KR20160054589A

KR20160054589A - 멀웨어 및 익스플로잇 캠패인 검출 시스템 및 방법

Info

Publication number: KR20160054589A
Application number: KR1020167009465A
Authority: KR
Inventors: 자옌드라 파탁; 모하메드 사헤르 모크타르
Original assignee: 엔에스에스 랩스 인코포레이티드
Priority date: 2013-09-11
Filing date: 2014-09-11
Publication date: 2016-05-16
Also published as: WO2018089380A1; CA2924066A1; TWI587170B; EP3044684A2; US20170054754A1; US20150074810A1; US10084817B2; TW201528034A; US20190199747A1; WO2015038775A3; EP3044684A4; WO2015038775A9; WO2015038775A2

Abstract

멀웨어 또는 익스플로잇 캠페인에 의해 검출될 수 없는 멀웨어 및 익스플로잇 캠페인 검출 시스템 및 방법이 제공된다. 시스템은 인-라인 네트워크 보안 및 엔드 포인트 보호(안티 바이러스) 기술을 생성하는 벤더(vendor)에 위협 피드 데이터를 제공할 수 있다. 시스템은 또한 서드 파티 제품을 위한 테스팅 플랫폼으로서 사용될 수 있다. 시스템 클라우드 인프라구조의 거대한 풋프린트 및 상이한 네트워크 연결 및 지오-로케이션 혼동 기술로 인해, NSS는 전세계에 걸친 멀웨어를 로케이트하고 모니터할 수 있고, 종종 서로 다른 멀웨어/사이버-범죄 캠페인을 지원하고 호스팅함에 따라, 각 특정 구역에 대한 상세한 위협 분석을 제공할 수 있다.

Description

멀웨어 및 익스플로잇 캠패인 검출 시스템 및 방법{MALWARE AND EXPLOIT CAMPAIGN DETECTION SYSTEM AND METHOD}

본 출원은 2013년 9월 11일에 출원되고 "Malware And Exploit Campaign Detection System And Method"란 명칭의 미국 가 특허출원 일련번호 제 61/876,704 호에 대해 35 USC 120 하에서의 우선권 및 35 USC 119(e) 하에서의 이익을 주장하고, 상술한 출원의 전체 내용은 본원에 인용에 의해 포함된다.

본질적으로 보안 연구자 및 현대의 보안 시스템과 소프트웨어에 의한 검출 및 분석을 회피하기 위해 난독화(obfuscation), 배포(deployment) 및 실행에 관련하여 현대의 멀웨어(malware) 및 익스플로잇 캠페인(exploit campaign)이 점점 정교해지고 있다. 엔드포인트 보호 플랫폼(endpoint protection platform: EPP) 뿐 아니라 유출 검출 서비스(breach detection service: BDS)와 같은 안티 바이러스(anti virus: AV) 시스템은 클라우드(cloud)(가상) 네트워크 구성에서 동작하는 가상의 "샌드박스(sandbox)" 또는 "허니 넷(honey net)"을 사용한다. 이러한 샌드박스는 멀웨어가 실행하고 그 활동이 모니터링될 수 있고 분석될 수 있는 시간까지 수상쩍은 소프트웨어를 인큐베이팅(incubating)함으로써 멀웨어 및 바이러스 프로그램을 식별하려 한다. 이 시스템은 종종, 멀웨어가 그와 같은 시스템/트랩(trap)에 참가할 때를 인식하게 허용하는 멀웨어 개발에서의 진화(evolution)로 인해, 사전에 알지못한 멀웨어를 식별하지 못한다. 현대의 멀웨어는 "인지적(cognitive)"인 것으로 고려될 수 있고 현재 트랩(모니터링되는 시스템) 내에 인큐베이팅되고 있는지를 완전히 인식할 수 있고, 계속해서 동면(hibernate)할 것이고, 따라서 스스로 악성 소프트웨어(malicious software)로서 나타나지 않을 것이다. 따라서 샌드박스 시스템은 수상쩍은 파일을 악성인 것으로 식별하지 못할 것이고, 따라서 모든 유사한 프로그램이 장래의 테스팅을 통과하게 허용할 것이다.

("BaitNET"으로 알려져 있을 수 있는) 멀웨어 및 익스플로잇 캠페인 검출을 위한 시스템 및 방법은 멀웨어/익스플로잇에 의한 시스템의 검출을 방지하는 기술을 가지기 때문에 종래의 시스템과는 다르다. 다른 기술과 달리, BaitNET은 현대의 멀웨어/익스플로잇에 의해 검출될 수 없고, 따라서 멀웨어/익스플로잇의 동작/행동(action)이 제한없이 수집될 수 있고 분석될 수 있다. 수집된 멀웨어/익스플로잇은 어느 다른 시스템 풋프린트(footprint)가 멀웨어 캠페인에 취약할 수 있는지를 결정하기 위해 BaitNET의 사설 클라우드 인프라구조(private cloud infrastructure) 내의 다양한 운영 시스템(operation system) 및 애플리케이션 구성에 대해 리플레이(replayed)되고/테스트된다. BaitNET은 멀웨어/익스플로잇을 성공적으로 인큐베이트, 트랙킹(track) 및 목록화할 수 있다. 멀웨어/익스플로잇에 대한 BaitNET의 투명성으로 인해, BaitNET은 위협적 액터(actor)를 트래킹할 수 있고, 그것이 진짜로 위치하는 장소, 시작된 다른 유사한 멀웨어/익스플로잇 캠페인이 무엇인지 및 무엇에 대하여 실행되었는 지를 식별할 수 있는 실황 분석(live analysis)을 수행할 수 있다. 상기의 모두는 BaitNET이 위협적 액터의 실행가능하고 잠재적인 타겟(target)을 나타내는 위협 예측을 생산하는 동안 이루어진다. BaitNET은 또한 시판중인 이용가능한 EPP, AV, 인-라인 네트워크 보안 전자기기(in-line network security appliance) 및 BDS 시스템의 효율성을 측정하고 테스트하기 위해 사용될 수 있다. 이것은 이러한 상품이 이미 설치된 경우에 멀웨어/익스플로잇을 BaitNET의 구성 내로 투입함으로써, 그리고 멀웨어/익스플로잇이 ㅌ투입된 것을 아는 BaitNET이 스스로 검출한 것과, 시판중인 상품이 검출하였다고 주장하는 것 사이의 차이(delta)를 모니터링함으로써 이루어진다. 예를 들어, BaitNET은 이들 상품의 효율을 테스트하기 위해 사용되는 현대의 AV, EPP 및 BDS를 뛰어넘는 진보적 기술이다.

일 실시예에서, BaitNET은 머신(machine) 자체가 가상/무인(unmanned) 컴퓨터라는 사실을 BaitNET이 혼동하게 할 수 있는, 운영 시스템 및 (게스트(guest) 및 호스트(host) 둘 다인) 가상 머신 아키텍처 내로 BaitNET을 끼워넣게 할 수 있는, 본 명세서에 개략된 다수의 소프트웨어 애플리케이션, 프로세스 및 혁신(innovation)의 집합체(conglomerate)이다. 시스템은 전세계에 걸쳐 거의-무제한의 수의 고유 인터넷 IP 어드레스가 사용될 수 있게 하는 다수의 가상 사설 네트워크(virtual private network: VPN)를 활용한다. 이들 상이한 IP 어드레스는 BaitNET에 2가지 주된 장점을 제공한다. 하나는, 많은 멀웨어 시스템이 한번 이상 동일한 IP 어드레스에 멀웨어를 "드롭(drop)"(배포)하지 않을 것이기 때문에, 재-감염(re-infection)을 강제하기 위해, BaitNET이 인터넷 존재를 혼동하게 할 필요가 있다. 둘째로, 많은 멀웨어 캠페인은 IP 어드레스를 통해 종종 추적되는 지오-로케이션(geo-location)에 의해 그 타겟을 제한한다. 예를 들어, 멀웨어-감염 서버는 종종 임의의 정해진 마스킹된 IP 어드레스로부터 하나(1)의 컴퓨터만을 감염하는 것으로 스스로 제한하고, 감염시킬 IP 어드레스의 발신지의 나라를 제한할 수 있다. BaitNET은 분산 지오-로케이션을 흉내내기 위해 그리고 서로 다른 구역에서 멀웨어 캠페인을 맵 아웃(map out)하기 위해 전세계 전반의 VPN을 활용한다. 호스트 운영 시스템 상의 언어 팩(language pack) 및 키보드 언어(keyboard language) 구성을 변화시키는 것과 같이 잠재적 타겟 자격 데이터 포인트를 에뮬레이트(emulate)하기 위해 BaitNET에 소유되지 않는 다른 기술이 또한 사용될 수 있다.

다양한 채널을 통해 제공되는 URL을 크롤링함으로써 새로운 멀웨어를 찾아낸 후에, BaitNET은 공격 벡터, 페이로드(payload), 익스플로잇에 관한 임계 정보 및 다른 관련 메타데이터를 기록하고, 그 후에 BaitNET 네트워크 상의 수천의 다른 호스트에 대해 이 공격을 "리플레이(replay)"한다. "리플레이"는 본 명세서의 나중에 개략되는 바와 같이, BaitNET의 프록시 서비스의 사용을 통해 달성되고, 서드 파티(party) 보안 시스템의 효력을 테스팅할 때 단일 이미지에 대해 또는 익스플로잇/멀웨어의 효율성을 맵핑할 때 운영 시스템, 애플리케이션 구성 및 소프트웨어 툴의 버전의 무한 반복에 대해 이루어질 수 있다. 리플레이 동안 사용되는 호스트의 각각은 웹 브라우저(web browser), 설치 애플리케이션의 스위트(suite), 다양한 프로그램 및 운영 시스템 패치 레벨, 설치 언어 패키지 등의 서로 다른 조합을 가진다. 시스템의 표현은 2005로부터 현재까지 윈도우 및 OS X의 거의 모든 가능한 조합이다. BaitNET은 또한 모바일 디바이스 운영 시스템을 에뮬레이팅할 수 있고, 멀웨어/익스플로잇을 검출하고 목록화하는데 동일한 기술을 이용한다. 이 모두는 연구자가 멀웨어/익스플로잇에 대한 진짜 타겟 풍경/범위를 이해하게 허용하고, 멀웨어/익스플로잇은 침입 방지 시스템(intrusion prevention system: IPS), 차세대 방화벽(next generation firewall: NGF) 및 유출 검출 시스템(BDS)과 같은 안티-바이러스(AV) 및 인-라인 보안 시스템에 대해 테스트될 수 있다.

도 1은 BaitNET의 주된 컴포넌트의 하이-레벨 아키텍처(high-level architecture)를 도시한다.
도 2a-2d는 BaitNET 제어 프로세스의 프로세스 제어 및 내부 동작 및 캡처, 리플레이 및 프록시 프로세스와의 상호운용성(interoperability)을 도시한다.
도 3-6은 도 1의 BaitNET 시스템의 사용자 인터페이스의 예이다.

BaitNET은 활성 멀웨어 캠페인 및 새로운 익스플로잇을 찾아내고, 검출하고, 항목화하고 리플레이/리테스트(retest)하도록 설계된다. BaitNET은 멀웨어를 검출하기 위해 활용되는 다른 기술보다 뛰어난 후크 및 펑션(function) 성능(capability)으로, 운영 시스템의 커널(kernel) 및 애플리케이션-프로세스 층 내에서 동작하는 멀티-레벨 애플리케이션이다. BaitNET은 이러한 다른 제품, 예를 들어 안티바이러스 애플리케이션("기업 엔드포인트 보호(Enterprise Endpoint Protection)"로 알려짐)을 테스트하기 위해 가장 흔하게 사용되고 따라서 그와 같은 멀웨어를 검출하는데 훨씬 더 효과적인 것으로 나타났다. BaitNET은 위협 예측 시스템으로서 다양한 타입의 OS를 지원한다. BaitNET의 가상 머신(Virtual Machine: VM)은 서버, 워크스테이션, 스마트폰 및 태블릿과 같은 모바일 컴퓨팅 디바이스(mobile computing device)를 시뮬레이팅할 수 있다.

도 1에 도시된 바와 같이, 시스템은 "스택(stack)"으로 알려지는 네트워킹 하드웨어 및 서버의 3가지 어레이를 활용한다. 각 스택은 가상 머신("게스트")을 호스팅하는 임의의 수의 물리적 서버이다. 서버 및 게스트의 정확한 수는 수행되는 테스팅 및 연구의 범위 및 스케일에 기초한다. 전형적으로, "실황 테스팅(Live Testing)" 내에서, 이것은 수만개의 게스트일 것이다. 도 1은 인프라구조 지원 서버를 가지는 서버 및 게스트의 다양한 스택의 상호동작/통신뿐 아니라 컴포넌트가 인터넷 연결성을 가지는 것을 도시한다.

구체적으로, 시스템은 스택을 포함하는 도 1에 도시되는 컴퓨팅 리소스를 사용하여 구현될 수 있다. 도 1에 도시된 바와 같이, 시스템은 캡처 스택(capture stack), 리플레이 스택(replay stack), 프록시 스택(proxy stack)으로 구현될 수 있다. 시스템은 또한 스택의 각각뿐 아니라 (데이터 등의 스토리지(storage)를 위한) 하나 이상의 SQL 서버 및 하나 이상의 전달 서버(transfer server)를 제어하는 마스터 하이퍼바이저 제어기(master hypervisor controller)를 가질 수 있다. 도 1에 도시된 바와 같이, 캡처 스택 및 프록시 스택은 인터넷과 같은 컴퓨터 네트워크에 대한 액세스를 가진다. 캡처 스택은 이하에 설명되는 캡처 프로세스를 구현하고, 리플레이 스택은 이하에 설명되는 리플레이 프로세스를 구현하고, 프록시 스택은 이하에 설명되는 프록시 프로세스를 구현한다. 스택의 각각은 하나 이상의 클라우드 컴퓨팅 리소스 또는 하나 이상의 서버 컴퓨터 리소스와 같은 하나 이상의 컴퓨팅 리소스를 사용하여 구현될 수 있다. 하나 이상의 컴퓨팅 리소스의 각각은 프로세서 및 메모리를 가질 수 있고, 그리고 메모리에 저장될 수 있고 이하에 설명되는 캡처, 리플레이 및 프록시 프로세스를 구현하기 위해 프로세서에 의해 실행될 수 있는 복수의 라인의 컴퓨터 코드를 가질 수 있다. 스택의 각각은 또한 하이퍼바이저 제어기에 의해 제어되는 하나 이상의 가상 머신으로서 구현될 수 있다.

도 2a-2d는 (마스터 하이퍼바이저 제어기에 의해 구현되는) BaitNet 제어 프로세스의 프로세스 제어 및 내부 동작 및 캡처, 리플레이 및 프록시 프로세스와의 상호운용성을 도시한다. 제어기 프로세스 및 리플레이 프로세스의 일부가 도 2a에 도시되고, 리플레이 프로세스는 또한 도 2a, 2b 및 2c가 리플레이 프로세스를 도시하기 위해 서로 연결되는 방법을 도시하는 참조 지시어(A 및 E)에 의해 도시된 바와 같이 도 2b 및 2c에 도시된다. 도 2b 및 2c는 또한 캡처 프로세스를 도시하기 위해 도 2b 및 2c가 서로 연결되는 방법을 도시하는 참조 지시어(D)에 의해 도시된 바와 같은 캡처 프로세스의 상세를 도시한다. 도 2b 및 2c는 또한 제로데이(ZeroDay) 프로세스를 도시하기 위해 도 2b 및 2c가 서로 연결되는 방법을 도시하는 참조 지시어(B)에 의해 도시된 바와 같은 제로데이 프로세스를 도시한다. 도 2b 및 2c는 또한 프록시 프로세스를 도시하기 위해 도 2b 및 2c가 서로 연결되는 방법을 도시하는 참조 지시어(C)에 의해 도시된 바와 같은 프록시 프로세스를 도시한다. 마지막으로, 도 2d는 캡처 프로세스와 난독화 엔진(Obfuscation Engine) 사이의 상호교환을 도시하는 참조(F 및 G)를 가지는 난독화 엔진의 상세를 도시한다. 또한 난독화 엔진, 익스플로잇 피드(Exploit Feed) 및 제로데이 모듈과의 상호교환이 도시된다. 도 2a-2c는 열거 프로세스를 도시하기 위해 도 2a, 2b 및 2c가 서로 연결되는 방법을 도시하는 참조 지시어(I 및 H)에 의해 도시된 바와 같은 열거 프로세스를 도시한다.

BaitNET 시스템은 NSS 랩(Lab)("NSS")에 의해 동작될 수 있다. 전세계로부터의 소스를 사용하여, BaitNET 프로세스는 NSS가 잠재적으로 악성 웹사이트(website)에 관한 정보를 위해 구독하는(subscribe) 다양한 피드의 상관관계 및 표준화(normalization)로 시작한다. 이러한 표준화 데이터는 BaitNET의 캡처 프로세스에 제시되고 일련의 테스팅에 할당되는 구성 운영 시스템 변종(varication) 각각에 대한 타겟으로서 큐잉된다(queued). 전세계로부터 진짜 지리적 위치를 혼동시킬 뿐 아니라 악성 URL에 의해 사용될 수 있는 지오-로케이션 필터링을 익스플로어링(explore)하기 위해 BaitNET 시스템은 캡쳐 프로세스를 이용하여, 구성에서의 수천개의 변종을 활용하여 각각의 수천개의 시스템에 URL을 발행하고, 각 시스템은 차례로 상이한 VPN 터널, BaitNET의 캡쳐 프로세스 내의 난독화 엔진의 메커니즘을 사용하여 URL을 방문한다. 성공적이라면, URL에 대한 방문은 타겟 워크스테이션(workstation)에 대한 악성 코드의 "드롭"을 초래할 것이다. BaitNET은 악성 코드의 다운로드를 모니터하고; 네트워크 트래픽을 기록하고, 악성 코드의 복제를 생성하고, 악성 코드에 의해 만들어지는 운영 시스템에 대한 모든 변경을 목록화한다. 추가로, 캡처 프로세스는 현재의 감염/침해된(compromised) 워크스테이션으로부터의 임의의 그리고 모든 발신 통신을 기록할 것이다. 이러한 발신 트래픽은 현재의 감염 시스템으로부터 유효한 임의의 데이터뿐만 아니라, 종종 진짜 위협 액터를 식별하는 임의의 커맨드 및 제어(Command and Control: C&C) 통신을 포함할 것이다. 예를 들어, 캡처 프로세스 동안 캡처되는 데이터를 도시하는 시스템의 사용자 인터페이스의 예는 도 3-6에 도시된다.

도 3은 BaitNET 시스템에 의해 발견된 유효한 익스플로잇을 도시하는 시스템으로부터의 출력이다. 캡처 날짜, 예를 들어 멀웨어 또는 익스플로잇이 다운로딩된 날짜 및 시간은 감염/악성 웹사이트 상의 파일에 대한 전체 경로, 멀웨어/익스플로잇이 실행된 게스트(가상) 워크스테이션 상에 사용되는 정확한 운영 시스템 및 (성공적이어야 하는) 멀웨어/익스플로잇이 타겟으로 하는 정확한 애플리케이션을 도시하는 대응하는 소스 URL(Universal Record Locator)과 함께 도시된다. 본 예에서, 목록에서의 제 1 익스플로잇은 마이크로소프트 윈도우즈 7 상의 자바 버전 6 업데이터 27을 사용하고 google.com 웹사이트 상에 리다이렉트된(링크된) URL로부터 다운로딩되었다. 시스템의 사용자는 더 상세한 정보를 드릴-다운(drill-down)하기 위해 이들 필드 중 임의의 것을 클릭할 수 있다. 예를 들어, "소스" 섹션은 IP 어드레스, 패킷 캡처 데이터, 지오-로케이션 정보 등을 제공한다.

도 4는 다운로드되고 멀웨어/익스플로잇 코드인 것으로 검증된 "드롭" 또는 악성 파일에 관한 상세 정보를 도시하는 시스템으로부터의 출력이다. 다시 한번 관련 날짜 및 시간이 디스플레이되고, 멀웨어/익스플로잇이 캡처될 때 시스템에 의해 발생된 고유 파일명(filename)이 제시된다. 이 파일은 악성 컨텐츠를 포함하고 조사 및 역분석(reverse engineering)을 위한 보존(archived)(안전) 버전에 다운로딩되었다. 엔드-유저가 저장소(repository)로부터의 파일이 변경되지 않았음을 검증할 수 있도록 보존 파일의 해시 값(MD5)이 제시된다. 시스템은 본 예에 제시된 바와 같이, 멀웨어/익스플로잇이 검증됨을 표시할 것이다. 캡처된 멀웨어/익스플로잇의 감염 및 실행을 확인하기 위해 BaitNET 시스템이 프록시 및 리플레이 프로세스를 활용할 때 검증이 발생한다. 페이지의 중심 섹션은 사용된 URI/공격의 타입, 악성 파일을 호스팅한 서버의 IP 어드레스, 및 IP 어드레스의 발신지의 나라("지오-로케이션"이라 함)로부터 (이것은 도 3에서의 데이터와 매칭함) 파일이 수집되는 URI를 반영한다. 악성 콘텐츠로 성공적으로 감염된 동작가능한 타겟 플랫폼 상에 추가적인 상세가 제시된다.

도 5는 캡처된 악성 컨텐츠(멀웨어/익스플로잇 코드)에 관한 시스템으로부터의 더 상세한 정보이다. 여기서 엔드-유저는 각 파일의 정확한 크기와 함께 악성 실행가능(파일)의 해시(MD5)를 찾을 수 있다. 이 정보는 현재 알려진 악성 콘텐츠의 해시 값을 식별하고 그 악성 콘텐츠가 다운로딩되거나(인-라인 디바이스) 실행되는(엔드 포인트 제품) 것을 차단하기 위해 IPS, NGFW와 같은 인-라인 보안 시스템, 또는 심지어 안티 바이러스와 같은 엔드포인트 제품을 업데이트하기 위해 사용될 수 있다.

도 6은 BaitNET 내부의 게스트 시스템에 의해 액세스될 때 악성 웹사이트의 URI 및 네트워크 행동에 관한 상세 정보를 포함한다. 정보는 엔드-유저에게 공격 벡터를 이해하는데 관련되는 네트워크 패킷 캡처(pcap) 데이터를 제공한다. 웹 서버 운영 플랫폼(이 경우에 Mod 및 Open SSL을 가지는 UNIX 운영 시스템 상에 실행하는 Apache 2.0.59)과 같은 서버에 관한 정보뿐 아니라, 전체 URI, 특정 웹 브라우저가 사용된(Mozilla 5.0) 공격의 프로토콜(이 경우에 http v.1.1), 드롭의 실제 URI(이 경우에 .DE, 독일, 도메인을 가지는 서버)이 제공된다. 이 데이터는 IPS, IDS, WAF 및 NGFW와 같은 인-라인 시스템 내의 다른 규칙뿐만 아니라 방화벽 규칙을 기록하기 위해 엔드-유저에 의해 사용될 수 있다. 호스팅, 전송 및 타겟 구성을 포함하여 제공되는 정확한 공격 벡터는 BaitNET에 의해 고유하게 제공되는 필수적인 정보 피스이다.

성공적으로 감염된 시스템은 이제 그 원래 상태로 리셋되어, 큐(queue)에서 다음의 URL에 대해 재사용되도록 준비한다. 수집된 모든 데이터는 (하나 이상의 SQL 서버에 저장되는) 2개의 서로 다른 데이터베이스로 파싱(parsed)된다. 로깅 및 지능(intelligence)을 위해 사용되는 제 1 데이터베이스는 공격 벡터, 성공적으로 투입된 시스템에 관한 정보 뿐 아니라 악성 URL, 코드, 공격 벡터, C&C 및 멀웨어의 활동을 저장한다. 제 2 데이터베이스인 리플레이 데이터베이스는 악성 코드의 복제, 악성 URL에 대한 구성 정보(메타데이터, 구성, 코드, 전개 벡터 등)로 덧붙여지고 리플레이 및 열거 프로세스 동안 사용된다.

리플레이 프로세스는 이제 리플레이 데이터베이스로부터 데이터를 사용하여 큐잉된다. 리플레이 프로세스 동안, 캡처 프로세스 동안 성공적으로 감염된 호스트의 구성을 매칭하는 시스템이 악성 코드의 테스팅을 위해 준비된다. 시스템을 준비하기 위해, 테스팅되는 제품의 모든 최신 버전(인-라인 보안 디바이스에서 엔드포인트 보호 제품/안티 바이러스)이 자동으로 구성된다. 캡처 프로세스 동안 사용되는 워크스테이션의 복제(copies)는 테스팅되는 임의의 그리고 모든 엔트포인트 보호 제품의 최신 버전을 가지는 리플레이 호스트로서 구성된다. 침입 방지 시스템 및 차세대 방화벽과 같은 인-라인 보안성 제품은 리플레이 호스트와 리플레이 서버 사이의 네트워크 상에 대기 상태로 있다. 워크스테이션은 캡처 프로세스 동안 검증된 악성 URL의 완벽한 복제로서 BaitNET에 의해 생성된 내부 (LAN-기반) URL을 방문한다. 워크스테이션의 각 복제가 내부 URL에 존재함에 따라, BaitNET은 다시 한번 악성 코드에 관련되는 모든 메타데이터를 캡처하여 워크스테이션을 모니터링한다. 워크스테이션에 도달하고 그 후에 적절하게 실행하는데 코드가 성공적이라면, 테스트되는 엔드포인트 보호 제품이 악성 모드를 식별하고 및/또는 실행하는데 실패한 것이다. 내부 URL에 대한 방문 동안, 드롭이 방지되고, 따라서 악성 코드가 워크스테이션에 도달하는 것이 방지된다면, 인-라인 보안성 제품은 익스플로잇을 식별하는데 성공적이고 설계된 대로 작동된 것이다.

리플레이 프로세스 동안, 악성 코드의 유효성이 실황 환경에서 테스트된다. 예를 들어, 브라우저 내에서 실행하고 엔드-유저가 악성 코드를 수동으로 실행할 것을 요구하지 않는 공격인, 드라이브-바이(drive-by) 타입 공격 동안 익스플로잇에 어느 것이 취약한지를 결정하기 위해 모든 메이저 메이커 및 버전의 웹 브라우저가 테스트된다. 애플리케이션 시스템, 언어 팩(로컬라이제이션(localization) 데이터), 베이스 운영 시스템 개정의 서로 다른 버전 및 iOS 또는 안드로이드 모바일 디바이스와 같은 서로 다른 아키텍처가 악성 URL 및 악성 코드 자체의 복제에 대해 검사될 수 있다.

리플레이 프로세스 동안, 어느 워크스테이션이 감염되었는지, 어떻게 구성되었는지, 및 존재한다면 무슨 인-라인 및 엔드포인트 보호 제품이 테스팅되었는지를 식별하는 데이터가 리플레이 데이터베이스에 기록된다. 제품 테스팅이 끝난 후에, 워크스테이션 플랫폼의 서로 다른 반복을 테스트하기 위해 동일한 공격 코드로 리플레이 프로세스가 재사용된다. 이 데이터가 특정 악성 코드에 의해 타겟팅되는 애플리케이션 및 운영 시스템의 모든 변종을 인덱싱(index)하기 위한 수단이기 때문에, 이 데이터는 또한 BaitNET에 의해 기록되고, 위협 예측을 위한 열거 프로세스에서 사용된다.

위협 예측을 위해, 열거 프로세스는 공격 벡터의 전체 범위를 결정하고, 위협 액터에 관한 지능을 제공하고, 가능한 한 많은 실현가능한 메타데이터를 수확하기 위해 인터넷 상의 로컬라이제이션 구성 및 지오로케이션 출구 포인트를 계속해서 검사하도록 이용될 수 있다. 이 프로세스는 성공적으로 스스로를 실행하기 위해 멀웨어가 사용할 수 있는 운영 시스템, 브라우저, 애플리케이션 보안 제품의 다양한 구성을 열거하는데 있어서 핵심이다. 이러한 지능의 조합은 모델링이 수행되게 허용할 뿐 아니라 직접 위험 평가를 허용하여, 소비자는 그들의 시스템, 네트워크 및 툴이 위험에 처해 있는지 여부를 이해하고, 활성 멀웨어/익스플로잇 캠페인에 대해 보호하기 위해 해야 할 일을 이해한다.

네트워크 트래픽 캡처("Pcap"이라 칭함)를 포함하기 위해, 모든 데이터는 데이터베이스에 유지되고 언제든 시스템에 의해 재사용될 수 있다. 모바일 디바이스 구성을 포함하기 위해, 새로운 워크스테이션 구성이 장래의 테스팅을 위해 캡처된 악성 URL에 제시될 수 있다. 서드 파티에 의해 제공되는 어느 시스템이 공격("골드 이미지(Gold Image)")에 취약한지를 정확하게 개략하고, 캡처 프로세스 동안 캡처되는 공격 데이터를 검증하기 위해, 벤더에 의해 공급되는 패치/업데이트가 설계된대로 작동하는지를 확인하기 위해 모든 테스트된 제품이 재테스트(retested)된다.

리플레이 프로세스 동안, 프록시 프로세스가 발생되고 활용된다. 이러한 프록시 프로세스는 BaitNET이 원래/실제의 악성 URL을 필요로 하지 않고서 캡처 프로세스 동안 수집된 악성 URL에 대한 계속적인 테스팅을 용이하게 수행할 수 있게 한다. 이것은 동일한 네트워크 상의 시스템에 대한 악성 코드의 드롭을 식별하고 방지하기 위해, 그리고 멀웨어 캠페인에 관한 연구 및 조사를 혼동/보호하기 위해 대부분의 멀웨어 캠페인, 멀웨어 캠페인 내의 보안 피처의 수명이 짧기 때문에 중요한 일이다. 프록시 프로세스는 위협 피드로부터 URL에 의해 공급되는 캡처 프로세스에 의해 기록된 바와 같은 악성 웹사이트의 원래 소스 코드를 사용한다. 프록시 프로세스는 원격 서버, 웹사이트의 소스 코드를 에뮬레이트하고, 원래의 웹사이트가 행한 것과 동일한 방식으로 멀웨어를 서빙(배포(hand-out))할 것이다.

프록시 프로세스는 완전히 자동화되고, 캡처 및 리플레이 프로세스 동안 생성되는 데이터베이스로부터 모든 데이터를 끌어온다. 이것은 원래의 악성 웹사이트의 보관파일을 끌어오고 리어셈블링하고, 보관파일을 언패킹(unpacking)하고, 마지막으로 악성 웹사이트의 완전히-기능적인 복제(fully-functional copy)를 시작하고 관리하는, 원래의 악성 웹사이트의 원격 파라미터의 공식을 포함한다.

리플레이 프로세스와 매우 유사한, 열거 프로세스는 악성 웹사이트를 가상으로 재방문하기 위해 프록시 프로세스를 활용하고, 데이터베이스의 BaitNET 스위트 내의 데이터를 활용한다. 멀웨어/익스플로잇이 적절하게 실행되게 할 수 있고 보안 제품의 효력을 테스트하기 위해 사용되는 운영 시스템 및 소프트웨어의 제 1 실행가능 조합을 사용하는 리플레이 프로세스와 달리, 열거 프로세스는 멀웨어/익스플로잇이 적절하게 실행하게 허용하는 모든 실행가능 조합을 결정하기 위해 다양한 플랫폼(컴퓨터, 모바일 디바이스 등)에 걸쳐 설치된 소프트웨어 및 운영 시스템의 모든 가능한 변종을 열거하도록 설계되었다. 이 데이터는 리플레이 프로세스 내로 피드백될 수 있으며, 이로써 다른 보안 제품을 테스트하기 위해 각 유효한 반복이 사용될 수 있다.

일 실시예에서, 전체 BaitNET 스위트 프로세스는 병렬로 발생할 수 있으며 도 2d에 도시되는 난독화 엔진 및 ZeroDAY와 같이 본 문서 내에서 커버되는 모듈과 같이 그 서브-프로세스와 함께 상술된 프로세스(캡처, 리플레이 및 프록시) 각각을 관리하는 것을 담당하고 제어 프로세스로부터 집합적으로 제어되는 4개의 병렬 스레드(thread)를 현재 활용하고 있다. 추가적으로 가상 머신(virtual machine: VM)의 모니터링 및 그들의 게스트 운용 시스템 및 애플리케이션 구성과 함께 VM의 셋업 및 해체(설정 및 복귀)는 제어 프로세스 내로부터 발생한다.

VM 아키텍처의 완전한 제어는 (도 1에서의 마스터 하이퍼바이저 제어기에 의해 구현되는) BaitNET의 제어 프로세스를 통해 이루어며, 이는 특정 하이퍼바이저를 위한 가상 머신들을 선천적으로 동작시키고 대체하도록 수정된다. 예를 들어, BaitNET은 VM웨어의 VM웨어 툴을 대체하고 하이퍼바이저 내의 게이트 및 호스트 제어를 완전히 제어한다. 이러한 제어는 자동화되고 제어 프로세스 동안 별개의 스레드로서 기능하고 캡처, 리플레이 및 프록시 프로세스와 병렬로 작동한다. BaitNET은 자체적으로 요구에 따라 VM을 입수, 구성 및 동작시킬 수 있고, 테스팅 동안 리소스를 스케일링할 수 있다.

부분적으로는 하이퍼바이저 내에서 통상적으로 사용되는 가상 머신 툴의 제어 프로세스의 대체 덕분에, 뿐만 아니라, 시스템 레벨 동적 링크 라이브러리(dynamic link library: DLL) 및 다른 시스템 또는 라이브러리 호출을 수정함으로써 운영 시스템 자체 내로 그 툴이 집적된 덕분에, 하이퍼바이저 자체는 이제 멀웨어로부터 숨겨진다. BaitNET의 검출을 방지하는 추가적인 클로킹(clocking) 기술이 모델 개요 내에서 본원에서 커버된다.

본 명세서에 개략된 바와 같이, BaitNET은 시스템의 AI 모듈, 시스템의 난독화 모듈, 시스템의 제로데이 모듈 및 예를 들어, 애플리케이션인 캡처 프로세스와 같은 커스톰 개발 애플리케이션, 애플리케이션 프로그램 인터페이스(API) 및 커널-레벨 수정 시스템이다. 어플리케이션은 운영 시스템 뿐만 아니라 하이퍼바이저 호스트 및 게스트 기능 둘 다를 위한 것이다. BaitNET은 현재 모든 버전의 마이크로소프트 윈도우즈 운영 시스템, 모든 인텔-기반 버전의 OS X, iOS 및 안드로이드를 지원한다. BaitNET에 대한 하나의 핵심 특징은 현대 멀웨어/익스플로잇에서 쓸모없는 것으로 밝혀진 "VM 검출 시스템"을 렌더링하는 능력(예를 들어, 멀웨어에 의한 물리적/실제 머신으로부터의 가상 머신을 포착하는 능력)이다. BaitNET은 실제 호스트 상에 있는 것으로 믿도록 멀웨어를 속이기 위해 마우스 및 다른 UI 디바이스의 실제-사용자-유사 랜덤 이동을 생산할 뿐만 아니라 그 API를 교체하면서 하이퍼바이저 제어 시스템을 변경한다. 이것은 멀웨어가 VM을 검출하는 능력을 좌절시키는데, 수상쩍은 실행가능 파일을 인큐베이트(incubate)하기 위해 안티 바이러스 시스템에서 VM이 종종 사용되기 때문에 통상적으로 멀웨어가 그 페이로드를 배포시키는 것을 방지할 것이다. BaitNET은 또한 가상 머신/마이크로바이저 멀웨어를 검출하고 모니터링할 수 있다. 이러한 타입의 멀웨어는 가상 세션 또는 심지어 감염된 호스트 내의 모든 가상 머신을 개시시킬 것이고, 다른 검출 시스템이 단지 주된 운영 시스템 및 시스템의 인스턴스(instance)를 인식하기 때문에 악성 소프트웨어가 실행중일 때처럼 이들 머신도 검출가능하지 않다.

시스템을 사용하면, 익스플로잇의 진짜 타겟 충격을 결정하기 위해 애플리케이션, 패치-레벨 또는 운영 시스템의 임의의 변형을 동작시키는 임의의 수의 다른 게스트에 대해 BaitNET의 리플레이 서버 및 리플레이 기술(모듈)을 통해 멀웨어 또는 익스플로잇이 캡처, 식별 및 리플레이될 수 있다. 예를 들어, 익스플로잇 또는 멀웨어는 어도비 XYZ-버전을 실행하는 윈도우즈 2008, SP1을 사용하여, 먼저 검출되면, BaitNET은 어느 시스템 구성이 악성 소프트웨어에 취약한지를 식별하기 위해 윈도우즈 운영 시스템의 모든 다른 변형, 어도비(adobe) 제품의 다른 버전 등에 대해 멀웨어를 테스트할 수 있다.

일 실시예에서, BaitNET 시스템은 VM웨어의 ESXi 내에서 작동하도록 주로 작성되었지만, 원래 마이크로소프트의 하이퍼-V로 작동하도록 설계되었다. 임의의 하이퍼바이저 시스템 상에 실행하게 허용함으로써, 다수의 하이퍼바이저 통신 채널을 지원하는 변경이 이루어질 수 있다. 이것은 태생적 호스트-투-게스트 API를 대체하는 BaitNET과 관련되는 하이퍼바이저 모듈을 통해 매끄럽고(seamlessly) 스마트하게 되고, 추가로 BaitNET은 베어메탈(Bare-metal) 상에 동작될 수 있지만, 성능이 문제가 될 것이고 이것은 확장가능하지 않을 것이다. BaitNET은 하드웨어가 추가적인 게스트를 지원할 수 있는 한 클라우드 구성 내의 무한한 수의 VM에 확장할 수 있다.

BaitNET의 기능은 이하에 더 상세하게 설명되는 모듈러 컴포넌트(모듈)의 사용을 통해 확장되고 보완되고, 그 각각은 도 2에 도시된 바와 같은 위협 예측 및 서드 파티 보안 제품 효율성의 평가에서 사용되는 기능을 제공한다.

제로데이 모듈

이 모듈은 BaitNET이 임의의 타입의 익스플로잇 공격을 검출하게 하는 최신(state of the art) 플러그인이고, 0 데이 공격, 예를 들어, 보안 커뮤니티 내에서 카테고리화되거나 식별되어야 하는 익스플로잇 및 멀웨어를 식별하기 위해 개발되었고, 이는 종종 타겟팅되는 상업적 또는 오픈소스(OpenSource) 제품의 유지자가 스스로 익스플로잇되는 결함을 인식하지 못함에 따라 이 공격에 대해 현재 알려진 방어가 존재하지 않음을 의미한다. 공격을 해부하고 최소 컴포넌트를 기록할 수 있으면, 공격을 달성하기 위해 어떻게 복잡한 단계 및 보안 완화 전략이 이용되는지 밝힌다. 이 모듈은 BaitNET 시스템의 소유자가 다양한 연구 프로젝트를 통해 개발한 고유한 지식에 기초한다. 이전에 발견된 적이 없는 진보한 지속적인 위협(advanced persistent threat: APT) 공격에서 사용된 바와 같은 가장 복잡하고 커스토마이징된 멀웨어가 제시될 때 제로데이는 유효하다. 모듈은 공격을 검출하고 목록화하거나, 공격을 검출하고 차단하도록 설정될 수 있다. 용이하게 통과되는 마이크로소프트의 현재의 보안 완화 기술인 EMET와 달리, 제로데이는 커널32, 커널베이스 및 ntdll의 조합 필터링을 활용한다. 제로데이의 일반 능력이 본원에 개략된다.

제로데이의 핵심 특징

제로데이는 익스플로잇의 인식 및 목록화를 위한 다음의 임의의 산업에 알려진 작업의 또는 전부를 수행할 수 있다:

·인-메모리 쉘코드(ShellCode) 검출

·로우 쉘코드 덤핑(Raw ShellCode dumping)(쉘 코드의 로우 출력 - 파일링)

·로우 쉘코드 디스어셈블리(Raw ShellCode disassembly)(사후 분석)

·쉘코드 에뮬레이션(emulation)

·쉘코드에 사용되는 API를 식별함

·API 파라미터 정보를 로깅함:

a. 네트워크

b. 메모리

c. 파일

d. 프로세스

· ROP 검출

· ROP 도구(gadget) 검출

· 백워드 디스어셈블리를 가지는 ROP 도구 덤핑(모듈 + 펑션)

· 힙스프레이(HeapSpray) 검출

· NOP 슬레드(Sled) 검출

· 널 페이지(Null Page) 할당 검출

일반적으로 제로데이는 유저-랜드(user-land)(링-3 예를 들어, "r3")에서의 임의의 애플리케이션을 모니터할 수 있고 보호할 수 있지만, 커널-랜드(kernel-land)(링-제로, 예를 들어, "r0")를 모니터만할 수 있고 보호하지 못하고- 익스플로잇이 OS 서비스에 직접 영향을 미치고, 이러한 공격 벡터를 활용하는 유저-랜드 및 임의의 다른 애플리케이션을 통해 서빙되는 커널 기반 익스플로잇에 대해 여전히 보호할 수 있다.

추가적인 정보

시스템은 현재의 EMET 3.5와 달리, 커널32, 커널베이스 및 NTDLL DLL API로의 다이렉트 액세스로부터의 보호를 포함하는 스택 검증 및 모니터링을 제공하고, 따라서 리턴 지향 프로그래밍(return oriented programming: ROP)은 커널베이스(KernelBase) 동적 API 로딩에 대해 보호되지 않는다.

시스템은 또한 CODE/TEXT 섹션 허용 변경 모니터를 가질 수 있다. 이러한 모니터는 신규 프로세스/메커니즘이다. 이러한 메커니즘은 시스템이 코드/텍스트 변경에 대해 모니터하는 프로세스를 통한 권한 확대(privilege escalation)의 검출 및 모니터링을 허용한다. 이것은 제로데이가 커널 내로 집적하고 주된 시스템 서브 프로세스에 직접 결부시키는 방식에 기인하여 가능하다.

세미 제어-흐름-전달(control-flow-transfer: CFT) 검사는 시스템의 일부이고 모든 시스템 호출(r3)은 여전히 커널에서의 원래 것(r0)으로 되돌아 터널링할 것이다. 따라서, (인터럽트 벡터 인트(int) 0x2E에 의해 트리거링되는) KiFastSystemCall[SystemCallStub]을 통해 호출이 필터링될 것이다.

시스템에 의한 사후-분석은 다음의 이유 때문에 중요하다:

샘플을 수중에 갖는다는 것. 이는 공격이 어떻게 실행되는지를 상세하게 식별하기 위해 그리고 도구, DLL 등을 사용하여 자동으로 분석된다.

제로데이는 공격을 검출하고 및/또는 중단시킬 뿐 아니라, 사후-공격에 관한 정보를 발견하기 위해 설계되었다. 이것은 커맨드 및 제어(C&C) 서버와의 통신, 더 많은 멀웨어의 다운로딩 등을 포함할 수 있다. 이것은 검출, 공격의 사후-자동화 분석 및 다른 개인 또는 회사가 가지지 않는 데이터 분석을 위한 상세 정보(브리프, 블로그, 포스트 등)의 수집을 자동화하도록 잘 기능한다.

VM + 샌드박스 검출 회피 및 우회 모듈

거의 모든 멀웨어는 "샌드박스(SandBox)"라 알려진 가상머신(VM.) 것으로서 관리되는 운영 시스템에 의해 호스팅되다면, 그 존재를 검출하고, 실행을 회피하고 그 제어-흐름(control-flow: CF)을 동적으로 분석되게 드러낸다. 이것은 현대의 멀웨어에서의 검출 방지 능력을 피하도록 개발되었다; 드롭된 멀웨어가 익스플로잇의 결과인지 또는 단순하게 VM 또는 샌드박스 내에서의 실행을 회피하려 시도하는 전형적인 드라이브-바이의 결과인지를 검출할 것이다. 멀웨어 내의 검출 방지 기술의 회피를 위한 다수의 옵션이 존재한다:

1) 진보한 정규식(regular expression) 및 부울 대수(Boolean algebra)를 사용하여 랩에서 개발된 시그니처(signature)에 기초한 직접 인-메모리 패칭.

2) 프록시 스터브를 통해 멀웨어에 의해 이루어지는 시스템 호출을 하이재킹(hijacking), 원래의 코드를 새로운 코드로 트램폴리닝, 및 멀웨어에 잘못된 결과를 공급하여 베어메탈 머신 상에 예상한대로 실행하는 것으로 속임.

AI 모듈

이 모듈은 VM에서의 인공의 인간 활동을 발생시키는 것을 담당한다. 일부 멀웨어는 마우스 활동 또는 키보드 활동 또는 심지어 발생한 프로세스의 결여에 대해 검사할 것이다. 보조 프로세스 및 애플리케이션의 부재와 함께, 이들 휴먼 인터페이스 디바이스로부터의 활동의 부재는 자동화 머신, 따라서 트랩을 나타낸다. AI 모듈은 현실적인 타이핑 패턴, 속도면에서의 실수 변화 등을 포함하기 위해 랜덤화된 마우스 이동 및 사용량, 키보드 입력을 투입함으로써 다른 인큐베이션 시스템에서 이러한 실수를 정정한다. AI 모듈은 또한 챗 소프트웨어(chat shoftware), 이메일 클라이언트(email client) 등과 같은 보조 프로세스를 개폐한다. 이것은 가상 시스템 상에서 실생활의 사용자 행동을 모두 생산한다. 시스템은 예를 들어 이메일을 열 수 있고, 인박스(inbox)에서의 다양한 항목을 체크하거나 다른 시스템 및 실제 사용자와 온라인 채팅을 할 수 있다. 임의의 프로그램은 컴퓨터 게임과 같은 복잡한 시스템 및 스프레드시트(spreadsheet), 프레젠테이션(presentation) 및 문서와 같은 자산이 생성될 수 있는 오피스 제품을 포함하도록, AI 모듈에 추가될 수 있다. 이 모두는 매우 현실적인 머신의 사용량을 생산한다.

AI 모듈 및 샌드박스 모듈은 도 1 및 2에서의 (제로데이 모듈과 같은) 시스템의 일부일 수 있지만, 이 도면에 도시되지 않는다.

VM 템플릿(Template)

스택에 걸쳐 사용되는 모든 VM 이미지는 제어 프로세스의 언더피닝(underpinning)을 사용하고, 가상 머신 제어부를 베이스 운영 시스템 내로 집적하는 커스톰 제조 템플릿으로부터 생성되고, 따라서 게스트 OS를 숨기고 일반적인 베어메탈(bare-metal)머신으로 나타난다. 이것은 다음과 같은 옵션을 포함한다:

PTR 위치를 획득

PTR 위치를 설정

Direct Exec

NT Reloc

자기 수정(Self Modification)

Reloc

BT 세그먼트

BT 특권(privilege)

BT Mem Space

BT IN 포트

BT Out 포트

Claims

멀웨어(malware) 및 익스플로잇 캠페인 검출 시스템(exploit campaign detection system)에 있어서,
복수의 컴퓨터 시스템;
악성 코드(malicious code)의 조각(piece)을 다운로드하기 위해 각 컴퓨터 시스템에 URL(Uniform Resource locator)을 발행하도록 구성되는 캡처 스택(capture stack);
실황 환경(live environment)에서 상기 악성 코드의 조각을 테스트하고 상기 악성 코드의 조각의 리플레이(replay)에 관한 데이터를 발생시키도록 구성되는 리플레이 스택(replay stack);
상기 URL에 액세싱하지 않고 상기 악성 코드의 조각의 테스팅을 수행하도록 구성되는 프록시 스택(proxy stack); 및
상기 캡처 스택, 상기 리플레이 스택 및 상기 프록시 스택을 제어하는 마스터 하이퍼바이저 제어기(master hypervisor controller)를 포함하는, 멀웨어 및 익스플로잇 캠페인 검출 시스템.
청구항 1에 있어서,
상기 캡처 스택, 상기 리플레이 스택 및 상기 프록시 스택은 병렬로 실행되는 것인, 멀웨어 및 익스플로잇 캠페인 검출 시스템.
청구항 1에 있어서,
제로 데이 공격(zero day attack)을 식별하는 제로 데이 모듈(zero day module)을 더 포함하는, 멀웨어 및 익스플로잇 캠페인 검출 시스템.
청구항 1에 있어서,
상기 시스템의 데이터를 저장하도록 구성되는 SQL 서버를 더 포함하는, 멀웨어 및 익스플로잇 캠페인 검출 시스템.
청구항 1에 있어서,
전달 서버(transfer server)를 더 포함하는, 멀웨어 및 익스플로잇 캠페인 검출 시스템.
청구항 1에 있어서,
상기 캡처 스택은 상기 악성 코드 조각의 복제를 생성하고, 상기 악성 코드의 조각에 의해 야기되는 운영 시스템 변경을 목록화(catalog)하도록 구성되는, 멀웨어 및 익스플로잇 캠페인 검출 시스템.
청구항 1에 있어서,
상기 캡처 스택은 상기 복수의 컴퓨터 시스템과의 통신을 캡처하도록 구성되는, 멀웨어 및 익스플로잇 캠페인 검출 시스템.
청구항 1에 있어서,
각 스택은 하나 이상의 서버 컴퓨터인, 멀웨어 및 익스플로잇 캠페인 검출 시스템.
청구항 8에 있어서,
각 스택은 가상 머신(virtual machine)을 가지는, 멀웨어 및 익스플로잇 캠페인 검출 시스템.
멀웨어 및 익스플로잇 캠페인 검출 방법에 있어서,
캡처 프로세스를 실행하는 단계―상기 캡처 프로세스는 악성 코드의 조각을 다운로드하기 위해 각 컴퓨터 시스템에 URL을 발행함―;
리플레이 프로세스를 실행하는 단계―상기 리플레이 프로세스는 실황 환경에서 상기 악성 코드의 조각을 테스트하고 상기 악성 코드의 조각의 리플레이에 관한 데이터를 발생시킴―;
프록싱 프로세스를 실행하는 단계―상기 프록싱 프로세스는 상기 URL에 액세싱하지 않고서 상기 악성 코드의 조각의 테스팅을 수행함―; 및
마스터 하이퍼바이저 제어기를 사용하여, 상기 캡처 프로세스, 상기 리플레이 프로세스 및 상기 프록시 프로세스를 제어하는 단계를 포함하는, 멀웨어 및 익스플로잇 캠페인
청구항 10에 있어서,
상기 캡처 프로세스, 상기 리플레이 프로세스 및 상기 프록시 프로세스를 병렬로 실행하는 단계를 더 포함하는, 멀웨어 및 익스플로잇 캠페인 검출 방법.
청구항 10에 있어서,
제로 데이 모듈을 사용하여, 제로 데이 공격을 식별하는 단계를 더 포함하는, 멀웨어 및 익스플로잇 캠페인 검출 방법.
청구항 10에 있어서,
상기 캡처 프로세스를 실행하는 단계는 상기 악성 코드 조각의 복제를 생성하고 상기 악성 코드의 조각에 의해 야기되는 운영 시스템 변경을 목록화하는 단계를 더 포함하는, 멀웨어 및 익스플로잇 캠페인 검출 방법.
청구항 10에 있어서,
상기 캡처 프로세스를 실행하는 단계는 상기 복수의 컴퓨터 시스템과의 통신을 캡처하는 단계를 더 포함하는, 멀웨어 및 익스플로잇 캠페인 검출 방법.