KR20200092508A

KR20200092508A - IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템

Info

Publication number: KR20200092508A
Application number: KR1020190005131A
Authority: KR
Inventors: 김용대; 김민근; 김은수; 김동관
Original assignee: 한국과학기술원
Priority date: 2019-01-15
Filing date: 2019-01-15
Publication date: 2020-08-04

Abstract

본 발명은 IoT 기기 악성코드 분석에 관한 것으로서, 더욱 상세하게는 실제 장비 없이 IoT 기기의 펌웨어만을 가지고 에뮬레이션하여 허니팟을 구성하므로 실제로 발생하는 봇넷들의 공격을 탐지하고 사전에 대비하기 위한 IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템에 관한 것이다.

Description

IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템{Large-scale honeypot system IoT botnet analysis}

임베디드 기기는 특정한 목적을 위한 하드웨어와 이를 제어하기 위해 내장된 컴퓨팅 시스템을 지닌 전자 기기들로 다양한 분야에서 사용되고 있다. 특히 IoT 환경에서는 가정용 유무선 공유기를 기반으로 AI 스피커, IP 카메라, 네트워크 프린터, 스마트 TV와 같은 많은 임베디드 기기들이 인터넷에 연결되어 활용되고 있으며, 전 세계 인터넷에 연결된 임베디드 기기들의 수는 2020년에 300억개를 넘어설 것이라 예상될 정도로 빠르게 성장하고 있으며 일생생활에서 많은 이로움을 주고 있다.

이렇게 임베디드 기기의 수가 늘어나면서 이를 대상으로 하여 취약점을 악용하여 공격 또한 늘어나고 있으며, 최근 Mirai botnet과 Bashlight와 같은 IoT 임베디드 기기를 대상으로 하는 악성 프로그램의 공격들이 발생하고 있다. 특히 Mirai botnet의 경우 38만개의 임베디드 기기를 장악하여 수많은 임베디드 기기들이 보안상 취약한 상태이며, 이를 이용한 DDoS 공격으로 그 위험성을 적나라하게 보여주었다.

따라서 수많은 임베디드 기기들에 대해서 보안 취약점에 대한 분석과 봇넷과 같은 악성 프로그램에 감염되었을 경우 이를 탐지하고 악성 행위를 분석하기 위하여 커스텀 하드웨어를 이용한 에뮬레이션 도구인 Avatar는 임베디드 기기에서 사용하는 다양한 주변장치들을 하나의 하드웨어에 모두 연결하고, 이 하드웨어를 활용해 에뮬레이션 된 펌웨어가 필요로 하는 I/O 처리를 대신 수행하도록 했다. 하지만 하드웨어가 필요하기 때문에 대규모 테스트에는 적합하지 않다는 단점이 있다. 또한 어플리케이션 수준의 방법으로 chroot와 QEMU를 활용하여 펌웨어를 에뮬레이션 하여 취약점을 찾는 연구 또한 존재하였으나 많은 임베디드 기기들이 NVRAM과 같은 하드웨어에 직접 접근하기 때문에 에뮬레이션에 한계가 있다.

KR 10-2013-0094161 KR 10-2008-0025482 KR 10-2018-7012814

본 발명은 이와 같은 문제점을 해결하기 위하여 창안된 것으로서, 실제 장비 없이 IoT 기기의 펌웨어만을 가지고 에뮬레이션하여 허니팟을 구성하므로 실제로 발생하는 봇넷들의 공격을 탐지하고 사전에 대비하기 위한 IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템을 제공하는 것을 그 목적으로 한다.

이와 같은 목적을 달성하기 위하여 본 발명에 따른 IoT 기기 악성코드를 분석하기 위한 허니팟으로, IoT 기기의 펌웨어를 수집하여 이 수집된 펌웨어를 대규모로 에뮬레이션 하는 대규모 에뮬레이션 모듈; 및 상기 대규모 에뮬레이션 모듈로부터 에뮬레이션 된 IoT 기기의 펌웨어 장비에서 발생하는 로그를 분석하고 악성 행위를 탐지하는 악성 행위 모니터링 모듈을 포함한다.

상기 대규모 에뮬레이션 모듈은, 수집된 펌웨어에서 파일 시스템 부분을 추출하고, 추출된 펌웨어 파일 시스템별로 에뮬레이션을 수행하는 것이다.

상기 악성 행위 모니터링 모듈은, 상기 대규모 에뮬레이션 모듈의 에뮬레이션이 종료 된 후 로그를 받아서 분석하거나 또는 실시간으로 상기 에뮬레이션 모듈로부터 로그를 계속 받으면서 모니터링이 진행되는 것 중 어는 하나로 수행되는 것이다.

본 발명에 의하면, IoT 기기들을 대상으로 한 봇넷의 공격을 사전에 탐지하여 빠르게 대응하므로 IoT 기기들의 보안성이 향상되고 봇넷으로 인해 발생하는 추가적인 공격들을 감소시키는 효과가 있다.

도 1은 본 발명에 따른 IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템의 구성을 간략하게 도시한 구성도.
도 2는 도 1에 따른 대규모 허니팟 시스템의 대규모 에뮬레이션 모듈의 동작 과정을 도시한 순서도.
도 3은 도 1에 따른 대규모 허니팟 시스템의 악성행위 모니터링 모듈의 동작 과정을 도시한 순서도.

이하 첨부된 도면을 참조로 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.

먼저 허니팟은 비정상적인 접근을 탐지하기 위해 의도적으로 구성해두는 시스템으로, 새로운 공격들을 탐지하기 위해서 일반적인 서버나 데스크탑을 이용한 허니팟들은 많이 사용되고 있지만 IoT 장비들을 대상으로 하는 공격을 탐지하는 허니팟은 많지 않다. 하지만 본 발명에서는 실제 IoT 장비들을 이용해 허니팟을 구축하는 것은 비용이나 관리적인 측면에서 비효율적이므로 따라서 에뮬레이션 기술을 이용한 허니팟을 구축하고자 한다.

도 1은 본 발명에 따른 IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템의 구성을 간략하게 도시한 도면이다.

도시된 바와 같이 본 발명의 허니팟은 대규모 에뮬레이션 모듈(100)과 악성행위 모니터링 모듈(200)을 포함한다.

대규모 에뮬레이션 모듈(100)은 분석하고자 하는 IoT 기기의 펌웨어들을 입력받고, 외부에서 발생하는 실제 공격 외에 임의로 테스트할 악성코드 샘플을 입력받는다. 이때 대규모 에뮬레이션 모듈(100)은 입력받은 펌웨어들에 대한 에뮬레이션을 진행하고, 에뮬레이션 된 IoT 기기들에 IP 주소를 할당하여 인터넷을 통해 실제 IoT 기기들처럼 공개한다. 이후 인터넷 스캐닝 서비스(예를 들면; shodan)을 통해 스캐닝이 이루어져 IP 주소와 IoT 기기에 대한 기본적인 정보가 외부에 공개되면 외부 봇넷들의 공격 대상이 된다.

에뮬레이션 된 IoT 기기들은 실제 IoT 기기들과 마찬가지로 외부로부터의 공격을 받아 악성코드가 내부에서 실행이 되지만, 이 때 다시 다른 곳을 공격하는데 사용되지는 않도록 방화벽을 이용해 외부로 나가는 트래픽은 차단한다. 테스트용 악성코드 샘플도 마찬가지로 에뮬레이션 된 환경에서 외부에 영향을 안주는 선에서 실제 IoT 기기들처럼 실행된다.

악성 행위 모니터링 모듈(200)에서는 대규모 에뮬레이션 모듈(100)에서 에뮬레이션 된 IoT 기기가 공격 받거나 정상 작동하는 과정에서 발생하는 로그를 분석하여, 악성 행위가 탐지되었는지 결과를 보고한다.

도 2는 도 1에 따른 대규모 허니팟 시스템의 대규모 에뮬레이션 모듈의 동작 과정을 도시한 순서도이다.

도 2에 도시된 바와 같이 대규모 에뮬레이션 모듈은 임베디드 기기들로부터 에뮬레이션을 위한 펌웨어들을 입력받는다(S110).

이후 입력받은 각 펌웨어 파일을 자동적으로 분석하여 파일 시스템 부분을 추출해낸다(S120).

그리고 각 펌웨어별로 파일 시스템을 기반으로 QEMU 에뮬레이터를 이용해 에뮬레이션을 수행한다(S130a...S130n). 이때 에뮬레이션 과정에는 실제 하드웨어 없이 펌웨어를 에뮬레이션하기 위한 다양한 기술들이 적용될 수 있으며, 에뮬레이션은 각각의 펌웨어별로 독립적이기 때문에 서로 다른 모델 및 버전의 IoT 장비들의 펌웨어들이 하나의 시스템 내에서 동시에 병렬적으로 에뮬레이션 되고 관리가 가능하다.

에뮬레이션 된 각 장비들은 하드웨어적인 동작은 없지만 외부에서 인터넷을 통해 접속해서 확인 가능한 인터페이스 상에서는 실제 장비와 거의 유사한 동작을 하여 외부의 악성 코드들이 실제 장비로 인식하고 공격을 하게 된다.

각각의 에뮬레이션 환경들은 동작 과정에서 발생하는 다양한 정보들을 추후에 악성 행위 분석에 사용하기 위한 로그로 남겨 출력한다(S140). 이 때 남기는 정보들은 외부와 통신한 네트워크 트래픽, 내부에서 실행되는 프로그램 정보, 시스템 콜 정보 등 다양한 정보를 포함할 수 있다. 네트워크 트래픽 정보는 내부에서 tcpdump 프로그램을 이용해 모니터링하고, 프로그램이나 시스템콜 정보는 커널 레벨에서 로그를 남기도록 구현할 수 있다. 실제 장비가 아닌 에뮬레이션 환경이기 때문에 내부에서 커널이나 프로그램들의 실행 흐름들을 수정하여 원하는 정보를 충분히 수집하는 것이 가능하다.

도 3은 도 1에 따른 대규모 허니팟 시스템의 악성행위 모니터링 모듈의 동작 과정을 도시한 순서도이다.

도 3에 도시된 바와 같이 이 모듈은 에뮬레이션 된 환경으로부터 발생하는 로그를 기반으로 악성행위 여부를 판단하는 모듈로서, 도 2에 도시된 바와 같이 에뮬레이션이 종료 된 후 로그를 받아서 분석 할 수도 있고, 실시간으로 에뮬레이션 모듈로부터 로그를 계속 받으면서 모니터링을 진행하도록 구현될 수 있다.

먼저 에뮬레이션 로그를 입력받는다(S210). 크게 두 가지의 분석을 통해 악성행위를 탐지하는데, 우선 네트워크 모니터링에서는 비정상적 패킷에 대한 분석을 진행(S220)하는데, 일반적인 정상적인 동작에서 발생하지 않는 원격에서의 시스템 로그인 시도, 일반적으로 공격에 사용되는 SQL Injection, XSS 공격 패턴, 비정상적 길이의 데이터 입력 등을 탐지하여 비정상적인 패킷이 있는지를 찾는다.

한편 시스템콜 모니터링 파일 생성 및 프로그램 실행을 분석한다(S230). 예를 들면 파일 관련 시스템콜 로그를 통해서 어떤 파일들이 생성되는지 분석하고, 프로그램 실행 관련 시스템콜 로그에서 외부에서 다운로드 되거나 생성된 파일들이 실행되는지, 혹은 비정상적인 명령어나 Command Injection 공격으로 의심되는 명령어가 실행 되는게 있는지 탐지를 한다. 대부분의 악성코드들은 최종적으로 원하는 명령어나 악성 프로그램을 공격 대상 시스템에서 실행하는 것을 목표로 하기 때문에 이를 통해서 악성 행위를 분석할 수 있다. 이후 악성 행위를 탐지한다(S240).

이상과 같이, 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 이것에 의해 한정되지 않으며 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술사상과 아래에 기재될 특허청구범위의 균등범위 내에서 다양한 수정 및 변형이 가능함은 물론이다.

100: 대규모 에뮬레이션 모듈
200: 악성 행위 모니터링 모듈

Claims

IoT 기기 악성코드를 분석하기 위한 허니팟으로,
IoT 기기의 펌웨어를 수집하여 이 수집된 펌웨어를 대규모로 에뮬레이션 하는 대규모 에뮬레이션 모듈; 및
상기 대규모 에뮬레이션 모듈로부터 에뮬레이션 된 IoT 기기의 펌웨어 장비에서 발생하는 로그를 분석하고 악성 행위를 탐지하는 악성 행위 모니터링 모듈
을 포함하는 IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템.
청구항 1에 있어서
상기 대규모 에뮬레이션 모듈은,
수집된 펌웨어에서 파일 시스템 부분을 추출하고, 추출된 펌웨어 파일 시스템별로 에뮬레이션을 수행하는 것
을 특징으로 하는 IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템.
청구항 1에 있어서,
상기 악성 행위 모니터링 모듈은,
상기 대규모 에뮬레이션 모듈의 에뮬레이션이 종료 된 후 로그를 받아서 분석하거나 또는 실시간으로 상기 에뮬레이션 모듈로부터 로그를 계속 받으면서 모니터링이 진행되는 것 중 어는 하나로 수행되는 것
을 특징으로 하는 IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템.