하고, 생성된 파일이 존재할 경우 상기 통신 관리부를 통해 관리모듈로 전송하며, URL 로딩 실행부(153)로부터 SecureFS초기화 요청 수신받으며, SecureFS 에 생성된 파일이 존재하는지 체크하고, 생성된 파일이 있을 경우 기존 NTFS로 복사 후 업로드할 수 있다.The Secure FS manager 152 may add, delete, copy, and inquire a Secure FS file. The Secure FS management unit 152 receives the Secure FS initialization request from the URL loading execution unit 153, and transmits the generated file to the management module through the communication management unit if the generated file exists, and from the URL loading execution unit 153. Receives SecureFS initialization request, checks whether a file created in SecureFS exists, and if it exists, copy it to existing NTFS and upload it.

상기 URL 로딩 실행부(153)는 상기 Secure FS 관리부(152)의 초기화, URL 로딩 실행, 정보를 공유할 수 있다. 상기 URL 로딩 실행부(153)는 시작 프로그램으로 등록되어 시스템 부팅 시 자동 실행되며, 초기화를 통해 웹브라우저, SecureFS 관리 실행을 담당하고, 실행 중인 웹브라우저에 후킹 DLL 삽입(Injection)한다, 그리고 상기 URL 로딩 실행부(153)는 정보공유를 통해 초기화에서 실행한 웹브라우저와 SecureFS의 프로세스 ID 정보를 상기 IRP MSG 후커부(157)로 전달하고 PID 정보 공유는 미리 정의된 공유 메모리 주소를 이용한다. 그리고 상기 URL 로딩 실행부(153)는 URL 정보 로딩&실행을 통해 상기 관리모듈(140)로부터 의심 URL을 전달받아, 실행 중인 브라우저(IE)에 실행하여 분석 완료 메시지 수신을 위해 Timer 및 이벤트 수신 대기하고 분석 완료 후 분석 URL 정보 저장할 수 있다. 그리고 상기 URL 로딩 실행부(153)는 Timer를 통해 설정된 시간 동안 분석 완료 메시지 수신을 대기하고 타이머 설정 시간 분석 완료 메시지를 수신하지 못했을 경우, 해당 URL 분석 실패로 분석 결과 저장하며, 이벤트 수신을 통해 결과 분석 모듈로부터 URL 분석 완료 메시지 수신 대기할 수 있다.The URL loading execution unit 153 may initialize the Secure FS management unit 152, execute URL loading, and share information. The URL loading execution unit 153 is registered as a startup program and is automatically executed when the system is booted. The URL loading execution unit 153 is responsible for executing a web browser and SecureFS management through initialization, and inserts a hooking DLL into a running web browser. The loading execution unit 153 transfers the process ID information of the web browser and SecureFS executed in the initialization through the information sharing to the IRP MSG hooker unit 157 and the PID information sharing uses a predefined shared memory address. In addition, the URL loading execution unit 153 receives a suspicious URL from the management module 140 through URL information loading & execution and executes it on a running browser IE to wait for a timer and an event to receive an analysis completion message. After the analysis is completed, the analysis URL information can be saved. When the URL loading execution unit 153 waits to receive the analysis completion message for a time set through the timer and fails to receive the timer setting time analysis completion message, the URL loading execution unit 153 stores the analysis result as a corresponding URL analysis failure, and receives the result through event reception. A URL analysis complete message may be received from the analysis module.

상기 제 2 DB 관리부(154)는 상기 URL 로딩 실행부(153)로부터 분석된 결과를 저장, 조회할 수 있으며, 상기 후킹 DLL부(155)는 상기 URL 로딩 실행부(153)로부터 출력된 스크립트 함수 및 COM Object를 후킹할 수 있다. The second DB manager 154 may store and search a result analyzed by the URL loading execution unit 153, and the hooking DLL unit 155 may output a script function output from the URL loading execution unit 153. And COM objects can be hooked.

상기 결과 분석부(156)는 상기 후킹 DLL부(155)로부터 후킹된 데이터를 수신받아 페이지 리다이렉션 및 악성 Active X를 분석할 수 있다. 상기 결과 분석부(156)는 후킹 결과 분석을 통해 후킹 DLL부로터 후킹 결과를 수신하고 CoCreateinstance API 후킹 결과는 CLSID 값을 취약 ActiveX 여부 분석으로 전달하며, Eval, Document.write, Document.writeln, appendChild 후킹 결과는 페이지 리다이렉션 분석으로 전달할 수 있다. 그리고 상기 결과 분석부(156)는 취약 ActiveX 여부 분석을 통해 상기 후킹 DLL부(155)로부터 수신한 CLSID와 killbit리스트의 CLSID 비교하며, 동일 CLSID를 보유한 경우 악성 URL로 판단하고, 분석 결과 이벤트 생성 후 전송할 수 있다. 그리고 상기 결과 분석부(156)는 페이지 리다이렉션 분석을 통해 후킹 DLL부(155)로부터 수신한 동적 생성 스크립트에 iframe 포함 여부를 분석하고, iframe이 포함된 경우 악성 URL로 판단하고, 분석 결과 이벤트 생성 후 전송할 수 있다.The result analyzer 156 may receive the hooked data from the hooking DLL unit 155 to analyze page redirection and malicious Active X. The result analysis unit 156 receives the hooking result from the hooking DLL unit through the hooking result analysis, and the CoCreateinstance API hooking result delivers the CLSID value to the vulnerable ActiveX analysis and hooks Eval, Document.write, Document.writeln, and appendChild. The results can be passed to page redirection analysis. And the result analysis unit 156 compares the CLSID received from the hooking DLL unit 155 and the CLSID of the killbit list by analyzing the vulnerable ActiveX, and if it has the same CLSID is determined to be a malicious URL, after analysis event generation Can transmit The result analysis unit 156 analyzes whether the iframe is included in the dynamic generation script received from the hooking DLL unit 155 through page redirection analysis, and determines that the iframe is included as a malicious URL. Can transmit

상기 IRP MSG 후커부(157)는 IRP 후커를 통해 IRP MSG 수신받아 분석하고, PID를 관리할 수 있다. 이때, 상기 IRP MSG 후커부(157)는 Filter Manager로부터 IRP 메시지를 수신받을 수 있다. 그리고 상기 IRP MSG 후커부(157)는 수신받은 IRP 메시지 분석을 통해 IRP 메시지의 PID 값과 PID 매니저에서 관리하는 브라우저, SecureFS 관리 PID 리스트와 비교하고 브라우저로부터의 파일 생성 IRP 메시지는 SecureFS로 리다이렉하며, 브라우저로부터의 파일 읽기 IRP 메시지는 NTFS IRP 메시지는 기존 NTFS의 파일 읽기만 허용할 수 있다.The IRP MSG hooker 157 may receive and analyze the IRP MSG through the IRP hooker and manage the PID. At this time, the IRP MSG hooker 157 may receive an IRP message from the Filter Manager. The IRP MSG hooker unit 157 compares the PID value of the IRP message with the browser managed by the PID manager and the SecureFS management PID list by analyzing the received IRP message, and redirects the file generation IRP message from the browser to SecureFS. For example, reading file from browser IRP message, NTFS IRP message can only read file of existing NTFS.

상기 악성코드 자동 분석 시스템(170)은 악성코드 자동 분석 시스템은 수집된 악성코드 정보를 주기적으로 전달 받아 정적/동적 분석을 수행할 수 있다. 또한, 상기 악성코드 자동 분석 시스템(170)은 분석된 정보를 악성코드 DB(160)에 전송한다.The automatic malicious code analysis system 170 may receive the collected malicious code information periodically and perform static / dynamic analysis. In addition, the automatic malicious code analysis system 170 transmits the analyzed information to the malicious code DB (160).

웹/이메일을 통해 유포되는 악성코드 자동 관리방법Automated management of malware spread through web / email

도 4 내지 도 6을 참조하여 설명하면, 본 발명의 실시예에 따른 웹/이메일을 통해 유포되는 악성코드 자동 관리방법은 앞서 설명한 도 1 내지 도 3과 같은 구성으로 이루어진 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템(100)을 통한 관리 방법으로 이하 중복되는 설명은 생략한다.4 to 6, the method for automatically managing malicious code distributed through web / email according to an embodiment of the present invention is distributed through web / email configured as shown in FIGS. 1 to 3. The redundant description will be omitted below as a management method through the automatic malicious code management system 100.

먼저, 감염 PC 자동 분석 시스템(110)이 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행한다.(S100)First, the infected PC automatic analysis system 110 is installed on the malware PC to detect infected malware information and malware infection paths distributed through the web / email (S100).

다음으로 악성코드 경유/유포지 탐지 시스템(120)이 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지한다.(S110)Next, the malicious code via / distribution detection system 120 detects the via / distribution using the malicious code via / distribution detection signature (S110).

다음으로 관리모듈(140) 및 수집모듈(150)을 구비한 악성코드 자동 수집 시스템(130)이 상기 감염 PC 자동 분석 시스템(110)으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는다.(S120) 이때, 악성코드 자동 수집 시스템(130)이 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계는 도 5에 도시된 바와 같이, (a)상기 악성코드 경유/유포지 탐지 시스템(120)이 상기 악성코드 자동 수집 시스템(130)에 악성 웹사이트 방문을 요청하는 단계, (b) 상기 악성코드 수집 시스템(130)은 해당 URL 조회하고 그 결과를 반환하여 상기 악성코드 경유/유포지 탐지 시스템(120)에 방문 요청을 응답하는 단계, (c) 상기 악성코드 자동 수집 시스템(130)의 관리모듈(140)은 상기 수집모듈(150)에 방문처리 결과를 전송하는 단계 및 (d) 상기 악성코드 경유/유포지 탐지 시스템(120)은 상기 악성코드 자동 수집 시스템에 방문결과를 요청하는 단계로 이루어질 수 있다.Next, the automatic malicious code collection system 130 having the management module 140 and the collection module 150 receives the malicious code infection path collected from the automatic PC analysis system 110 and passes the malware code / In response to the distribution site detection system 120 interworked with each other, the detected gasoline / distribution list and unanalyzed list are transmitted. (S120) At this time, the automatic malicious code collection system 130 is connected to the gasoline / distribution site detection system 120 with the malicious code. Receiving the transmission and distribution list and the un-analyzed list detected in cooperation with each other is as shown in Figure 5, (a) the malicious code via / dissemination detection system 120 is the automatic malware collection system 130 Requesting a visit to a malicious website, (b) the malicious code collection system 130 queries the URL and returns the result to request the visit via the malicious code / distribution detection system 120. In response, (c) the management module 140 of the automatic malicious code collection system 130 transmits the visit processing result to the collection module 150, and (d) the route through the malicious code / distribution detection system ( 120 may be a step of requesting a visit result to the automatic malicious code collection system.

다음으로 악성코드 자동 분석 시스템(170)이 상기 악성코드 자동 수집 시스템(130)과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행한다.(S130) 이때, 상기 악성코드 자동 분석 시스템(170)이 상기 악성코드 자동 수집 시스템(130)과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계는 (a) 상기 악성코드 자동 분석 시스템(170)은 의심 URL 분석하는 단계, (b) 의심 URL 분석 결과를 DB에 저장하는 단계, (c) 생성파일이 존재하는지 여부를 판단하는 단계, (d) 생성파일 존재시 생성 파일 및 파일 정보를 저장하는 단계, (e) 생성 파일 정보를 XML 파일로 작성하는 단계 및 (f) XML 파일로 작성된 수집 파일을 상기 분석하는 단계로 이루어질 수 있다.Next, the automatic malicious code analysis system 170 interoperates with the automatic malicious code collection system 130 and periodically receives the collected and collected malicious code information, and performs static or dynamic analysis (S130). The automatic malicious code analysis system 170 interoperates with the automatic malicious code collection system 130 and periodically receives the collected collected malicious code information, and performs static or dynamic analysis by (a) automatically detecting the malicious code. The analysis system 170 analyzes the suspicious URL, (b) storing the suspicious URL analysis result in a DB, (c) determining whether a generated file exists, (d) a generated file when the generated file exists, and Storing the file information, (e) creating the generated file information in an XML file, and (f) analyzing the collected file created in the XML file.

이처럼, 본 발명은 감염 PC 자동 분석 시스템(110)으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템(120)과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈(140) 및 상기 관리모듈(140)로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈(150)을 구비하는 악성코드 자동 수집 시스템(130)을 포함함으로써, 치명적인 위협을 줄 수 있는 악성코드를 조기에 수집하고, 분석된 결과로부터 대응 시그니처를 생성/배포하여 사이버 공격을 사전에 예방할 수 있다.As such, the present invention receives the malicious code infection path collected from the automatic PC analysis system 110, and passes through the distribution / distribution list and un-analyzed list detected by interworking with the malicious code via / distribution detection system 120. By including an automatic malicious code collection system 130 having a management module 140 for receiving and storing the management module 140 and a collection module 150 for collecting the generated file and file information transmitted from the management module 140, Malicious code that can pose threats can be collected early, and response signatures can be generated / distributed from the analyzed results to prevent cyber attacks in advance.

이상에서 설명한 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 당해 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 수 있을 것이다.Although the preferred embodiments of the present invention described above have been described in detail, those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom.

따라서, 본 발명의 권리 범위는 개시된 실시예에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변경 및 개량 형태 또는 본 발명의 권리 범위에 속하는 것으로 보아야 할 것이다. Accordingly, the scope of the present invention should not be limited to the disclosed embodiments but should be regarded as belonging to various modifications and improvements of those skilled in the art using the basic concept of the present invention as defined in the following claims, or the scope of the present invention. .

100 : 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템
110 : 감염 PC 자동 분석 시스템
120 : 악성코드 경유/유포지 탐지 시스템
130 : 악성코드 자동 수집 시스템
140 : 관리모듈 150 : 수집모듈
160 : 악성코드 DB
170 : 악성코드 자동 분석 시스템100: Automatically manage malware distributed through web / email
110: Automatic PC Analysis System
120: malicious code via / dissemination detection system
130: Automatic malware collection system
140: management module 150: collection module
160: malware DB
170: Automatic malware analysis system

Claims (7)

악성코드 자동 관리 시스템에 있어서,
악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 감염 PC 자동 분석 시스템;
악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 악성코드 경유/유포지 탐지 시스템;
상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템; 및
상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 악성코드 자동 분석 시스템;
을 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템.
In the automatic malware management system,
Automatically infected PC analysis system installed on the malware PC to detect infected malware information and malicious code infection route distributed through web / email;
A malware via / distribution detection system that detects via / distribution using a malware via / distribution detection signature;
The management module and the management for receiving and storing the malicious code infection path collected from the automatic PC analysis system for infection, and receiving and storing the detected gasoline / distribution list and the unanalyzed list in cooperation with the malicious code via / distribution detection system. Automatic malware collection system having a collection module for collecting the generated file and file information transmitted from the module; And
An automatic malicious code analysis system which receives the malicious code information collected and managed in association with the automatic malicious code collection system and performs static or dynamic analysis;
Automatic malware management system that is distributed via a web / email, characterized in that it comprises a.
제 1항에 있어서,
상기 관리모듈은,
악성코드 자동 수집을 위해 EML 로그를 분석하고, 검색엔진을 연동하고, URL 블랙 리스트를 수집하는 Seed URL 수집부;
상기 URL 중복과 통계를 관리하는 URL 큐관리부;
HTTP Request 생성 및 Response 다운로드, HTML Document 추출 및 분석, 스크립트 난독화를 검사하는 웹 컨텐츠 크롤링부; 및
상기 웹 컨텐츠 크롤링부로부터 의심 URL 분석 결과를 저장하고 조회하는 제 1 DB 관리부;
를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템.
The method of claim 1,
The management module,
Seed URL collection unit for analyzing the EML log, integrating the search engine, and collecting the URL black list for automatic collection of malicious code;
A URL queue manager for managing the URL duplication and statistics;
A web content crawler that checks HTTP request generation and response download, HTML document extraction and analysis, and script obfuscation; And
A first DB manager that stores and retrieves a suspicious URL analysis result from the web content crawler;
Automatic malware management system that is distributed via a web / email, characterized in that it comprises a.
제 2항에 있어서,
상기 관리모듈은,
관리 UI으로부터 가상 머신 복구 요청을 받아 게스트 OS Rever로 복구하는 가상 머신 제어부;
관리 UI으로부터 F/W 정책 조회, 변경 제어를 관리하는 F/W 관리부; 및
정책관리 UI를 통해 상기 Seed URL 수집부, URL 큐관리부, 웹 컨텐츠 크롤링부의 설정을 조회하고 변경하는 설정관리부;
를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템.
The method of claim 2,
The management module,
A virtual machine controller configured to receive a virtual machine recovery request from the management UI and restore the virtual machine to a guest OS Rever;
An F / W management unit that manages F / W policy inquiry and change control from the management UI; And
A setting management unit for viewing and changing the settings of the Seed URL collecting unit, the URL queue managing unit, and the web content crawling unit through a policy management UI;
Automatic malware management system that is distributed via a web / email, characterized in that it comprises a.
제 1항에 있어서,
상기 수집모듈은,
상기 관리모듈로부터 의심 URL 정보를 주기적으로 HTTP로 전송받는 통신관리부;
Secure FS 파일을 추가, 삭제, 복사, 조회하는 Secure FS 관리부;
상기 Secure FS 관리부의 초기화, URL 로딩 실행, 정보를 공유하는 URL 로딩 실행부;
상기 URL 로딩 실행부로부터 분석된 결과를 저장, 조회하는 제 2 DB 관리부;
상기 URL 로딩 실행부로부터 출력된 스크립트 함수 및 COM Object를 후킹하는 후킹 DLL부;
상기 후킹 DLL부로부터 후킹된 데이터를 수신받아 페이지 리다이렉션 및 악성 Active X를 분석하는 결과 분석부; 및
IRP 후커를 통해 IRP MSG 수신받아 분석하고, PID를 관리하는 IRP MSG 후커부;
를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템.
The method of claim 1,
The collection module,
A communication manager which periodically receives suspicious URL information from the management module through HTTP;
A Secure FS management unit that adds, deletes, copies, and searches Secure FS files;
An initialization of the Secure FS management unit, an URL loading execution unit, and a URL loading execution unit sharing information;
A second DB manager which stores and retrieves the result analyzed by the URL loading execution unit;
A hooking DLL unit hooking a script function and a COM object output from the URL loading execution unit;
A result analysis unit which receives the hooked data from the hooking DLL unit and analyzes page redirection and malicious Active X; And
IRP MSG hooker receiving and analyzing the IRP MSG through the IRP hooker, PID management;
Automatic malware management system that is distributed via a web / email, characterized in that it comprises a.
악성코드 자동 관리방법에 있어서,
감염 PC 자동 분석 시스템이 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 단계;
악성코드 경유/유포지 탐지 시스템이 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 단계;
관리모듈 및 수집모듈을 구비한 악성코드 자동 수집 시스템이 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계; 및
악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계;
를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법.
In the malicious code automatic management method,
Installing an infected PC automatic analysis system on the malware PC to detect infected malware information and malware infection paths distributed through web / email;
Detecting, via the malicious code via / distribution detection system, using the malware via / distribution detection signature;
The automatic malicious code collection system having a management module and a collection module receives the malicious code infection path collected from the automatic PC analysis system, and the diesel / distribution list detected through interworking with the malicious code via / distribution detection system; Receiving unanalyzed lists; And
A step in which an automatic malicious code analysis system interoperates with the automatic malicious code collection system and periodically receives and manages collected malicious code information, and performs static or dynamic analysis;
Automatically manage malware distributed via a web / email, characterized in that it comprises a.
제 5항에 있어서,
악성코드 자동 수집 시스템이 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계는,
(a)상기 악성코드 경유/유포지 탐지 시스템이 상기 악성코드 자동 수집 시스템에 악성 웹사이트 방문을 요청하는 단계;
(b) 상기 악성코드 수집 시스템은 해당 URL 조회하고 그 결과를 반환하여 상기 악성코드 경유/유포지 탐지 시스템에 방문 요청을 응답하는 단계;
(c) 상기 악성코드 자동 수집 시스템의 관리모듈은 상기 수집모듈에 방문처리 결과를 전송하는 단계; 및
(d) 상기 악성코드 경유/유포지 탐지 시스템은 상기 악성코드 자동 수집 시스템에 방문결과를 요청하는 단계;
로 이루어지는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법.
6. The method of claim 5,
The automatic malicious code collection system is linked with the malicious code via / dissemination detection system and receiving the detected via / dissemination list and unanalyzed list,
(a) requesting a malicious website visit to the automatic malicious code collection system by the malicious code route / distribution detection system;
(b) the malicious code collection system querying the corresponding URL and returning the result to respond to the visit request to the malicious code route / distribution detection system;
(c) transmitting, by the management module of the automatic malicious code collection system, a visit processing result to the collection module; And
(d) requesting a result of the visit to the malicious code automatic collection system by the malicious code route / distribution detection system;
Automatic malware management method that is distributed through the web / email, characterized in that consisting of.
제 5항에 있어서,
악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계는,
(a) 상기 악성코드 자동 분석 시스템은 의심 URL 분석하는 단계;
(b) 의심 URL 분석 결과를 DB에 저장하는 단계;
(c) 생성파일이 존재하는지 여부를 판단하는 단계;
(d) 생성파일 존재시 생성 파일 및 파일 정보를 저장하는 단계;
(e) 생성 파일 정보를 XML 파일로 작성하는 단계; 및
(f) XML 파일로 작성된 수집 파일을 상기 분석하는 단계;
로 이루어지는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법.6. The method of claim 5,
The automatic malicious code analysis system interoperates with the automatic malicious code collection system and periodically receives the collected collected malicious code information to perform static or dynamic analysis.
(a) the malicious code automatic analysis system analyzing suspicious URLs;
(b) storing the suspected URL analysis result in a DB;
(c) determining whether a generated file exists;
(d) storing the generation file and file information when the generation file exists;
(e) creating the generated file information into an XML file; And
(f) analyzing the collected file created as an XML file;
Automatic malware management method that is distributed through the web / email, characterized in that consisting of.
KR1020100131412A 2010-12-21 2010-12-21 Web / email for distributing malicious code through the automatic control system and how to manage them KR101234066B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100131412A KR101234066B1 (en) 2010-12-21 2010-12-21 Web / email for distributing malicious code through the automatic control system and how to manage them

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100131412A KR101234066B1 (en) 2010-12-21 2010-12-21 Web / email for distributing malicious code through the automatic control system and how to manage them

Publications (2)

Publication Number Publication Date
KR20120070025A true KR20120070025A (en) 2012-06-29
KR101234066B1 KR101234066B1 (en) 2013-02-15

Family

ID=46687983

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100131412A KR101234066B1 (en) 2010-12-21 2010-12-21 Web / email for distributing malicious code through the automatic control system and how to manage them

Country Status (1)

Country Link
KR (1) KR101234066B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101400680B1 (en) * 2013-03-12 2014-05-29 주식회사 윈스 System of automatically collecting malignant code
KR101401949B1 (en) * 2012-11-06 2014-05-30 한국인터넷진흥원 A System and a Method for Periodically checking spread and pass sites of Malicious Code
KR20150064331A (en) * 2013-12-03 2015-06-11 주식회사 케이티 Device for monitoring web server and analysing malicious code
WO2016088937A1 (en) * 2014-12-03 2016-06-09 Korea Internet & Security Agency Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and api flow-based dynamic analysis
KR20180076174A (en) * 2016-12-27 2018-07-05 한국인터넷진흥원 A method and apparatus for detecting malicious scripts based on mobile device

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100688604B1 (en) * 2004-11-18 2007-03-02 고려대학교 산학협력단 Apparatus and method for intercepting malicious executable code in the network
KR20100070623A (en) * 2008-12-18 2010-06-28 한국인터넷진흥원 System for collecting / analysing bot and method therefor

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101401949B1 (en) * 2012-11-06 2014-05-30 한국인터넷진흥원 A System and a Method for Periodically checking spread and pass sites of Malicious Code
KR101400680B1 (en) * 2013-03-12 2014-05-29 주식회사 윈스 System of automatically collecting malignant code
KR20150064331A (en) * 2013-12-03 2015-06-11 주식회사 케이티 Device for monitoring web server and analysing malicious code
WO2016088937A1 (en) * 2014-12-03 2016-06-09 Korea Internet & Security Agency Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and api flow-based dynamic analysis
US9680848B2 (en) 2014-12-03 2017-06-13 Korea Internet & Security Agency Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and API flow-based dynamic analysis
KR20180076174A (en) * 2016-12-27 2018-07-05 한국인터넷진흥원 A method and apparatus for detecting malicious scripts based on mobile device

Also Published As

Publication number Publication date
KR101234066B1 (en) 2013-02-15

Similar Documents

Publication Publication Date Title
Milajerdi et al. Poirot: Aligning attack behavior with kernel audit records for cyber threat hunting
JP7084778B2 (en) Systems and methods for cloud-based detection, exploration and elimination of targeted attacks
US9596255B2 (en) Honey monkey network exploration
US8499283B2 (en) Detection of scripting-language-based exploits using parse tree transformation
Sukwong et al. Commercial antivirus software effectiveness: an empirical study
Mutchler et al. A large-scale study of mobile web app security
Egele et al. Defending browsers against drive-by downloads: Mitigating heap-spraying code injection attacks
Oberheide et al. CloudAV: N-Version Antivirus in the Network Cloud.
KR101514984B1 (en) Detecting system for detecting Homepage spreading Virus and Detecting method thereof
Feng et al. Understanding and securing device vulnerabilities through automated bug report analysis
Kapravelos et al. Escape from monkey island: Evading high-interaction honeyclients
Grégio et al. Toward a taxonomy of malware behaviors
Chen et al. WebPatrol: Automated collection and replay of web-based malware scenarios
CN105491053A (en) Web malicious code detection method and system
CN103279710B (en) Method and system for detecting malicious codes of Internet information system
WO2012154658A2 (en) Methods, systems, and computer readable media for efficient computer forensic analysis and data access control
US20110219454A1 (en) Methods of identifying activex control distribution site, detecting security vulnerability in activex control and immunizing the same
Hsu et al. Browserguard: A behavior-based solution to drive-by-download attacks
KR101080953B1 (en) System and method for detecting and protecting webshell in real-time
Cao et al. JShield: Towards real-time and vulnerability-based detection of polluted drive-by download attacks
KR101234066B1 (en) Web / email for distributing malicious code through the automatic control system and how to manage them
JP5752642B2 (en) Monitoring device and monitoring method
CN108351941B (en) Analysis device, analysis method, and computer-readable storage medium
KR100961149B1 (en) Method for detecting malicious site, method for gathering information of malicious site, apparatus, system, and recording medium having computer program recorded
CN105791250B (en) Application program detection method and device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee