KR20130096565A - 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 - Google Patents

활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 Download PDF

Info

Publication number
KR20130096565A
KR20130096565A KR1020120018121A KR20120018121A KR20130096565A KR 20130096565 A KR20130096565 A KR 20130096565A KR 1020120018121 A KR1020120018121 A KR 1020120018121A KR 20120018121 A KR20120018121 A KR 20120018121A KR 20130096565 A KR20130096565 A KR 20130096565A
Authority
KR
South Korea
Prior art keywords
information
related information
domain
session
address
Prior art date
Application number
KR1020120018121A
Other languages
English (en)
Other versions
KR101345740B1 (ko
Inventor
박원형
Original Assignee
주식회사 더존정보보호서비스
박원형
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 더존정보보호서비스, 박원형 filed Critical 주식회사 더존정보보호서비스
Priority to KR1020120018121A priority Critical patent/KR101345740B1/ko
Publication of KR20130096565A publication Critical patent/KR20130096565A/ko
Application granted granted Critical
Publication of KR101345740B1 publication Critical patent/KR101345740B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0481Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance
    • G06F3/0482Interaction with lists of selectable items, e.g. menus

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)

Abstract

운영체제 상에서 다수의 시스템 정보를 수집하고 서로 연관시켜 분석하여, 주어진 인터넷 주소(이하 의심 주소)으로부터 악성코드를 탐지하는 연관성 분석 기반 악성코드 탐지 시스템에 관한 것으로서, 도메인의 인터넷 주소를 표시하는 시스템 정보로부터, 도메인 이름, 도메인 IP주소를 포함하는 정보(이하 도메인 관련 정보)를 수집하는 도메인 수집부; TCP 세션 정보를 표시하는 시스템 정보로부터 로컬IP주소, 원격IP주소, 프로세스 ID를 포함하는 정보(이하 세션관련 정보)를 수집하고, 프로세스 ID를 갖는 프로세스의 경로를 검색하는 세션정보 수집부; 프로세스의 위치경로, 프로세스 ID를 포함하는 정보(이하 프로세스 관련 정보)를 수집하는 프로세스 수집부; 시스템 실행파일의 파일이름 및 해쉬정보를 포함하는 정보(이하 실행파일 관련 정보)를 수집하는 실행파일 수집부; 및, 도메인 관련 정보, 세션관련 정보, 프로세스 관련 정보, 및 실행파일 관련 정보를 연관하여 표시하고 분석하는 분석표시부를 포함하는 구성을 마련한다.
상기와 같은 악성코드 탐지 시스템에 의하여, APT(Advanced Persistent Threat)와 관련된 악성코드의 감염여부 및 악성코드 위치를, 연관성 분석을 통해, 신속하고 정확하게 판별할 수 있다.

Description

활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 { A malware detection system based on correlation analysis using live response techniques }
본 발명은 운영체제 상에서 다수의 시스템 정보를 수집하고 서로 연관시켜 분석하여, 주어진 인터넷 주소(이하 의심 주소)으로부터 악성코드를 탐지하는 연관성 분석 기반 악성코드 탐지 시스템에 관한 것이다.
인터넷의 보급이 크게 확산됨에 따라 광범위한 정보 통신망 구축이 가능해 졌으나 이에 따른 역기능 역시 급증하고 있다.
현재 사이버 공격 성격을 공격기법, 피해범위, 해킹동기 측면에서 살펴보면 초기의 수동적인 공격에서 자동화, 대규모화 되었으나 최근에서는 은닉화, 지능화 되는 특징을 보인다. 피해범위는 APT(Advanced Persistent Threat) 공격에서는 대규모 네트워크와 함께 특정 기업이나 국가를 대상으로 정교화 되어 가고 있다. 이는 금전적 이득을 목적으로 한 범죄형 해킹과 기존 범죄조직과 연계되는 양상으로 발전 하고 있다[문헌 1].
특히, 특정 웹사이트를 각종 정보유출형 해킹 파일을 유포하는 사이트로 변형시켜 개인정보(온라인게임, 인증정보, 주민등록번호 등)를 유출해가는 사건이 빈발하고 있으며, 피싱 사이트 등의 인터넷 금융사기 수법이 확산되고 있다.
한국인터넷진흥원(KISA) 등 정부 산하기관에서 발표하는 악성코드 피해 신고 현황에 의하면, 악성코드에 의한 피해가 크게 상승한 것으로 분석된다. 이는 정보유출형 악성코드가 지속적으로 증가 해왔음을 보여준다[문헌 2].
이러한 증가 현상은 악성코드를 손쉽게 제작 할 수 있는 도구들이 널리 유포되고 있기 때문이다. 그리고 해킹 도구는 온라인에서 누구나 쉽게 구할 수 있는 문제점도 있다. 이와 같은 해킹 도구들은 전문 지식이 없는 초급 해커들도 실행 압축, Anti-VM 등 최신분석방해 기술이 적용된 악성코드를 쉽게 제작 할 수 있어 그 심각성이 증가하고 있다. 이러한 악성코드의 감염에 의한 사용자 피해 역시 급속히 증가하고 있어서 악성코드에 대한 신속한 탐지와 대응이 절실히 요구 되고 있다.
기존에는 악성코드에 대한 정적 분석과 동적 분석은 수동으로 이루어 졌으며 분석과정에서 시간이 많이 소요되는 단점이 있다. 또한 기존에 있는 악성코드 탐지 도구들은 APT(Advanced Persistent Threat) 공격과 관련된 악성코드에 감염되었을 때 탐지하기 어려운 문제가 있다[문헌 3][문헌 4].
다음으로, 종래의 악성코드 증거 수집 기술의 개발 목적 및 특성에 대해서 도 1을 참조하여 보다 구체적으로 설명한다.
먼저, 미국 공군 침해사고 대응팀의 "FRED"에 대하여 설명한다.
FRED(First Responder's Evidence Disk)[문헌 4][문헌 5]는 美 공군 내부에서 발생하는 침해사고에 좀 더 신속하고 효과적으로 대응하기 위해서 지난 2000년도 AFOSI(Air Force Office of Special Investigations)에 의해 개발된 윈도우 기반 악성코드 증거 수집 도구로서, 2002년 8월 8일 Digital Forensics Research Workshop을 통해 외부에 공개됐다.
도 1a에서 보는 바와 같이, FRED는 Commercial off-the-shelf(COTS) 기반의 여러 가지 시스템 분석 도구들이 저장된 플로피 디스크이다. FRED에 저장된 각각의 도구들은 스크립트로 작성되어 배치파일(FRED.bat)로 실행되고 시스템 분석 결과는 audit.txt 형태로 플로피 디스크에 저장된다[문헌 9][문헌 10]. 이 도구는 불특정 다수의 악성코드에 대한 수집도구이며 연관성 분석이 불가능 하다. 또한, 현재 발생하고 있는 APT공격의 악성코드를 탐지하기 어렵다.
다음으로, 미국 마이크로소프트(MS)사의 "COFEE"에 대하여 설명한다.
COFEE(Computer Online Forensic Evidence Extractor)는 MS에서 배포하고 있는 정부기관 대상 비공개 Live Response 도구이다. 이 프로그램은 Law enforcement agency에 무료로 제공되고 있다.
도 1b에서 보는 바와 같이, COFEE 프로그램을 사용하기 위해서 2GB이상의 USB가 필요하고 이 USB는 실제 조사 대상 시스템에서 증거물을 수집하기 위한 도구들이 저장되고 수집결과물이 저장된다. 특히, 본 도구는 여러 가지 환경에서 악성코드 증거 수집을 위한 필요한 모듈에 대해 선택적으로 수사관이 만들 수 있느 장점이 있다[문헌 5][문헌 6][문헌 7]. 반면, 불특정 다수에 대한 악성코드 수집과 연관성 분석이 어려워 현재 정보유출형 악성코드를 탐지하기는 어려운 한계가 있다.
다음으로, 안철수 연구소의 "AhnReport"에 대하여 설명한다.
AhnReport는 안철수 연구소에서 제공하는 사용자의 시스템 정보를 수집하는 역할을 수행하는 프로그램으로 이를 통해 문제의 원인과 신종 악성코드를 추적하는 목적으로 사용된다.
AhnReport는 앞서 소개했던 FRED, COFEE와 달리 GUI로 결과를 볼 수 있다. 직관적이고 편리하게 구성된 User Interface 환경은 보안담당자가 Command-line Interface(CLI) 기반의 도구보다 좀 더 쉽게 악성코드에 대한 연관성 분석을 가능하게 해준다. 분석된 결과는 암호화 후 저장, 안철수 연구소로 보낼 수 있다.
도 1c는 AhnReport의 실행화면이다. AhnReport가 수집하는 정보로는 시스템 사용 및 운영체제(OS), 레지스트리 정보 중 제품관련 정보, 백신이 설치되어 있는 경우 이벤트 기록, 윈도우 부팅과정에서 참조하는 파일(WIN.INI, SYSTEM.INI)내용, 현재 실행중인 프로세스 등이 있다[문헌 8]. 하지만, 최근 APT 공격에서 활용중인 USB 접속정보와 연관성 분석의 한계 등 단점도 존재한다.
상기와 같은 종래의 증거 수집 도구는 네트워크를 마비시키는 등의 행위를 하는 전통적인 악성코드의 동작흐름을 파악하는데 필요한 모듈을 중심으로 구성되어 있었다. 그래서 피해시스템이 정보유출형 악성코드에 감염됐을 경우 악성코드 작동흐름은 물론 감염 사실조차 파악하기 어려운 단점이 있다.
[문헌 1]장영준·차민석·정진성·조시행 (2008) "악성 코드 동향과 그 미래 전망", 한국정보보호학회 [문헌 2]인터넷 침해사고 동향 및 분석 월보 (2011) KISA 인터넷 침해대응센터 [문헌 3]임채태·오주형·정현철 (2010) "최근 악성코드 기술 동향 및 분석 방안 연구", 정보과학회지 [문헌 4]ASEC Report (2010), 안철수연구소 [문헌 5]기술로 말하는 사이버포렌식, http://cafe.naver.com/pelist. cafe?iframe_url/ArticleRead.nhn%3Farticleid=57 [문헌 6] http://www.microsoft.com/industry/government/solutions/cofee/ default.aspx [문헌 7]COFEE사용자가이드, http://www.digital-forensics.co.kr/tc/entry/User-Guide-for-COFEE-v112 [문헌 8]임채영, "AhnReport 분석" (2009), 안철수연구소 ASEC [문헌 9]Special Agent Jesse Kornblum, (2002) "Preservation of Fragile Digital Evidence by First Responders", Air Force Office of Special Investigations [문헌 10]Special Agent Jesse Kornblum, (2002) "Simple but Sound Tools for First Responders", Air Force Office of Special Investigations [문헌 11]http://en.wikipedia.org/wiki/Netstat [문헌 12]http://en.wikipedia.org/wiki/Domain_Name_System [문헌 13]허건일·박찬욱·박원형·국광호 (2010) "윈도우 기반 악성코드 증거수집 모듈개선에 관한연구", 한국사이버테러정보전학회 [문헌 14]이상진 (2010), 제3절 디스크이미징, 디지털 포렌식 개론, 이룬출판, P137 [문헌 15]Dll injection 기법을 이용하는 악성코드의 새로운 치료 방법 연구, 한국컴퓨터정보학회, 2006년 11월
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 운영체제 상에서 다수의 시스템 정보를 수집하고 서로 연관시켜 분석하여, 주어진 인터넷 주소(이하 의심 주소)으로부터 악성코드를 탐지하는 연관성 분석 기반 악성코드 탐지 시스템을 제공하는 것이다.
또한, 본 발명의 목적은 보다 개선된 탐지 기술을 구현하여 사용자로 하여금 새로운 악성코드를 신속 정확하게 탐지할 수 있는 연관성 분석 기반 악성코드 탐지 시스템을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명은 운영체제 상에서 다수의 시스템 정보를 수집하고 서로 연관시켜 분석하여, 악성코드를 탐지하는 연관성 분석 기반 악성코드 탐지 시스템에 관한 것으로서, 도메인의 인터넷 주소를 표시하는 시스템 정보로부터, 도메인 이름, 도메인 IP주소를 포함하는 정보(이하 도메인 관련 정보)를 수집하는 도메인 수집부; TCP 세션 정보를 표시하는 시스템 정보로부터 로컬IP주소, 원격IP주소, 프로세스 ID를 포함하는 정보(이하 세션관련 정보)를 수집하고, 상기 프로세스 ID를 갖는 프로세스의 경로를 검색하는 세션정보 수집부; 프로세스의 위치경로, 프로세스 ID(이하 프로세스 관련 정보)를 수집하는 프로세스 수집부; 시스템 실행파일의 파일이름 및 해쉬정보를 포함하는 정보(이하 실행파일 관련 정보)를 수집하는 실행파일 수집부; 및, 상기 도메인 관련 정보, 상기 세션관련 정보, 상기 프로세스 관련 정보, 및 상기 실행파일 관련 정보를 연관하여 표시하고 분석하는 분석표시부를 포함하는 것을 특징으로 한다.
또, 본 발명은 연관성 분석 기반 악성코드 탐지 시스템에 있어서, 상기 분석표시부는 의심되는 도메인 이름(이하 의심 도메인 이름)에 대하여, 상기 의심 도메인 이름이 상기 도메인 관련 정보의 도메인 이름에서 검색되면 상기 도메인 관련 정보에서 상기 도메인 이름을 포함하는 도메인을 강조하여 표시하는 것을 특징으로 한다.
또, 본 발명은 연관성 분석 기반 악성코드 탐지 시스템에 있어서, 상기 분석표시부는 상기 도메인 관련 정보를 표시하고, 상기 도메인 IP주소가 선택되면 상기 도메인 IP주소와 동일한 원격IP주소를 갖는 세션관련 정보를 표시하는 것을 특징으로 한다.
또, 본 발명은 연관성 분석 기반 악성코드 탐지 시스템에 있어서, 상기 분석표시부는 의심되는 IP주소(이하 의심 IP주소)에 대하여, 상기 IP주소와 동일한 원격IP주소를 갖는 세션관련 정보를 강조하여 표시하는 것을 특징으로 한다.
또, 본 발명은 연관성 분석 기반 악성코드 탐지 시스템에 있어서, 상기 분석표시부는 상기 세션 관련 정보를 표시하고, 상기 세션 관련 정보의 프로세스 ID(이하 세션 프로세스 ID)가 선택되면 상기 세션 프로세스 ID와 동일한 프로세스 ID를 갖는 프로세스 관련 정보를 표시하는 것을 특징으로 한다.
또, 본 발명은 연관성 분석 기반 악성코드 탐지 시스템에 있어서, 상기 분석표시부는 상기 프로세스 관련 정보를 표시하고, 상기 프로세스 관련 정보의 실행파일 정보가 선택되면 상기 실행파일과 동일한 시스템 실행파일을 갖는 실행파일 관련 정보를 표시하는 것을 특징으로 한다.
또, 본 발명은 연관성 분석 기반 악성코드 탐지 시스템에 있어서, 상기 분석표시부는 의심되는 도메인 이름(이하 의심 도메인 이름)에 대하여, 상기 도메인 관련 정보에서 상기 의심 도메인 이름을 검색하고, 검색된 도메인 관련정보의 IP주소를 상기 세션관련 정보의 원격IP주소에서 검색하고, 검색된 세션관련 정보의 프로세스 ID를 상기 실행파일 관련 정보에서 검색하는 것을 특징으로 한다.
또, 본 발명은 연관성 분석 기반 악성코드 탐지 시스템에 있어서, 상기 분석표시부는 상기 실행파일 관련 정보의 해쉬값이 알려진 악성코드 정보인지를 확인하여 상기 실행파일의 프로세스가 악성코드인지 여부를 판단하는 것을 특징으로 한다.
또, 본 발명은 연관성 분석 기반 악성코드 탐지 시스템에 있어서, 상기 도메인 수집부는 윈도우 시스템 상의 "ipconfig /displaydns"의 시스템 명령에 의해 상기 도메인 관련 정보를 수집하는 것을 특징으로 한다.
또, 본 발명은 연관성 분석 기반 악성코드 탐지 시스템에 있어서, 상기 세션정보 수집부는 윈도우 시스템 상의 "netstat -nao"의 시스템 명령에 의해 상기 세션관련 정보를 수집하는 것을 특징으로 한다.
또, 본 발명은 연관성 분석 기반 악성코드 탐지 시스템에 있어서, 상기 시스템 실행파일은 윈도우 시스템 상의 동적 라이브러리 파일(DLL) 또는 실행파일(EXE) 중 어느 하나 이상인 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 연관성 분석 기반 악성코드 탐지 시스템에 의하면, APT(Advanced Persistent Threat)와 관련된 악성코드의 감염여부 및 악성코드 위치를, 연관성 분석을 통해, 신속하고 정확하게 판별할 수 있는 효과가 얻어진다.
도 1은 종래기술에 따른 악성코드 증거 수집 기술의 화면 일례들이다.
도 2와 도 3은 본 발명을 실시하기 위한 전체 시스템 구성의 일례를 도시한 도면이다.
도 4는 본 발명의 일실시예에 따른 연관성 분석 기반 악성코드 탐지 시스템의 구성에 대한 블록도이다.
도 5는 본 발명에 따른 ipconfig /displaydns 실행 결과 화면의 일례를 도시한 것이다.
도 6은 본 발명에 따른 TCP세션 정보 화면의 일례를 도시한 것이다.
도 7은 본 발명에 따른 프로세스와 DLL 연관성 정보 화면의 일례를 도시한 것이다.
도 8은 본 발명에 따른 DLL 또는 EXE 정보 수집 화면의 일례를 도시한 것이다.
도 9 내지 도 11은 본 발명의 실시에 따른 분석의 예를 도시한 것이다.
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
먼저, 본 발명을 실시하기 위한 전체 시스템의 예에 대하여 도 2 및 도 3을 참조하여 설명한다.
도 2에서 보는 바와 같이, 본 발명에 따른 악성코드 탐지 시스템(30)은 컴퓨터 단말 상의 프로그램 시스템, 또는 네트워크 상의 서버 시스템으로 실시될 수 있다.
도 2a에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템의 일례는 컴퓨터 단말(10)과 상기 컴퓨터 단말(10)에 설치되는 연관성 분석 기반 악성코드 탐지 방법의 프로그램 시스템(30)으로 구현될 수 있다. 즉, 악성코드 탐지 시스템(30)의 각 기능들은 컴퓨터 프로그램으로 구현되어 컴퓨터 단말(10)에 설치된다.
다음으로, 도 2b에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템의 또 다른 예는 연관성 분석 기반 악성코드 탐지 방법을 수행하는 서버 시스템(또는 악성코드 탐지 시스템)(30)으로 구현될 수 있다. 즉, 컴퓨터 단말(10)과 악성코드 탐지 시스템(30)으로 구성되고 서로 네트워크(50)로 연결된다. 또, 필요한 데이터를 저장하기 위한 데이터베이스(40)를 더 구비할 수 있다. 컴퓨터 단말(10)은 사용자가 이용하는 PC, 노트북, 넷북 등의 통상의 컴퓨팅 단말기이다.
한편, 악성코드 탐지 시스템(30)은 GUI(Graphic User Interface) 인터페이스를 제공한다.
최근 발생한 3.4 DDoS와 농협해킹과 같은 APT공격 사례를 분석한 결과 악성코드에 감염되어 있는 PC는 DLL 인젝션 기법을 통해 악성코드가 삽입되어 있었으며 이는 현재 악성코드 감염사고의 80%이상을 차지한다. 그런데 현재 CLI 기반의 활성데이터 수집기술은 이러한 DLL 인젝션 기법을 확인하기 어렵다. 이는 활성 데이터를 수집할 때, 별도의 하드웨어를 사용하지 않고 소프트웨어로 수집하면 시스템 상태의 변경은 불가피 하다. 하지만 포렌식 관점에서 변경을 최소화 해야 하기 때문에 GUI(Graphic User Interface)보다 CLI(Command Line Interface)를 사용한다[문헌 14].
하지만, 현재 악성코드를 신속,정확하게 탐지하기 위해서는 GUI 기반의 분석도구가 필요하며 이는 조사관이 직관적이고 연관성이게 분석을 가능하게 해준다.
즉, 악성코드 탐지 시스템(30)은 단계별로, 도메인 정보(인터넷 캐쉬)의 IP정보를 클릭하면 네트워크 세션(TCP) 정보를 표시하고, TCP 정보(또는 TCP세션의PID 정보)를 클릭하면 프로세스와 DLL 정보를 같은 화면에 표시하고, DLL을 클릭하면 해쉬(MD5)정보를 표시한다. 따라서 포렌식 조사관 등은 신속하고 정확하게 악성코드 정보를 알 수 있다. 그러나 종래에는 상기 각 단계의 정보들을 별도로(각 모듈별로) 확인한다. 악성코드 탐지 시스템(30)은 종래에 별도로 조사하거나 분석해야 하는 정보들을 연관성에 의해 한 번에 각 정보들을 조사관에게 보여줄 수 있다.
한편, 본 발명에 따른 악성코드 탐지 시스템(30)은 컴퓨터 단말(10)에 설치된 운영체제 상에 설치되는 프로그램이며, 탐지 시스템(30)이 탐지하고자 하는 악성 코드들도 운영체제 상에서 실행되는 프로그램 또는 프로세스 들이다.
도 3에서 보는 바와 같이, 운영체제(20)는 사용자 계층과 커널계층으로 구분된다. 이때, 프로세스(11)는 사용자 계층에서 실행되고, 커널 계층의 시스템 처리모듈, 드라이버, 또는 드라이버를 통한 하드웨어 장치(25) 등을 이용하기 위하여, 시스템 콜(24) 또는 동적 라이브러리(21) 등을 호출(또는 실행)한다.
바람직하게는, 운영체제(20)는 마이크로소프트(MS) 사의 윈도우 시스템이다.
악성코드 탐지 시스템(30)은 시스템 콜 또는 시스템 명령(command) 등을 이용하여, 운영체제(20)로부터 시스템 정보를 얻는다. 악성코드 탐지 시스템(30)은 운영체제(20)로부터 얻은 다수의 시스템 정보를 서로 연관시켜 분석하여, 악성코드(또는 악성 프로세스)를 탐지한다.
다음으로, 본 발명의 일실시예에 따른 연관성 분석 기반 악성코드 탐지 시스템(30)을 도 4를 참조하여 구체적으로 설명한다.
본 발명에 따른 악성코드 탐지 시스템은 연관성 분석을 기반으로 한다.
악성코드에 감염된 PC 등 컴퓨팅 단말이 정보유출형 악성코드에 감염되어 특정 도메인 주소로 접근을 시도했을 경우 기존 증거 수집 도구 내의 모듈만을 사용하여 정보유출형 악성코드의 동작흐름을 파악하는 것은 불가능하다. 예를 들어, netstat 명령어를 통해 의심스런 IP 주소를 식별하였다 하더라도 해당 IP 주소에 매핑되는 도메인 주소를 확인하기 위한 추가적인 분석이 요구된다. 현재 기존 윈도우 포렌식 도구에서는 이런 기능의 수집 모듈은 없다[문헌 11]. 또한, DLL 정보까지 연결해서 분석또한 불가능하며 이 DLL의 악성코드 여부를 확인하기 위해 필요한 해쉬정보(MD5, SHA1)의 수집 또한 존재하지 않는다.
도 4에서 보는 바와 같이, 본 발명에 따른 연관성 분석 기반 악성코드 탐지 시스템(30)은 도메인 수집부(31), 세션정보 수집부(32), 프로세스 수집부(33), 실행파일 수집부(34), 및, 분석표시부(35)로 이루어져 있다. 또한, 데이터를 저장하기 위한 저장부(36)를 포함하여 구성될 수 있다.
먼저, 도메인 수집부(31)는 도메인의 인터넷 주소를 표시하는 시스템 정보로부터, 도메인 이름, 도메인 IP주소를 포함하는 정보(이하 도메인 관련 정보)를 수집한다. 즉, 도메인 수집부(31)는 도메인의 인터넷 주소를 표시하는 시스템 정보(이하 제1 시스템 정보)로부터, 의심되는 주소(또는 의심 주소)에 맵핑되는 도메인을 검색한다. 특히, 상기 제1 시스템 정보는 윈도우 시스템 상의 "ipconfig /displaydns"의 시스템 명령에 의해 표시된다.
보안담당자가 의심스러운 IP 주소(또는 인터넷 주소)를 발견했을 경우 IP 주소 변경에 지속적으로 대응하기 위해서 최초 발견한 IP 주소에 맵핑되는 도메인 주소(접근한 도메인)를 확인해야 한다. 이를 분석하기 위해서는 ipconfig /displaydns 라는 탐지 기술을 사용한다.
도 5에서 보는 바와 같이, ipconfig /displaydns 명령문은 DNS Resolver Cache[문헌 12]의 내용을 보여준다. 이를 통해 시스템이 접근한 외부 호스트의 IP 주소(또는 인터넷 주소)와 도메인 주소를 함께 알 수 있다.
DNS Resolver Cache에는 사용자가 웹브라우저를 통해 정상적으로 접근을 시도한 곳뿐만이 아니라 악성코드의 동작으로 인해 비정상적인 방법으로 접근을 시도한 곳의 정보도 기록되기 때문에 DNS Resolver Cache 정보는 악성도메인 접속 증거로 활용될 수 있다[문헌 13]. 특히, 해당 도메인을 선택하면 이하에서 설명할 TCP 세션과 바로 연결되어 연관성 분석이 가능하다.
보다 구체적으로, 도메인 수집부(31)에서 수집되는 정보(이하 도메인관련 정보)는, 도메인 이름(예 www.google.co.kr), TTL정보(서버측에서 전송 받은 초단위의 리블레쉬 정보), 레코드 정보(도메인의 IP정보) 등을 포함한다.
한편, 도메인관련 정보 자체로서 의심되는 부분은 하이라이트(또는 강조되게) 표시한다. 이를 통해, 조사관에게 직관적으로 분석을 돕도록 한다. 예를 들어, 중국과 관련된 악성도메인은 .cn, .3322.org, vip.org 등은 DB에 주기적으로 갱신하여 해당 도메인과 매칭되면 빨간색 하이라이트로 표현한다.
특히, 상기 도메인의 IP주소(또는 레코드 정보)는 TCP 세션 정보의 IP와 연동하여 클릭(선택)과 동시에 TCP 세션 정보로 이동한다.
다음으로, 세션정보 수집부(32)는 TCP 세션 정보를 표시하는 시스템 정보로부터 로컬IP주소, 원격IP주소, 프로세스 ID를 포함하는 정보(이하 세션관련 정보)를 수집하고, 상기 프로세스 ID를 갖는 프로세스의 경로를 검색한다.
즉, 인터넷 세션 정보를 표시하는 시스템 정보(이하 제2 시스템 정보)로부터, 상기 도메인과 세션이 설정된 프로세스 및 상기 프로세스의 경로를 추출한다. 바람직하게는, 제2 시스템 정보는 윈도우 시스템 상의 "netstat"(또는 "netstat -nao")의 시스템 명령에 의해 획득되는 정보이다.
기존 악성코드 증거 수집 도구에서도 NETSTAT명령을 이용해서 세션정보를 수집하지만 연관성 분석 기술이 부족하다. 본 발명에서 세션정보는 물론 해당 프로세스와 AppPath 정보(또는 프로세스의 경로 정보)까지 추가하여 연관성 분석을 수행한다.
NETSTAT 명령과 AppPath 정보수집 등 두 가지 기능 모듈을 함께 사용하여 상호 보완한다. 이를 통해, 도메인 정보의 IP정보를 이용하여 TCP 세션의 IP와 매핑한다.
또한, 이하에서 보는 바와 같이, 정보유출형 악성코드로 의심되는 세션을 선택하면 도 7의 프로세스와 연관된 링크 라이브러리 파일(DLL) 정보를 연결하여 연관성 분석을 한다.
보다 구체적으로, 세션정보 수집부(32)에서 수집되는 정보(이하 세션관련 정보)는, 로컬IP(자신의 IP 혹은 127.0.0.1), 원격IP(서버측 IP 혹은 접속IP), PID정보(프로세스 ID정보) 등을 포함한다.
상기 원격IP를 이용해 기존 사고와 관련된 IP를 DB에서 주기적으로 갱신한다. 그리고 해당 IP로 감염신호가 발생되면 해당 IP와 동일한 원격IP 부분 또는 상기 원격IP이 포함된 세션관련 정보를 하이라이트로 표시한다. 이를 통해, 조사관에게 직관적으로 분석을 돕도록 한다.
특히, 상기 PID 정보는 프로세스와 DLL 정보와 연동하여 클릭(선택)과 동시에 프로세스/DLL 정보(또는 프로세스 관련 정보)로 이동한다. 기타 AppPath정보는 별도의 모듈을 통해 netstat 정보와 바로 연동된다.
다음으로, 프로세스 수집부(33)는 프로세스의 위치경로(또는 프로세스의 실행파일 위치경로), 프로세스 ID를 포함하는 정보(이하 프로세스 관련 정보)를 수집한다. 즉, 프로세스 수집부(33)는 프로세스에 의해 실행되는 시스템 실행파일을 추출한다. 이때, 시스템 실행파일은 윈도우 시스템 상의 동적 라이브러리 파일(DLL) 또는 실행파일(EXE) 중 어느 하나 이상이다.
기존 악성코드 증거 수집 도구에서는 연관성 분석 기술이 부족하다. 이는 스크립트기반에서 각 모듈별로 분리되어 연관성 분석이 불가능한 단점이 있다. 본 발명에 의하면, 각 세션에서 프로세스와 연관된 DLL 정보를 한 번에 볼 수 있다.
프로세스 수집부(33)는 자체 개발한 모듈에 의해 프로세스와 DLL 정보를 결합하여 한 화면에 출력시켜 악성코드 분석 시 신속하고 정확하게 탐지가 가능하다. 즉, 종래의 프로세스 탐색 모듈(예를 들어, Process Explorer (www.sysinternals.com) 모듈 등)을 이용해서 정보를 추출한다.
또한, 앞서 설명한 세션관련 정보에서 PID 정보를 이용해서 프로세스 정보와 연동한다.
그리고 이하 실행파일 수집부(34)에서 설명하는 바와 같이, 악성코드로 의심되는 DLL 정보를 선택하면 도 8a와 같이 악성코드의 해쉬(MD5) 정보와 MAC 시간 정보를 얻을 수 있다.
실행 프로세스에 관련된 DLL 리스트를 화면에 보여준다. 악성코드가 프로세스가 될 수 있으며 아니면 DLL 파일이 될 수 있다. 도메인관련 정보 다음에 세션관련 정보의 IP로 매핑되고, IP주소는 다시 프로세스에 해당되는 서비스의 IP와 매핑된다. 순차적으로 매핑되는 것으로 TCP 세션에서 프로세스와 DLL이 매핑된다.
보다 구체적으로, 실행파일 수집부(34)에서 수집(또는 분석)하는 정보(이하 프로세스 관련 정보)는, PATH정보(프로세스의 위치경로, 프로세스의 실행파일 위치 경로), PID정보(프로세스 ID정보) 등을 포함한다.
예를 들어, SVCHOST 프로세스를 이용한 악성코드를 설명한다. dll 파일들을 실행시킬 수 있는 실행 프로세스로 윈도우의 모든 서비스를 exe로 실행시키면 비효율적이므로 여러 가지 dll(동적 링크 라이브러리)파일들이 공통적으로 존재하며, 이러한 dll 파일들을 직접 실행할 수 없기 때문에 svchost.exe를 이용해 원하는 서비스들의 dll을 로드(Load)한다. 각 서비스 마다 svchost.exe로 로드하면 이것 역시 리소스(자원) 낭비이므로 Local Group으로 몇가지 dll 서비스를 묶어서 하나의 svchost.exe로 서비스를 동작시킨다.
따라서 svchost 프로세스는 윈도우 구동과 관련된 프로세스로 여러 개가 실행되는데 실행 후 표기되는 명이 svchost로만 표기된다. 그렇기 때문에 각각 어떤 역할을 하는지는 pid나 apppath(실행프로그램 및 설치파일 위치를 파악하여, 어떤 프로그램이 동작되는지 알 수 있다)를 이용해 분석한다.
특히, 상기 PATH정보 중 SVCHOST 정보에 악성코드가 80% DLL 인젝션(Injection)되어 있다. 따라서 이러한 부분에서 하이라이트로 화면에 표시한다. 이를 통해, 조사관에게 직관적으로 분석을 돕도록 한다.
DLL 인젝션(Injection)은 정상적인 파일에 기생하여 실행되는 형태 혹은 정상적인 파일에 기생하는 기법을 이용하여 자신을 은폐하기 위한 수단을 말한다. 즉, DLL 인젝션(Injection)은 정상적인 파일 혹은 프로세스에 기생하여 존재하는 또 다른 실행파일이다. 악성코드 정보를 확인하는 방법에는 Base 주소가 다른 정상파일과 다른 경우, 버전정보가 없거나 전혀 새로운 1.0.0 으로 시작되는 경우, 파일생성된 날짜가 최근에 만들어진 경우 등이면, DLL 인젝션(Injection) 된 경우라 판단한다[문헌15 참조].
한편, 상기 프로세스 관련 정보의 PID 정보는 상기 세션관련 정보의 PID 정보와 연동되어 있다. 또한, 아래 DLL 정보를 보면 system32 아래에 존재하는 DLL 정보에 대해 클릭(선택)을 하면 해쉬(MD5)정보와 연동된다.
다음으로, 실행파일 수집부(34)는 시스템 실행파일의 파일이름 및 해쉬정보를 포함하는 정보(이하 실행파일 관련 정보)를 수집한다.
앞서 프로세스 수집부(33)는 프로세스에 해당되는 DLL(또는 시스템 파일명)를 얻고, 실행파일 수집부(34)는 해당 DLL에 대한 해쉬정보 및 시간정보를 수집한다. 상기 DLL에 대한 해쉬정보 및 시간정보는 윈도우 시스템의 시스템파일(예를 들어, SYSTEM32 폴더 아래의 파일들)을 읽어들여 MD5(해쉬) 등 시스템 파일 정보를 수집한다.
윈도우 파일아래 SYSTEM32의 동적라이브러리파일(DLL)과 실행파일(EXE)에 대한 정보를 수집한다. 이는 악성코드 대부분이 SYSTEM32아래의 DLL파일과 EXE 파일에 악성코드가 존재하기 때문이다.
해쉬정보와 MAC 시간 정보를 추가 수집하여 기존 악성코드 여부를 확인가능하고 침입탐지시스템(IDS)에서의 악성코드 이벤트 시간과 비교해서 악성코드 실행시간을 유출할 수 있다.
실행파일 수집부(34)는 도 6의 프로세스와 DLL 정보 기술과 연계하여 DLL 정보 부분에 악성코드로 의심되는 부분이 있으면 선택해서 도 7과 연동해서 보여줄 수 있다. 또한, 악성코드는 숨김속성 기능이 있어 숨김속성에 대한 악성코드까지 추출할 수 있도록 수집기능을 구현한다.
화면상에서 DLL을 선택하면 별도 수집 모듈인 DLL 정보의 MD5 정보와 매핑된 곳으로 자동적으로 정보를 확인해 준다.
보다 구체적으로, 실행파일 수집부(34)에서 수집하는 정보(이하 실행파일 관련 정보)는, 파일이름(Dll, exe의 파일이름 정보), 해쉬값(MD5정보), 파일생성 시간(파일최초 만든시간), 파일 변조시간(파일이 업데이트 되거나 변조된 시간), 마지막 접속시간(파일이 특정한 이유로 접근한 시간) 등을 포함한다. 상기 실행파일 관련 정보를 통해 악성코드를 확인할 수 있다. 특히, 해쉬정보를 이용하여 구글검색사이트 등을 활용하여 기존에 알려진 악성코드 정보를 확인할 수 있다.
분석표시부(35)는 상기 도메인 관련 정보, 상기 세션관련 정보, 상기 프로세스 관련 정보, 및 상기 실행파일 관련 정보를 연관하여 표시하고 분석한다.
특히, 시스템 실행파일의 해쉬정보(MD5 등)와 시간 정보를 이용하여, 해당 시스템 실행파일이 악성 코드인지 여부를 확인한다. 악성 코드 분석 사이트에서 악성 코드의 해쉬정보 등을 데이터베이스로 관리한다. 따라서 상기 데이터베이스에 해당 해쉬정보 등이 등재되어 있으면, 해당 해쉬정보를 갖는 시스템 실행파일은 악성코드로 판단할 수 있다.
앞서 각 수집부에서 단계별로 수집한 내용을 가지고 다음 단계(Top-Down방식)로 순차적 분석이 가능하다. 활성 데이터의 수집은 악성코드의 휘발성 정보가 없어져도 각 단계별로 악성코드 분석이 가능하다. 이러한 휘발성 정보를 모두 수집하였을 경우 악성코드 정보는 더욱 정확하게 분석할 수 있다. 예를 들어 첫 번째 악성도메인 수집에 실패하더라도 다음 단계에서 의심되는 악성도메인을 탐지하면 다음 단계로 이동하여 악성코드 위치를 확인 가능하다.
분석표시부(35)에서 악성코드를 탐지하는 방법을 보다 구체적으로 설명한다.
분석표시부(35)는 앞서 각 수집부(31,32,33,34)에서 수집된 정보들, 즉, 도메인 관련 정보, 세션관련 정보, 프로세스 관련 정보, 실행파일 관련 정보를 화면에 표시한다. 또한, 분석표시부(35)는 특정 관련 정보가 표시된 상태에서 특정 관련 정보의 특정 항목을 선택되면 관련된 정보를 연관하여 표시할 수 있다.
즉, 분석표시부(35)는 의심되는 도메인 이름(이하 의심 도메인 이름)에 대하여, 상기 의심 도메인 이름이 상기 도메인 관련 정보의 도메인 이름에서 검색되면 상기 도메인 관련 정보에서 상기 도메인 이름을 포함하는 도메인을 강조하여 표시한다.
또한, 분석표시부(35)는 상기 도메인 관련 정보를 표시하고, 상기 도메인 IP주소가 선택되면 상기 도메인 IP주소와 동일한 원격IP주소를 갖는 세션관련 정보를 표시한다.
또한, 분석표시부(35)는 의심되는 IP주소(이하 의심 IP주소)에 대하여, 상기 IP주소와 동일한 원격IP주소를 갖는 세션관련 정보를 강조하여 표시한다.
또한, 분석표시부(35)는 상기 세션 관련 정보를 표시하고, 상기 세션 관련 정보의 프로세스 ID(이하 세션 프로세스 ID)가 선택되면 상기 세션 프로세스 ID와 동일한 프로세스 ID를 갖는 프로세스 관련 정보를 표시한다.
또한, 분석표시부(35)는 상기 프로세스 관련 정보를 표시하고, 상기 프로세스 관련 정보의 실행파일 정보가 선택되면 상기 실행파일과 동일한 시스템 실행파일을 갖는 실행파일 관련 정보를 표시한다.
한편, 앞서 본 바와 같이, 분석표시부(35)는 실행파일 관련 정보의 해쉬값이 알려진 악성코드 정보인지를 확인하여 상기 실행파일의 프로세스가 악성코드인지 여부를 판단할 수 있다.
또한, 분석표시부(35)는 앞서 각 단계의 분석을 전체적으로 결합하여 분석할 수 있다. 즉, 분석표시부(35)는 의심되는 도메인 이름(이하 의심 도메인 이름)에 대하여, 상기 도메인 관련 정보에서 상기 의심 도메인 이름을 검색하고, 검색된 도메인 관련정보의 IP주소를 상기 세션관련 정보의 원격IP주소에서 검색하고, 검색된 세션관련 정보의 프로세스 ID를 상기 실행파일 관련 정보에서 검색한다.
따라서 분석표시부(35)는 의심 도메인 이름에 대하여 이와 관련된 실행파일 관련정보를 획득하여, 실행관련 정보의 해쉬값(MD5)으로 악성코드 여부도 확인할 수 있다.
예를 들어, 도 9a는 악성 도메인 정보를 도메인 관련 정보에서 확인할 수 있다. 악성 도메인 kcm.han1234.com 인 것을 확인할 수 있고, 해당 IP정보는 TCP IP와 연동해서 세션관련 정보가 확인가능하다. 도 9b와 같이, 세션관련 정보를 확인할 수 있다. 또한, 도 9b와 같이, TCP 세션정보에서 프로세스 ID : 1160 관련 악성코드는 6to4beas.dat 파일임을 확인할 수 있다. 또한, 도 9c와 같이, 프로세스 dll 정보 확인를 확인함으로써, svchost 프로세스에서 악성코드는 6to4beas.dat 파일로 명확히 확인할 수 있다. 또한, 파일생성시간 추가하여 확인할 수 있다.
도 10에서 보는 바와 같이, 해쉬값(MD5)을 구글 검색결과 악성코드임을 확인할 수 있다. 결과적으로, 도 9d에서 보는 바와 같이, 서비스 정보 확인 결과 원격제어 악성코드임을 확인할 수 있다.
또 다른 예로서, 도 11에서 보는 바와 같이, 첫 번째 악성도메인 추출확인이 어려운 경우, TCP 세션정보 확인 불가한 경우, 수동 점검을 할 수 있다. 즉, 의심 프로세스를 확인하고, iase.dll 파일을 의심하여, 해당 iase.dll 파일에 대해 해쉬값 연관성 분석을 통해 확인할 수 있다. 해쉬값에 의한 검색은 도 10과 같이 미리 알려진 악성 해쉬값을 참조하여 판단할 수 있다.
이상, 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
10 : 컴퓨터 단말 11 : 프로세스
20 : 운영체제 21 : 동적 라이브러리
22 : 시스템 처리 모듈 24 : 시스템 콜/명령
30 : 악성코드 탐지 시스템 31 : 도메인 수집부
32 : 세션정보 수집부 33 : 프로세스 수집부
34 : 실행파일 수집부 35 : 분석표시부
36 : 저장부 40 : 데이터베이스
50 : 네트워크

Claims (11)

  1. 운영체제 상에서 다수의 시스템 정보를 수집하고 서로 연관시켜 분석하여, 악성코드를 탐지하는 연관성 분석 기반 악성코드 탐지 시스템에 있어서,
    도메인의 인터넷 주소를 표시하는 시스템 정보로부터, 도메인 이름, 도메인 IP주소를 포함하는 정보(이하 도메인 관련 정보)를 수집하는 도메인 수집부;
    TCP 세션 정보를 표시하는 시스템 정보로부터 로컬IP주소, 원격IP주소, 프로세스 ID를 포함하는 정보(이하 세션관련 정보)를 수집하고, 상기 프로세스 ID를 갖는 프로세스의 경로를 검색하는 세션정보 수집부;
    프로세스의 위치경로, 프로세스 ID를 포함하는 정보(이하 프로세스 관련 정보)를 수집하는 프로세스 수집부;
    시스템 실행파일의 파일이름 및 해쉬정보를 포함하는 정보(이하 실행파일 관련 정보)를 수집하는 실행파일 수집부; 및,
    상기 도메인 관련 정보, 상기 세션관련 정보, 상기 프로세스 관련 정보, 및 상기 실행파일 관련 정보를 연관하여 표시하고 분석하는 분석표시부를 포함하는 것을 특징으로 하는 연관성 분석 기반 악성코드 탐지 시스템.
  2. 제1항에 있어서,
    상기 분석표시부는 의심되는 도메인 이름(이하 의심 도메인 이름)에 대하여, 상기 의심 도메인 이름이 상기 도메인 관련 정보의 도메인 이름에서 검색되면 상기 도메인 관련 정보에서 상기 도메인 이름을 포함하는 도메인을 강조하여 표시하는 것을 특징으로 하는 연관성 분석 기반 악성코드 탐지 시스템.
  3. 제1항에 있어서,
    상기 분석표시부는 상기 도메인 관련 정보를 표시하고, 상기 도메인 IP주소가 선택되면 상기 도메인 IP주소와 동일한 원격IP주소를 갖는 세션관련 정보를 표시하는 것을 특징으로 하는 연관성 분석 기반 악성코드 탐지 시스템.
  4. 제1항에 있어서,
    상기 분석표시부는 의심되는 IP주소(이하 의심 IP주소)에 대하여, 상기 IP주소와 동일한 원격IP주소를 갖는 세션관련 정보를 강조하여 표시하는 것을 특징으로 하는 연관성 분석 기반 악성코드 탐지 시스템.
  5. 제1항에 있어서,
    상기 분석표시부는 상기 세션 관련 정보를 표시하고, 상기 세션 관련 정보의 프로세스 ID(이하 세션 프로세스 ID)가 선택되면 상기 세션 프로세스 ID와 동일한 프로세스 ID를 갖는 프로세스 관련 정보를 표시하는 것을 특징으로 하는 연관성 분석 기반 악성코드 탐지 시스템.
  6. 제1항에 있어서,
    상기 분석표시부는 상기 프로세스 관련 정보를 표시하고, 상기 프로세스 관련 정보의 실행파일 정보가 선택되면 상기 실행파일과 동일한 시스템 실행파일을 갖는 실행파일 관련 정보를 표시하는 것을 특징으로 하는 연관성 분석 기반 악성코드 탐지 시스템.
  7. 제1항에 있어서,
    상기 분석표시부는 의심되는 도메인 이름(이하 의심 도메인 이름)에 대하여, 상기 도메인 관련 정보에서 상기 의심 도메인 이름을 검색하고, 검색된 도메인 관련정보의 IP주소를 상기 세션관련 정보의 원격IP주소에서 검색하고, 검색된 세션관련 정보의 프로세스 ID를 상기 실행파일 관련 정보에서 검색하는 것을 특징으로 하는 연관성 분석 기반 악성코드 탐지 시스템.
  8. 제1항에 있어서,
    상기 분석표시부는 상기 실행파일 관련 정보의 해쉬값이 알려진 악성코드 정보인지를 확인하여 상기 실행파일의 프로세스가 악성코드인지 여부를 판단하는 것을 특징으로 하는 연관성 분석 기반 악성코드 탐지 시스템.
  9. 제1항에 있어서,
    상기 도메인 수집부는 윈도우 시스템 상의 "ipconfig /displaydns"의 시스템 명령에 의해 상기 도메인 관련 정보를 수집하는 것을 특징으로 하는 연관성 분석 기반 악성코드 탐지 시스템.
  10. 제1항에 있어서,
    상기 세션정보 수집부는 윈도우 시스템 상의 "netstat -nao"의 시스템 명령에 의해 상기 세션관련 정보를 수집하는 것을 특징으로 하는 연관성 분석 기반 악성코드 탐지 시스템.
  11. 제1항 내지 제10항 중 어느 한 항에 있어서,
    상기 시스템 실행파일은 윈도우 시스템 상의 동적 라이브러리 파일(DLL) 또는 실행파일(EXE) 중 어느 하나 이상인 것을 특징으로 하는 연관성 분석 기반 악성코드 탐지 시스템.
KR1020120018121A 2012-02-22 2012-02-22 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 KR101345740B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120018121A KR101345740B1 (ko) 2012-02-22 2012-02-22 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120018121A KR101345740B1 (ko) 2012-02-22 2012-02-22 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템

Publications (2)

Publication Number Publication Date
KR20130096565A true KR20130096565A (ko) 2013-08-30
KR101345740B1 KR101345740B1 (ko) 2013-12-30

Family

ID=49219419

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120018121A KR101345740B1 (ko) 2012-02-22 2012-02-22 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템

Country Status (1)

Country Link
KR (1) KR101345740B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101410445B1 (ko) * 2014-02-10 2014-06-20 주식회사 피앤피시큐어 스크립트에 의한 서버작업 식별시스템과 이를 이용한 식별방법
KR20160087187A (ko) * 2015-01-13 2016-07-21 한국전자통신연구원 사이버 블랙박스 시스템 및 그 방법
CN111368300A (zh) * 2020-03-02 2020-07-03 深信服科技股份有限公司 恶意文件处置方法、装置、设备及存储介质
WO2021045331A1 (ko) * 2019-09-05 2021-03-11 (주)에스투더블유랩 암호화폐 거래 분석 방법 및 장치
WO2021045332A1 (ko) * 2019-09-05 2021-03-11 (주)에스투더블유랩 암호화폐 거래를 분석하기 위한 데이터 획득 방법 및 장치

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100942798B1 (ko) * 2007-11-29 2010-02-18 한국전자통신연구원 악성코드 탐지장치 및 방법
KR100977827B1 (ko) * 2008-10-14 2010-08-25 한국전자통신연구원 악성 웹 서버 시스템의 접속탐지 장치 및 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101410445B1 (ko) * 2014-02-10 2014-06-20 주식회사 피앤피시큐어 스크립트에 의한 서버작업 식별시스템과 이를 이용한 식별방법
KR20160087187A (ko) * 2015-01-13 2016-07-21 한국전자통신연구원 사이버 블랙박스 시스템 및 그 방법
WO2021045331A1 (ko) * 2019-09-05 2021-03-11 (주)에스투더블유랩 암호화폐 거래 분석 방법 및 장치
WO2021045332A1 (ko) * 2019-09-05 2021-03-11 (주)에스투더블유랩 암호화폐 거래를 분석하기 위한 데이터 획득 방법 및 장치
CN111368300A (zh) * 2020-03-02 2020-07-03 深信服科技股份有限公司 恶意文件处置方法、装置、设备及存储介质
CN111368300B (zh) * 2020-03-02 2024-05-24 深信服科技股份有限公司 恶意文件处置方法、装置、设备及存储介质

Also Published As

Publication number Publication date
KR101345740B1 (ko) 2013-12-30

Similar Documents

Publication Publication Date Title
Chen et al. Uncovering the face of android ransomware: Characterization and real-time detection
Grover Android forensics: Automated data collection and reporting from a mobile device
US9300682B2 (en) Composite analysis of executable content across enterprise network
RU2726032C2 (ru) Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga)
KR101070184B1 (ko) 멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
KR101345740B1 (ko) 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템
Eto et al. Nicter: A large-scale network incident analysis system: Case studies for understanding threat landscape
Starov et al. Betrayed by your dashboard: Discovering malicious campaigns via web analytics
CN113177205B (zh) 一种恶意应用检测系统及方法
Chen et al. Mass discovery of android traffic imprints through instantiated partial execution
WO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
Riadi et al. Vulnerability analysis of E-voting application using open web application security project (OWASP) framework
de Vicente Mohino et al. Mmale—a methodology for malware analysis in linux environments
Brierley et al. Industrialising blackmail: Privacy invasion based IoT ransomware
Kim et al. A study on the digital forensic investigation method of clever malware in IoT devices
Krumnow et al. How gullible are web measurement tools? a case study analysing and strengthening OpenWPM's reliability
Wangchuk et al. Forensic and behavior analysis of free android VPNs
Kim et al. I’ve Got Your Number: Harvesting users’ personal data via contacts sync for the KakaoTalk messenger
JP6007308B1 (ja) 情報処理装置、情報処理方法及びプログラム
Dutta et al. Introduction to digital forensics
JP5966076B1 (ja) 情報処理装置、情報処理方法及びプログラム
JP6105797B1 (ja) 情報処理装置、情報処理方法及びプログラム
Lim et al. A study on malware detection system model based on correlation analysis using live response techniques
Botas et al. Counterfeiting and defending the digital forensic process

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161121

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171208

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181217

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191203

Year of fee payment: 7