KR20130077184A - Homepage infected with a malware detecting device and method - Google Patents
Homepage infected with a malware detecting device and method Download PDFInfo
- Publication number
- KR20130077184A KR20130077184A KR1020110145760A KR20110145760A KR20130077184A KR 20130077184 A KR20130077184 A KR 20130077184A KR 1020110145760 A KR1020110145760 A KR 1020110145760A KR 20110145760 A KR20110145760 A KR 20110145760A KR 20130077184 A KR20130077184 A KR 20130077184A
- Authority
- KR
- South Korea
- Prior art keywords
- tag
- file
- infected
- web source
- homepage
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
본 발명은 악성코드에 감염된 홈페이지 탐지 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting homepage infected with malware.
악성코드(malware)는 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭이다. 과거에는 디스크 복제 등 저장매체를 통해 악성코드가 전파되었으나 최근에는 네트워크가 발달함에 따라 이메일이나 웹사이트를 통해 악성코드에 감염되는 경우가 증가하고 있다.Malware is a generic term for all software that can harm your computer. In the past, malicious code has been spread through storage media such as disk cloning, but recently, as the network develops, the number of malicious codes has been increased through e-mail or websites.
특히, 해커들은 웹사이트의 홈페이지를 해킹한 후 악성코드를 설치하여, 사용자들이 해당 홈페이지에 접속하면 사용자의 컴퓨터가 악성코드에 감염되도록 한다. 컴퓨터가 악성코드에 감염되면 컴퓨터의 성능이 저하될 뿐만 아니라 개인 정보가 유출될 위험도 있기 때문에 홈페이지가 악성코드에 감염되었는지를 판별할 수 있는 방법이 필요하다.In particular, hackers hack a website's homepage and install malicious code so that when a user accesses the homepage, the user's computer is infected with the malware. If a computer is infected with malware, not only the performance of the computer will be degraded, but also personal information may be leaked. Therefore, a method for determining whether the homepage is infected with malware is necessary.
본 발명이 해결하고자 하는 과제는 홈페이지가 악성코드에 감염되었는지를 판별할 수 있는 장치 및 방법을 제공하는 것이다.The problem to be solved by the present invention is to provide an apparatus and method for determining whether the homepage is infected with malware.
본 발명의 제1 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계, 상기 웹소스에 포함된 클래스 아이디(classid) 태그값과 미리 저장된 취약점 클래스 아이디 태그값들을 비교하는 단계, 및 상기 웹소스에 포함된 클래스 아이디 태그값과 상기 취약점 클래스 아이디 태그값이 일치하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.The method for detecting a home page infected with malicious code according to the first embodiment of the present invention includes downloading a web source from a home page, class ID tag values and prestored vulnerability class ID tag values included in the web source. And comparing the class ID tag value included in the web source with the vulnerability class ID tag value, and determining that the homepage is infected with a malicious code.
본 발명의 제2 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계. 상기 웹소스에 삽입된 파일을 다운로드하는 단계, 상기 파일의 헤더값과 미리 저장된 정상 파일의 헤더값을 비교하는 단계, 및 상기 파일의 헤더값과 상기 정상 파일의 헤더값이 일치하지 않는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.The method for detecting a home page infected with a malicious code according to a second embodiment of the present invention includes downloading a web source from a home page. Downloading a file inserted into the web source, comparing a header value of the file with a header value of a normal file previously stored, and if the header value of the file does not match the header value of the normal file, the homepage And determining that it is infected with malware.
본 발명의 제3 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계, 상기 웹소스에 포함된 아이프레임(iframe) 태그 또는 이미지(img) 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용되었는지를 확인하는 단계, 및 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용된 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.The method for detecting a home page infected with a malicious code according to a third embodiment of the present invention includes downloading a web source from a home page, an iframe tag or an image tag included in the web source, stored in advance. Checking whether the tag is used as a tag size pattern, and determining that the homepage is infected with a malicious code when the iframe tag or the image tag is used as a pre-stored abnormal tag size pattern.
본 발명의 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계, 상기 웹소스가 미리 저장된 악성 쉘코드들을 포함하는지 확인하는 단계, 및 상기 웹소스가 상기 악성 쉘코드를 포함하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다. According to a fourth embodiment of the present invention, there is provided a method for detecting a home page infected with malicious code, the method including downloading a web source from a home page, checking whether the web source includes pre-stored malicious shell codes, and the web source is If it contains a malicious shell code includes the step of determining that the home page is infected with malware.
본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 홈페이지로부터 웹소스를 다운로드하는 단계, 상기 웹소스에 파일이 삽입된 경우 상기 파일을 다운로드하는 단계, 상기 웹소스가 클래스 아이디(classid) 태그를 포함하는 경우 상기 웹소스에 포함된 클래스 아이디 태그값과 미리 저장된 취약점 클래스 아이디 태그값들을 비교하는 단계, 상기 파일의 헤더값과 미리 저장된 정상 파일의 헤더값을 비교하는 단계, 상기 웹소스가 아이프레임(iframe) 태그 또는 이미지(img) 태그를 포함하는경우 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용되었는지를 확인하는 단계, 상기 웹소스가 미리 저장된 악성 쉘코드들을 포함하는지 확인하는 단계, 및 상기 웹소스에 포함된 클래스 아이디 태그값과 상기 취약점 클래스 아이디 태그값이 일치하는 경우, 상기 파일의 헤더값과 상기 정상 파일의 헤더값이 일치하지 않는 경우, 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용된 경우, 또는 상기 웹소스가 상기 악성 쉘코드를 포함하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함한다.A method for detecting a home page infected with a malicious code according to a fifth embodiment of the present invention includes the steps of downloading a web source from a home page, downloading the file when a file is inserted into the web source, and the web source is a class ID. comparing a class ID tag value included in the web source with a prestored vulnerability class ID tag value when comparing a classid tag, comparing a header value of the file with a header value of a normal file stored in advance; If the web source includes an iframe tag or an img tag, checking whether the iframe tag or image tag is used as a pre-stored abnormal tag size pattern, and the pre-stored malicious shellcode Verifying that it contains the data, and the class ID tag value included in the web source. And the vulnerability class ID tag value match, the header value of the file and the header value of the normal file do not match, the iframe tag or image tag is used as a pre-stored abnormal tag size pattern, or And determining that the home page is infected with malicious code when the web source includes the malicious shell code.
본 발명의 실시예에 따른 악성코드에 감염된 홈페이지 탐지장치는 홈페이지로부터 웹소스를 다운로드하거나 또는 상기 웹소스에 삽입된 파일을 다운로드하는 다운로드부, 취약점 클래스 아이디(classid) 태그값, 정상 파일 헤더값, 비정상 아이프레임(iframe) 태그 및 이미지(img) 태그 사이즈 패턴, 및 악성 쉘 코드 중 적어도 하나가 저장된 데이터베이스, 상기 웹소스로부터 클래스 아이디 태그를 검색하는 클래스 아이디 태그 검색부, 상기 웹소스로부터 파일 헤더값을 검색하는 파일 헤더값 검색부, 상기 웹소스로부터 아이프레임 태그, 또는 이미지 태그를 검색하는 아이프레임 및 이미지 태그 검색부, 및 상기 웹소스로부터 상기 악성 쉘코드를 검색하여 그 결과에 따라 상기 홈페이지가 악성 코드에 감염되었는지를 판별하는 악성 쉘코드 검색부를 포함하는 검색부, 및 상기 클래스 아이디 태그의 값과 상기 취약점 클래스 아이디 태그값, 상기 파일 헤더값과 상기 정상 파일 헤더값을 비교하고, 상기 아이프레임 태그 및 이미지 태그가 상기 비정상 아이프레임 태그 및 이미지 태그 사이즈 패턴으로 사용되었는지를 확인하여, 그 비교 및 확인 결과에 따라 상기 홈페이지가 악성 코드에 감염되었는지를 각각 판별하는 비교판별부를 포함한다.The homepage detection apparatus infected with malicious code according to an embodiment of the present invention includes a download unit for downloading a web source from a home page or downloading a file inserted into the web source, a vulnerability class ID tag value, a normal file header value, A database in which at least one of an abnormal iframe tag and an img tag size pattern, and malicious shell code are stored, a class ID tag search unit for searching for a class ID tag from the web source, and a file header value from the web source A file header value search unit for searching for an iframe and an image tag search unit for searching an iframe tag or an image tag from the web source, and a search for the malicious shellcode from the web source. Malicious shellcode search unit to determine whether the malware is infected The search unit and the value of the class ID tag and the vulnerability class ID tag value, the file header value and the normal file header value, the iframe tag and image tag is the abnormal iframe tag and image tag size And a comparison discrimination unit for determining whether the home page is infected with malicious code according to the comparison and the verification result.
본 발명의 악성코드에 감염된 홈페이지 탐지 장치 및 방법에 의하면,According to the homepage detection device and method infected with the malware of the present invention,
탐지하고자 하는 홈페이지에 접속하지 않고 홈페이지의 웹소스를 다운로드하여 특정 패턴(또는 규칙)을 검출하고, 검출된 특정 패턴이 악성코드가 설치된 경우의 패턴과 일치하는 경우 해당 홈페이지가 악성코드에 감염된 것으로 판별할 수 있다.It detects a specific pattern (or rule) by downloading the web source of the homepage without accessing the homepage to be detected and determines that the homepage is infected with malware when the detected specific pattern matches the pattern when the malicious code is installed. can do.
도 1은 본 발명의 제1 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 2는 본 발명의 제2 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 제3 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 5는 본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 6은 본 발명의 실시예에 따른 악성코드에 감염된 홈페이지 탐지 장치를 설명하기 위한 블록도이다.1 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a first embodiment of the present invention.
2 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a second embodiment of the present invention.
3 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a third embodiment of the present invention.
4 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a fourth embodiment of the present invention.
5 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a fifth embodiment of the present invention.
6 is a block diagram illustrating an apparatus for detecting a homepage infected with a malicious code according to an embodiment of the present invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "electrically connected" with another part in between .
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, without excluding other components unless specifically stated otherwise. Also, the terms " part, "" module," and " module ", etc. in the specification mean a unit for processing at least one function or operation and may be implemented by hardware or software or a combination of hardware and software have.
도 1은 본 발명의 제1 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.1 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a first embodiment of the present invention.
도 1을 참조하면, 본 발명의 제1 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 110). Referring to FIG. 1, in the method for detecting a home page infected with a malicious code according to a first embodiment of the present invention, a web source is first downloaded from a home page (step 110).
그 다음, 다운로드된 웹소스에 클래스 아이디 태그(<classid=)가 존재하는지 검색한다(단계 120). Then, it is searched whether a class ID tag (<classid =) exists in the downloaded web source (step 120).
검색결과, 클래스 아이디 태그가 존재하지 않는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 130) 프로세스를 종료한다. 클래스 아이디 태그가 존재하는 경우에는 검색된 클래스 아이디 태그값이 미리 저장된 취약점 클래스 아이디 태그값과 일치하는지를 비교한다(단계 140). 해커들은 웹 페이지 내에 취약점이 존재하는 클래스 아이디를 삽입하여 악성코드를 설치하기 때문에, 웹소스에 이러한 취약점 클래스 아이디 태그가 존재하는 경우에는 해당 홈페이지가 악성코드에 감염되었을 가능성이 높다. 따라서 웹소스에 취약점 클래스 아이디 태그가 존재하는지에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별할 수 있다. 취약점 클래스 아이디 태그값은 데이터베이스 등에 미리 저장될 수 있다. 취약점 클래스 아이디 리스트는 아래의 <표 1>과 같다.If the class ID tag does not exist as a result of the search, it is determined that the homepage is not infected with the malicious code (step 130), and the process ends. If the class ID tag exists, it is compared whether the retrieved class ID tag value matches a prestored vulnerability class ID tag value (step 140). Since hackers install malicious code by inserting class IDs with vulnerabilities in web pages, if the vulnerability class ID tag exists in the web source, the home page is likely infected with malware. Therefore, it is possible to determine whether the homepage is infected with malicious code based on whether the vulnerability class ID tag exists in the web source. The vulnerability class ID tag value may be stored in advance in a database. The list of vulnerability class IDs is shown in Table 1 below.
웹소스로부터 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값을 비교한 결과 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값이 일치하지 않는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 130) 프로세스를 종료한다. 한편, 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값이 일치하는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별한다(단계 150).When the class ID tag value retrieved from the web source is compared with the vulnerability class ID tag value, if the detected class ID tag value and the vulnerability class ID tag value do not match, the homepage is determined to be not infected with malware (step 130). Terminate the process. On the other hand, if the searched class ID tag value and the vulnerability class ID tag value match, it is determined that the homepage is infected with malicious code (step 150).
도 2는 본 발명의 제2 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.2 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a second embodiment of the present invention.
도 2를 참조하면, 본 발명의 제2 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 210).Referring to FIG. 2, in the method for detecting a home page infected with a malicious code according to a second embodiment of the present invention, a web source is first downloaded from a home page (step 210).
그 다음, 웹소스에 삽입된 파일을 다운로드한다(단계 220). 파일은 미디어 파일과 PE(Portable Executable) 파일을 포함한다. 미디어 파일은 확장자가 jpg, gif, swf 등인 파일들을 포함하고, PE 파일은 확장자가 exe 인 파일을 포함한다. Next, the file inserted in the web source is downloaded (step 220). The file includes a media file and a portable executable file. Media files include files with extensions jpg, gif, swf, and so on, and PE files include files with extension exe.
다음으로, 파일의 헤더(header)값과 정상 파일의 헤더값을 비교한다(단계 230). 해커들은 앞서 예시한 바와 같은 jpg, gif, swf, exe 등의 파일 확장자를 갖는 파일들을 웹 페이지에 삽입하는데 이러한 파일들은 실제로는 악성코드 링크 등을 포함하는 경우가 많다. 따라서 웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하지 않는 경우에 해당 홈페이지가 악성코드에 감염된 것으로 판별할 수 있다. 정상 파일의 헤더값은 데이터베이스 등에 미리 저장될 수 있다. jpg, gif, swf, exe 등의 확장자를 갖는 정상 파일의 헤더값은 아래의 <표 2>에 개시되어 있다.Next, the header value of the file is compared with the header value of the normal file (step 230). Hackers insert files with file extensions such as jpg, gif, swf, and exe into the web page as described above, and these files often include malware links. Therefore, if the header value of the file inserted into the web source and the header value of the normal file do not match, it can be determined that the home page is infected with malware. The header value of the normal file may be stored in advance in a database or the like. Header values of a normal file having an extension of jpg, gif, swf, exe, etc. are disclosed in Table 2 below.
웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 240) 프로세스를 종료한다. 한편, 웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하지 않는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별한다(단계 250). If the header value of the file inserted into the web source and the header value of the normal file match, it is determined that the homepage is not infected with the malicious code (step 240), and the process ends. On the other hand, if the header value of the file inserted into the web source and the header value of the normal file do not match, it is determined that the home page is infected with malicious code (step 250).
도 3은 본 발명의 제3 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a third embodiment of the present invention.
도 3을 참조하면, 본 발명의 제3 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 310).Referring to FIG. 3, in the method of detecting a homepage infected with a malicious code according to a third embodiment of the present invention, first, a web source is downloaded from a homepage (step 310).
그 다음, 다운로드된 웹소스에 아이프레임(iframe) 태그 또는 이미지(img) 태그가 존재하는지를 검색한다(단계 320).Then, it is searched whether an iframe tag or an img tag exists in the downloaded web source (step 320).
검색결과, 아이프레임 태그 또는 이미지 태그가 존재하지 않는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 330) 프로세스를 종료한다. 아이프레임 태그 또는 이미지 태그가 존재하는 경우에는 검색된 아이프레임 태그 또는 이미지 태그가 비정상적인 태그 사이즈 패턴으로 사용되었는지를 확인한다(단계 340). 해커들은 웹 페이지 내의 이미지 태그 사이즈의 넓이 또는 높이 값을 이용하여 악성코드 링크를 삽입한다. 예를 들면, 정상적인 이미지 태그의 링크 파일은 홈페이지 내에 존재하지만 이미지 태그에 악성코드 링크가 삽입된 경우에는 외부 주소를 사용하며 유관으로는 확인할 수 없는 1 또는 널(null) 사이즈의 값 등을 이용한 패턴으로 사용되는 경우가 많다. 따라서 아이프레임 태그 또는 이미지 태그가 비정상적인 태그 사이즈 패턴으로 사용되었는지에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별할 수 있다. 비정상 태그 사이즈 패턴은 데이터베이스 등에 미리 저장될 수 있다. 비정상 아이프레임 이미지 태그 사이즈 규칙 리스트는 아래의 <표 3>과 같다.If there is no iframe tag or image tag as a result of the search, it is determined that the homepage is not infected with the malicious code (step 330), and the process ends. If the iframe tag or image tag exists, it is checked whether the searched iframe tag or image tag is used as an abnormal tag size pattern (step 340). Hackers insert malware links using the width or height values of image tag sizes in Web pages. For example, if a link file of a normal image tag exists in the homepage, but a malware link is inserted in the image tag, an external address is used, and a pattern using a value of 1 or null size that cannot be identified by a related line Often used as. Therefore, it is possible to determine whether the corresponding homepage is infected with malware based on whether an iframe tag or an image tag is used as an abnormal tag size pattern. The abnormal tag size pattern may be stored in advance in a database or the like. An abnormal iframe image tag size rule list is shown in Table 3 below.
iframe + 외부주소(hex 인코딩) + 넓이나 높이=0(넓이와 높이=0)
iframe + 외부주소(utf 인코딩) + 넓이나 높이=0(넓이와 높이=0)
iframe + external address (ascii) + width but height = 0 (width and height = 0)
iframe + external address (hex encoding) + width but height = 0 (width and height = 0)
iframe + external address (utf encoding) + width but height = 0 (width and height = 0)
img + 외부주소(hex 인코딩) + 넓이와 높이=1
img + 외부주소(utf 인코딩) + 넓이와 높이
img + external address (ascii) + width and height = 1
img + external address (hex encoding) + width and height = 1
img + external address (utf encoding) + width and height
img + 외부주소(hex 인코딩) + 넓이나 높이=1, 500
img + 외부주소(utf 인코딩) + 넓이나 높이=1, 500img + external address (ascii) + width but height = 1, 500
img + external address (hex encoded) + width but height = 1, 500
img + external address (utf encoding) + width but height = 1, 500
OBJECT width=0 외부주소(hex 인코딩)
OBJECT width=0 외부주소(utf 인코딩)
OBJECT width = 0 external address (ascii)
OBJECT width = 0 external address (hex encoding)
OBJECT width = 0 external address (utf encoding)
EMBED width=0 외부주소(hex 인코딩)
EMBED width=0 외부주소(utf 인코딩)
EMBED width = 0 External Address (ASCII)
EMBED width = 0 external address (hex encoding)
EMBED width = 0 external address (utf encoded)
웹소스로부터 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용되지 않은 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 330) 프로세스를 종료한다. 한편, 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용된 경우에는 홈페이지가 악성코드에 감염된 것으로 판별한다(단계 350).If the iframe tag or image tag retrieved from the web source is not used as an abnormal tag size pattern, it is determined that the homepage is not infected with malicious code (step 330), and the process ends. On the other hand, if the retrieved iframe tag or image tag is used as an abnormal tag size pattern, it is determined that the homepage is infected with malicious code (step 350).
도 4는 본 발명의 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a fourth embodiment of the present invention.
도 4를 참조하면, 본 발명의 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 410).Referring to FIG. 4, in the method for detecting a home page infected with a malicious code according to a fourth embodiment of the present invention, a web source is first downloaded from a home page (step 410).
그 다음, 웹소스가 악성 쉘코드를 포함하는지 검색한다(단계 420). 해커들은 웹 페이지 내에 악성코드를 삽입하기 위해 쉘코드를 이용한다. 따라서 웹소스 내에 악성 쉘코드가 포함되어 있는 경우에는 해당 홈페이지가 악성코드에 감염된 것으로 판별할 수 있다. 악성 쉘코드 리스트는 데이터베이스 등에 미리 저장될 수 있다. 악성 쉘코드 리스트는 아래의 <표 4>와 같다.Next, the web source is searched for containing malicious shellcode (step 420). Hackers use shellcode to inject malicious code into web pages. Therefore, if a malicious shell code is included in the web source, it can be determined that the homepage is infected with the malicious code. The malicious shellcode list may be stored in advance in a database or the like. The list of malicious shell codes is shown in Table 4 below.
검색결과, 웹소스가 악성 쉘코드를 포함하지 않는 경우에는 홈페이지가 악성코드에 감염되지 않은 것으로 판별하고(단계 430) 프로세스를 종료한다. 한편, 웹소스가 악성 쉘코드를 포함하는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별한다(단계 440).As a result of the search, if the web source does not contain the malicious shellcode, it is determined that the homepage is not infected with the malicious code (step 430), and the process ends. On the other hand, if the web source contains a malicious shell code, it is determined that the home page is infected with the malicious code (step 440).
도 5는 본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a method of detecting a home page infected with a malicious code according to a fifth embodiment of the present invention.
본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법은 앞서 도 1 내지 도 4에서 설명한 제1 내지 제4 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법을 조합하여 수행한다. The method of detecting a home page infected with a malicious code according to a fifth embodiment of the present invention is performed by combining the method of detecting a home page infected with a malicious code according to the first to fourth embodiments described above with reference to FIGS. 1 to 4. .
도 5를 참조하면, 본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에서는 우선, 홈페이지로부터 웹소스를 다운로드한다(단계 510).Referring to FIG. 5, in the method for detecting a home page infected with a malicious code according to a fifth embodiment of the present invention, a web source is first downloaded from a home page (step 510).
그 다음, 웹소스에 파일이 삽입된 경우 삽입된 파일을 다운로드한다(단계 520).If the file is inserted into the web source, the inserted file is then downloaded (step 520).
다음으로, 다운로드된 웹소스에 클래스 아이디 태그가 존재하는지 검색한다(단계 530).Next, it is searched whether a class ID tag exists in the downloaded web source (step 530).
검색결과, 클래스 아이디 태그가 존재하는 경우에는 검색된 클래스 아이디 태그값이 미리 저장된 취약점 클래스 아이디 태그값과 일치하는지를 비교한다(단계 532). As a result of the search, if the class ID tag exists, the searched class ID tag value is compared with a previously stored vulnerability class ID tag value (step 532).
비교결과, 웹소스로부터 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값이 일치하는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별하고(단계 570), 프로세스를 종료한다. 한편, 검색된 클래스 아이디 태그값과 취약점 클래스 아이디 태그값이 일치하지 않는 경우에는 두 번째 악성코드 감염 판별 조건 즉, 파일 헤더값과 정상 파일의 헤더값을 비교한다(단계 540). 단계 530에서 다운로드된 웹소스에 클래스 아이디 태그가 존재하지 않는 경우에도 단계 540을 수행한다. As a result of the comparison, if the class ID tag value retrieved from the web source and the vulnerability class ID tag value match, it is determined that the homepage is infected with the malicious code (step 570), and the process ends. On the other hand, if the searched class ID tag value and the vulnerability class ID tag value do not match, the second malware infection determination condition, that is, the file header value and the header value of the normal file are compared (step 540). If the class ID tag does not exist in the web source downloaded in
비교결과, 웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하지 않는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별하고(단계 570), 프로세스를 종료한다. 한편, 웹소스에 삽입된 파일의 헤더값과 정상 파일의 헤더값이 일치하는 경우에는 웹소스가 세 번째 악성코드 감염 판별 조건 즉, 아이프레임 태그 또는 이미지 태그 조건을 만족하는지를 판별한다. As a result of the comparison, when the header value of the file inserted into the web source and the header value of the normal file do not match, it is determined that the home page is infected with the malicious code (step 570), and the process ends. On the other hand, if the header value of the file inserted into the web source and the header value of the normal file match, it is determined whether the web source satisfies the third malicious code infection determination condition, that is, the iframe tag or image tag condition.
웹소스에 아이프레임 태그 또는 이미지 태그가 존재하는지를 검색하고(단계 550), 검색결과 아이프레임 태그 또는 이미지 태그가 존재하는 경우 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용되었는지를 확인한다(단계 552). Search whether the iframe tag or image tag exists in the web source (step 550), and if the iframe tag or image tag exists in the search result, check whether the retrieved iframe tag or image tag is used as an abnormal tag size pattern ( Step 552).
웹소스로부터 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용된 경우 홈페이지가 악성코드에 감염된 것으로 판별하고(단계 570), 프로세스를 종료한다. 한편, 검색된 아이프레임 태그 또는 이미지 태그가 비정상 태그 사이즈 패턴으로 사용되지 않은 경우에는 네 번째 악성코드 감염 판별 조건 즉, 웹소스가 악성 쉘코드를 포함하는지를 검색한다(단계 560). 단계 550에서 다운로드된 웹소스에 아이프레임 태그 또는 이미지 태그가 존재하지 않는 경우에도 단계 560을 수행한다. If the iframe tag or image tag retrieved from the web source is used as an abnormal tag size pattern, it is determined that the homepage is infected with malicious code (step 570), and the process ends. On the other hand, if the retrieved iframe tag or image tag is not used as an abnormal tag size pattern, it is searched for the fourth malicious code infection determination condition, that is, whether the web source contains malicious shellcode (step 560). If the iframe tag or the image tag does not exist in the web source downloaded in
검색결과, 웹소스가 악성 쉘코드를 포함하는 경우에는 홈페이지가 악성코드에 감염된 것으로 판별하고(단계 570), 프로세스를 종료한다. 한편, 웹소스가 악성 쉘코드를 포함하지 않는 경우에는 비로소 홈페이지가 악성코드에 감염되지 않은 것으로 판별한다(단계 580). As a result of the search, if the web source contains malicious shellcode, it is determined that the homepage is infected with the malicious code (step 570), and the process ends. On the other hand, when the web source does not contain malicious shell code, it is determined that the home page is not infected with the malicious code (step 580).
이와 같이, 본 발명의 제5 실시예에 따른 악성코드에 감염된 홈페이지를 탐지하는 방법에 의하면 도 1 내지 도 4에서 설명한 네 가지의 악성코드 감염 판별 조건을 모두 만족하지 않는 경우에만 홈페이지가 악성코드에 감염되지 않은 것으로 판별함으로써 홈페이지가 악성코드에 감염되지 않은 경우에 좀 더 정확한 판별이 가능하다. 각 악성코드 감염 판별 조건을 검사하는 순서 즉, 단계 530 내지 560을 수행하는 순서는 적절하게 변경될 수 있고 도 5에서 설명한 순서에 한정되는 것은 아니다. As described above, according to the method of detecting a home page infected with a malicious code according to a fifth embodiment of the present invention, the homepage is not provided with the malicious code only when all four malicious code infection determination conditions described in FIGS. 1 to 4 are not satisfied. By determining that it is not infected, more accurate identification is possible when the homepage is not infected with malicious code. The order of checking each malicious code infection determination condition, that is, the order of performing
한편, 도 5에서는 홈페이지가 악성코드에 감염되었는지 여부만을 판별하였으나, 홈페이지가 악성코드에 감염되었을 확률을 산출하는 것도 가능하다. 이를 위해, 각 악성코드 감염 판별 조건을 검사하고, 각 악성코드 감염 판별 조건이 충족되는 개수에 기초하여 홈페이지가 악성코드에 감염되었을 확률을 출력할 수 있다. 예를 들면, 4개의 악성코드 감염 판별 조건들이 충족되는 개수가 각각 1개, 2개, 3개, 4개인 경우 해당 홈페이지가 악성 코드에 감염되었을 확률을 25%, 50%, 75%, 100%로 출력할 수 있다. 또한, 각 악성코드 감염 판별 조건에 가중치를 적용하여 홈페이지가 악성코드에 감염되었을 확률을 출력할 수도 있다. 이때에는 적용한 가중치에 따라 해당 홈페이지가 악성 코드에 감염되었을 확률을 적절하게 계산하여 출력한다.In FIG. 5, only the homepage is determined whether the homepage is infected with malicious code, but it is also possible to calculate the probability that the homepage is infected with the malicious code. To this end, each malicious code infection determination condition may be examined, and the probability that the homepage is infected with the malicious code may be output based on the number of times that each malicious code infection determination condition is satisfied. For example, if 1, 2, 3, or 4 each of the four malware infection determination criteria is met, the probability that the homepage is infected with malware is 25%, 50%, 75%, 100%. Can be printed as In addition, a weight may be applied to each malicious code infection determination condition to output a probability that the homepage is infected with the malicious code. At this time, according to the applied weight, the probability that the homepage is infected with the malicious code is properly calculated and output.
도 6은 본 발명의 실시예에 따른 악성코드에 감염된 홈페이지 탐지 장치를 설명하기 위한 블록도이다.6 is a block diagram illustrating an apparatus for detecting a homepage infected with a malicious code according to an embodiment of the present invention.
도 6을 참조하면, 악성코드에 감염된 홈페이지 탐지 장치(600)는 다운로드부(610), 데이터베이스(620), 검색부(630), 및 비교판별부(640)를 포함하고, 수치화부(650)를 더 포함할 수 있다.Referring to FIG. 6, the
다운로드부(610)는 웹소스 다운로드부(612)와 파일 다운로드부(614)를 포함한다. 웹소스 다운로드부(612)는 홈페이지로부터 웹소스를 다운로드하여 출력한다. 파일 다운로드부(614)는 웹소스 다운로드부(612)로부터 출력된 웹소스로부터 파일을 다운로드하여 출력한다. 파일은 jpg, gif, 또는 swf 등의 확장자를 가질 수 있다.The
데이터베이스(620)는 취약점 클래스 아이디 태그값, 정상 파일 헤더값, 아이프레임 및 이미지 태그 사이즈 패턴, 또는 악성 쉘코드를 저장한다. 취약점 클래스 아이디 태그값, 정상 파일 헤더값, 아이프레임 태그 및 이미지 태그 사이즈 패턴, 또는 악성 쉘코드 등은 이미 도 1 내지 도4에서 이미 설명하였으므로 부가적인 설명은 생략하기로 한다.
검색부(630)는 클래스 아이디 태그 검색부(632), 아이프레임 및 이미지 태그 검색부(634), 악성 쉘코드 검색부(636), 및 파일 헤더값 검색부(638)를 포함한다. 클래스 아이디 태그 검색부(632)는 웹소스로부터 클래스 아이디 태그를 검색하여 출력한다. 파일 헤더값 검색부(638)는 파일의 헤더값을 검색하여 출력한다. 아이프레임 및 이미지 태그 검색부(634)는 웹소스로부터 아이프레임 태그 및 이미지 태그를 검색하여 출력한다. 악성 쉘코드 검색부(636)는 데이터베이스(620)로부터 악성 쉘코드 리스트를 입력받아 웹소스에 악성 쉘코드가 존재하는지를 검색하고, 그 검색 결과에 따라 홈페이지가 악성코드에 감염되었는지를 판별한다. 즉, 웹소스에 악성 쉘코드가 포함된 경우 해당 홈페이지가 악성코드에 감염된 것으로 판별한다. The
비교판별부(640)는 제1 내지 제3 비교판별부(642, 644, 646)를 포함한다. 제1 비교판별부(642)는 클래스 아이디 태그 검색부(632)가 출력한 클래스 아이디 태그의 값과 데이터베이스(620)에 저장된 취약점 클래스 아이디 태그값을 비교하고, 비교 결과에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별한다. 상세하게는, 클래스 아이디 태그값이 취약점 클래스 아이디 태그값과 일치하는 경우에 해당 홈페이지가 악성코드에 감염된 것으로 판별한다. 제2 비교판별부(644)는 아이 프레임 및 이미지 태그 검색부(634)가 출력한 아이프레임 태그 및 이미지 태그가 데이터베이스(620)에 저장된 비정상 아이프레임 및 이미지 태그 사이즈 패턴으로 사용되었는지를 확인하고, 확인 결과에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별한다. 상세하게는, 아이프레임 태그 및 이미지 태그가 비정상 아이프레임 및 이미지 태그 사이즈 패턴으로 사용된 경우 해당 홈페이지가 악성코드에 감염된 것으로 판별한다. 제3 비교판별부(646)는 파일 헤더값 검색부(638)가 출력한 파일의 헤더값과 데이터베이스(620)에 저장된 정상 파일 헤더값을 비교하고, 비교 결과에 따라 해당 홈페이지가 악성코드에 감염되었는지를 판별한다. 상세하게는, 파일 헤더값이 정상 파일 헤더값과 일치하지 않는 경우에 해당 홈페이지가 악성코드에 감염된 것으로 판별한다. The
본 발명의 악성코드에 감염된 홈페이지 탐지 장치(600)는 수치화부(650)를 더 포함할 수 있다. The
수치화부(650)는 악성 쉘코드 검색부(632)로부터 입력된 악성코드 감염 여부 판별 결과값과 제1 내지 제3 비교 판별부(642, 644, 646)로부터 입력된 판별 결과값을 수치화하고, 각 판별 결과값에 가중치를 적용하여 해당 홈페이지가 악성 코드에 감염되었을 확률을 출력한다. 예를 들면, 가중치를 적용하지 않는 경우 악성코드에 감염된 것으로 판별한 결과값들이 0개, 1개, 2개, 3개, 4개인 경우 해당 홈페이지가 악성 코드에 감염되었을 확률을 0%, 25%, 50%, 75%, 100%로 출력할 수 있다. 각 판별 결과값에 가중치를 적용하는 경우에는 적용한 가중치에 따라 해당 홈페이지가 악성 코드에 감염되었을 확률을 적절하게 계산하여 출력할 수 있다.The digitizing
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention described above are not only implemented by the apparatus and method but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded, The embodiments can be easily implemented by those skilled in the art from the description of the embodiments described above.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.
610: 다운로드부
612: 웹소스 다운로드부
614: 파일 다운로드부
620: 데이터베이스
630: 검색부
632: 클래스 아이디 태그 검색부
634: 아이프레임 및 이미지 태그 검색부
636: 악성쉘코드 검색부
638: 파일 헤더값 검색부
640: 비교판별부
642: 제1 비교판별부
644: 제2 비교판별부
646: 제3 비교판별부
650: 수치화부 610: Download section
612: Download web source
614: file download unit
620:
630: search unit
632: class ID tag search unit
634: iframe and image tag search unit
636: Malware shell code search unit
638: file header value search unit
640: comparison judgment
642: First Comparative Determination Unit
644: second comparative determination
646: third comparative section
650: numerical department
Claims (16)
상기 웹소스에 포함된 클래스 아이디(classid) 태그값과 미리 저장된 취약점 클래스 아이디 태그값들을 비교하는 단계; 및
상기 웹소스에 포함된 클래스 아이디 태그값과 상기 취약점 클래스 아이디 태그값이 일치하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
악성코드에 감염된 홈페이지를 탐지하는 방법. Downloading a web source from a homepage;
Comparing a class ID tag value included in the web source with a prestored vulnerability class ID tag value; And
And determining that the homepage is infected with malicious code when the class ID tag value included in the web source and the vulnerability class ID tag value match.
How to detect homepages infected with malware.
"C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61, BD96C556-65A3-11D0-983A-00C04FC29E36, AB9BCEDD-EC7E-47E1-9322-D4A210617116, 0006F033-0000-0000-C000-000000000046, 6e32070a-766d-4ee6-879c-dc1fa91d2fc3, 6414512B-B978-451D-A0D8-FCFDF33E833C, 7F5B7F63-F06F-4331-8A26-339E03C0AE3D, 06723E09-F4C2-43c8-8358-09FCD1DB0766, 639F725F-1B2D-4831-A9FD-874847682010, BA018599-1DB3-44f9-83B4-461454C84BF8, D0C07D56-7C69-43F1-B4A0-25F5A11FAB19, E8CCCDDF-CA28-496b-B050-6C07C962476B" 로 이루어진 군에서 선택되는
악성코드에 감염된 홈페이지를 탐지하는 방법.The method of claim 1, wherein the vulnerability class ID tag value is
"C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61, BD96C556-65A3-11D0-983A-00C04FC29E36, AB9BCEDD-EC7E-47E1-9322-D4A210617116, 0006F033-0000-0000-C000-000000000046, 6e3207091dcfc , 6414512B-B978-451D-A0D8-FCFDF33E833C, 7F5B7F63-F06F-4331-8A26-339E03C0AE3D, 06723E09-F4C2-43c8-8358-09FCD1DB0766, 639F725F-1B2D-4831-A9FD-444849983 , D0C07D56-7C69-43F1-B4A0-25F5A11FAB19, E8CCCDDF-CA28-496b-B050-6C07C962476B "
How to detect homepages infected with malware.
상기 웹소스에 삽입된 파일을 다운로드하는 단계;
상기 파일의 헤더값과 미리 저장된 정상 파일의 헤더값을 비교하는 단계; 및
상기 파일의 헤더값과 상기 정상 파일의 헤더값이 일치하지 않는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
악성코드에 감염된 홈페이지를 탐지하는 방법. Downloading a web source from a homepage;
Downloading a file inserted into the web source;
Comparing a header value of the file with a header value of a normal file stored in advance; And
And determining that the home page is infected with a malicious code when the header value of the file and the header value of the normal file do not match.
How to detect homepages infected with malware.
상기 미디어 파일은 jpg, gif, swf 파일을 포함하고,
상기 PE 파일은 exe 파일을 포함하고,
정상 jpg 파일의 헤더값은 "FF D8 FF" 이고,
정상 gif 파일의 헤더값은 "47 49 46 38" 이고,
정상 swf 파일의 헤더값은 "43 57 53" 이고,
정상 exe 파일의 헤더값은 "4D 5A" 인
악성코드에 감염된 홈페이지를 탐지하는 방법.The method of claim 3, wherein the file comprises a media file and a portable executable file (PE),
The media file includes a jpg, gif, swf file,
The PE file includes an exe file,
The header value of a normal jpg file is "FF D8 FF".
The header value of a normal gif file is "47 49 46 38".
The header value of a normal swf file is "43 57 53".
The header value of a normal exe file is "4D 5A"
How to detect homepages infected with malware.
상기 웹소스에 포함된 아이프레임(iframe) 태그 또는 이미지(img) 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용되었는지를 확인하는 단계; 및
상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용된 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
악성코드에 감염된 홈페이지를 탐지하는 방법. Downloading a web source from a homepage;
Checking whether an iframe tag or an img tag included in the web source is used as a pre-stored abnormal tag size pattern; And
Determining that the homepage is infected with a malicious code when the iframe tag or image tag is used as a pre-stored abnormal tag size pattern.
How to detect homepages infected with malware.
"img 및 iframe + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이나 높이=0, img + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이와 높이=1, img + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이나 높이=1,500, OBJECT width=0 외부주소(형식: 아스키, hex, utf 인코딩), EMBED width=0 외부주소(형식: 아스키, hex, utf 인코딩)" 로 이루어진 군에서 선택되는
악성코드에 감염된 홈페이지를 탐지하는 방법.The method of claim 5, wherein the abnormal tag size pattern is
"img and iframe + external address (format: ASCII, hex, utf encoding) + width or height = 0, img + external address (format: ASCII, hex, utf encoding) + width and height = 1, img + external address ( Format: ASCII, hex, utf encoding) + width but height = 1,500, OBJECT width = 0 external address (format: ASCII, hex, utf encoding), EMBED width = 0 external address (format: ASCII, hex, utf encoding) " Selected from the group consisting of
How to detect homepages infected with malware.
상기 웹소스가 미리 저장된 악성 쉘코드들을 포함하는지 확인하는 단계; 및
상기 웹소스가 상기 악성 쉘코드를 포함하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
악성코드에 감염된 홈페이지를 탐지하는 방법. Downloading a web source from a homepage;
Checking whether the web source contains pre-stored malicious shellcodes; And
Determining that the homepage is infected with malicious code when the web source includes the malicious shellcode.
How to detect homepages infected with malware.
"unescape("%u0D0D%u0D0D, unescape("%u9090%u9090, eval(function(p,a,c,k,e,d), document.write(unescape(, Eval(gzinflate(base64_decode("
로 이루어진 군에서 선택되는
악성코드에 감염된 홈페이지를 탐지하는 방법.The method of claim 7, wherein the malicious shell code is
"unescape ("% u0D0D% u0D0D, unescape ("% u9090% u9090, eval (function (p, a, c, k, e, d), document.write (unescape (, Eval (gzinflate (base64_decode ("
Selected from the group consisting of
How to detect homepages infected with malware.
상기 웹소스에 파일이 삽입된 경우 상기 파일을 다운로드하는 단계;
상기 웹소스가 클래스 아이디(classid) 태그를 포함하는 경우 상기 웹소스에 포함된 클래스 아이디 태그값과 미리 저장된 취약점 클래스 아이디 태그값들을 비교하는 단계;
상기 파일의 헤더값과 미리 저장된 정상 파일의 헤더값을 비교하는 단계;
상기 웹소스가 아이프레임(iframe) 태그 또는 이미지(img) 태그를 포함하는경우 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용되었는지를 확인하는 단계;
상기 웹소스가 미리 저장된 악성 쉘코드들을 포함하는지 확인하는 단계; 및
상기 웹소스에 포함된 클래스 아이디 태그값과 상기 취약점 클래스 아이디 태그값이 일치하는 경우, 상기 파일의 헤더값과 상기 정상 파일의 헤더값이 일치하지 않는 경우, 상기 아이프레임 태그 또는 이미지 태그가 미리 저장된 비정상 태그 사이즈 패턴으로 사용된 경우, 또는 상기 웹소스가 상기 악성 쉘코드를 포함하는 경우 상기 홈페이지가 악성코드에 감염된 것으로 판별하는 단계를 포함하는
악성코드에 감염된 홈페이지를 탐지하는 방법. Downloading a web source from a homepage;
Downloading the file when the file is inserted into the web source;
Comparing the class ID tag value included in the web source with prestored vulnerability class ID tag values when the web source includes a class ID tag;
Comparing a header value of the file with a header value of a normal file stored in advance;
When the web source includes an iframe tag or an img tag, checking whether the iframe tag or an image tag is used as a pre-stored abnormal tag size pattern;
Checking whether the web source contains pre-stored malicious shellcodes; And
When the class ID tag value included in the web source and the vulnerability class ID tag value match, when the header value of the file does not match the header value of the normal file, the iframe tag or image tag is stored in advance Determining that the home page is infected with malicious code when used as an abnormal tag size pattern or when the web source includes the malicious shell code.
How to detect homepages infected with malware.
상기 홈페이지가 악성코드에 감염된 것으로 판별할 수 있는 조건들이 충족되는 개수에 기초하여 상기 홈페이지가 악성코드에 감염되었을 확률을 출력하는
악성코드에 감염된 홈페이지를 탐지하는 방법.The method of claim 9, wherein in the step of determining that the home page is infected with malicious code,
Outputting a probability that the home page is infected with malicious code based on the number of conditions for determining the home page is infected with malware;
How to detect homepages infected with malware.
취약점 클래스 아이디(classid) 태그값, 정상 파일 헤더값, 비정상 아이프레임(iframe) 태그 및 이미지(img) 태그 사이즈 패턴, 및 악성 쉘 코드 중 적어도 하나가 저장된 데이터베이스;
상기 웹소스로부터 클래스 아이디 태그를 검색하는 클래스 아이디 태그 검색부, 상기 웹소스로부터 파일 헤더값을 검색하는 파일 헤더값 검색부, 상기 웹소스로부터 아이프레임 태그, 또는 이미지 태그를 검색하는 아이프레임 및 이미지 태그 검색부, 및 상기 웹소스로부터 상기 악성 쉘코드를 검색하여 그 결과에 따라 상기 홈페이지가 악성 코드에 감염되었는지를 판별하는 악성 쉘코드 검색부를 포함하는 검색부; 및
상기 클래스 아이디 태그의 값과 상기 취약점 클래스 아이디 태그값, 상기 파일 헤더값과 상기 정상 파일 헤더값을 비교하고, 상기 아이프레임 태그 및 이미지 태그가 상기 비정상 아이프레임 태그 및 이미지 태그 사이즈 패턴으로 사용되었는지를 확인하여, 그 비교 및 확인 결과에 따라 상기 홈페이지가 악성 코드에 감염되었는지를 각각 판별하는 비교판별부를 포함하는
악성코드에 감염된 홈페이지 탐지 장치.A download unit for downloading a web source from a homepage or downloading a file inserted into the web source;
A database storing at least one of a vulnerability class ID tag value, a normal file header value, an abnormal iframe tag and an image tag size pattern, and malicious shell code;
A class ID tag search unit for searching a class ID tag from the web source, a file header value search unit for searching a file header value from the web source, an iframe and an image for searching an iframe tag or an image tag from the web source A search unit including a tag search unit and a malicious shell code search unit for searching the malicious shell code from the web source and determining whether the homepage is infected with the malicious code according to the result; And
Compares the value of the class ID tag with the vulnerability class ID tag value, the file header value and the normal file header value, and determines whether the iframe tag and the image tag are used as the abnormal iframe tag and image tag size pattern. And a comparison discrimination unit for determining whether the home page is infected with malicious code according to the comparison and the verification result.
Homepage detection device infected with malware.
악성코드에 감염된 홈페이지 탐지 장치.12. The method of claim 11, wherein the numerical value of the discrimination result input from the malicious shellcode search unit and the comparison discrimination unit is digitized and a weight is applied to each quantized discrimination result value to output a probability that the homepage is infected with the malicious code. Containing more wealth
Homepage detection device infected with malware.
"C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61, BD96C556-65A3-11D0-983A-00C04FC29E36, AB9BCEDD-EC7E-47E1-9322-D4A210617116, 0006F033-0000-0000-C000-000000000046, 6e32070a-766d-4ee6-879c-dc1fa91d2fc3, 6414512B-B978-451D-A0D8-FCFDF33E833C, 7F5B7F63-F06F-4331-8A26-339E03C0AE3D, 06723E09-F4C2-43c8-8358-09FCD1DB0766, 639F725F-1B2D-4831-A9FD-874847682010, BA018599-1DB3-44f9-83B4-461454C84BF8, D0C07D56-7C69-43F1-B4A0-25F5A11FAB19, E8CCCDDF-CA28-496b-B050-6C07C962476B" 로 이루어진 군에서 선택되는
악성코드에 감염된 홈페이지 탐지 장치.The method of claim 11, wherein the vulnerability class ID tag value is
"C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61, BD96C556-65A3-11D0-983A-00C04FC29E36, AB9BCEDD-EC7E-47E1-9322-D4A210617116, 0006F033-0000-0000-C000-000000000046, 6e3207091dcfc , 6414512B-B978-451D-A0D8-FCFDF33E833C, 7F5B7F63-F06F-4331-8A26-339E03C0AE3D, 06723E09-F4C2-43c8-8358-09FCD1DB0766, 639F725F-1B2D-4831-A9FD-444849983 , D0C07D56-7C69-43F1-B4A0-25F5A11FAB19, E8CCCDDF-CA28-496b-B050-6C07C962476B "
Homepage detection device infected with malware.
상기 미디어 파일은 jpg, gif, swf 파일을 포함하고,
상기 PE 파일은 exe 파일을 포함하고,
정상 jpg 파일의 헤더값은 "FF D8 FF" 이고,
정상 gif 파일의 헤더값은 "47 49 46 38" 이고,
정상 swf 파일의 헤더값은 "43 57 53" 이고,
정상 exe 파일의 헤더값은 "4D 5A" 인
악성코드에 감염된 홈페이지 탐지 장치.The method of claim 11, wherein the file comprises a media file and a portable executable file (PE),
The media file includes a jpg, gif, swf file,
The PE file includes an exe file,
The header value of a normal jpg file is "FF D8 FF".
The header value of a normal gif file is "47 49 46 38".
The header value of a normal swf file is "43 57 53".
The header value of a normal exe file is "4D 5A"
Homepage detection device infected with malware.
"img 및 iframe + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이나 높이=0, img + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이와 높이=1, img + 외부주소(형식: 아스키, hex, utf 인코딩) + 넓이나 높이=1,500, OBJECT width=0 외부주소(형식: 아스키, hex, utf 인코딩), EMBED width=0 외부주소(형식: 아스키, hex, utf 인코딩)" 로 이루어진 군에서 선택되는
악성코드에 감염된 홈페이지 탐지 장치.The method of claim 11, wherein the abnormal tag size pattern is
"img and iframe + external address (format: ASCII, hex, utf encoding) + width or height = 0, img + external address (format: ASCII, hex, utf encoding) + width and height = 1, img + external address ( Format: ASCII, hex, utf encoding) + width but height = 1,500, OBJECT width = 0 external address (format: ASCII, hex, utf encoding), EMBED width = 0 external address (format: ASCII, hex, utf encoding) " Selected from the group consisting of
Homepage detection device infected with malware.
"unescape("%u0D0D%u0D0D, unescape("%u9090%u9090, eval(function(p,a,c,k,e,d), document.write(unescape(, Eval(gzinflate(base64_decode("
로 이루어진 군에서 선택되는
악성코드에 감염된 홈페이지 탐지 장치.
The method of claim 11, wherein the malicious shellcode is
"unescape ("% u0D0D% u0D0D, unescape ("% u9090% u9090, eval (function (p, a, c, k, e, d), document.write (unescape (, Eval (gzinflate (base64_decode ("
Selected from the group consisting of
Homepage detection device infected with malware.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110145760A KR101327865B1 (en) | 2011-12-29 | 2011-12-29 | Homepage infected with a malware detecting device and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110145760A KR101327865B1 (en) | 2011-12-29 | 2011-12-29 | Homepage infected with a malware detecting device and method |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20130077184A true KR20130077184A (en) | 2013-07-09 |
KR101327865B1 KR101327865B1 (en) | 2013-11-12 |
Family
ID=48990487
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020110145760A KR101327865B1 (en) | 2011-12-29 | 2011-12-29 | Homepage infected with a malware detecting device and method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101327865B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150064331A (en) * | 2013-12-03 | 2015-06-11 | 주식회사 케이티 | Device for monitoring web server and analysing malicious code |
WO2016127858A1 (en) * | 2015-02-10 | 2016-08-18 | 阿里巴巴集团控股有限公司 | Method and device for identifying webpage intrusion script features |
CN112580034A (en) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | Method and device for verifying unshelled file, storage medium and computer equipment |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070049514A (en) * | 2005-11-08 | 2007-05-11 | 한국정보보호진흥원 | Malignant code monitor system and monitoring method using thereof |
KR101110308B1 (en) * | 2008-12-22 | 2012-02-15 | 한국전자통신연구원 | Apparatus and method for detecting malicious code using packed file properties |
KR101052443B1 (en) * | 2009-05-15 | 2011-07-28 | 주식회사 엔에스에이치씨 | Malware Analysis Method and System |
-
2011
- 2011-12-29 KR KR1020110145760A patent/KR101327865B1/en active IP Right Grant
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150064331A (en) * | 2013-12-03 | 2015-06-11 | 주식회사 케이티 | Device for monitoring web server and analysing malicious code |
WO2016127858A1 (en) * | 2015-02-10 | 2016-08-18 | 阿里巴巴集团控股有限公司 | Method and device for identifying webpage intrusion script features |
CN112580034A (en) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | Method and device for verifying unshelled file, storage medium and computer equipment |
CN112580034B (en) * | 2019-09-30 | 2022-04-22 | 奇安信安全技术(珠海)有限公司 | Method and device for verifying unshelled file, storage medium and computer equipment |
Also Published As
Publication number | Publication date |
---|---|
KR101327865B1 (en) | 2013-11-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9965630B2 (en) | Method and apparatus for anti-virus scanning of file system | |
JP5511097B2 (en) | Intelligent hash for centrally detecting malware | |
RU2607231C2 (en) | Fuzzy whitelisting anti-malware systems and methods | |
US10140451B2 (en) | Detection of malicious scripting language code in a network environment | |
US9953162B2 (en) | Rapid malware inspection of mobile applications | |
US20120174227A1 (en) | System and Method for Detecting Unknown Malware | |
JP5779334B2 (en) | Output control device, output control program, output control method, and output control system | |
WO2007078981A2 (en) | Forgery detection using entropy modeling | |
JP6039826B2 (en) | Unauthorized access detection method and system | |
EP3076327B1 (en) | Analyzing a password-protected file for malware | |
US8726377B2 (en) | Malware determination | |
JP6691240B2 (en) | Judgment device, judgment method, and judgment program | |
KR101327865B1 (en) | Homepage infected with a malware detecting device and method | |
JP6297425B2 (en) | Attack code detection apparatus, attack code detection method, and program | |
JP6169497B2 (en) | Connection destination information determination device, connection destination information determination method, and program | |
US8132258B1 (en) | Remote security servers for protecting customer computers against computer security threats | |
KR101526500B1 (en) | Suspected malignant website detecting method and system using information entropy | |
CN114003907A (en) | Malicious file detection method and device, computing equipment and storage medium | |
TWI807451B (en) | Malware scans | |
JP2017168146A (en) | Connection destination information determination device, connection destination information determination method, and program | |
CN108205624B (en) | Electronic device and method for detecting malicious file | |
Gundoor | Identification Of Dominant Features in Non-Portable Executable Malicious File |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20161102 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20181106 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20191105 Year of fee payment: 7 |