WO2014119869A1

WO2014119869A1 - 악성실행코드의 숙주 파일 탐지 시스템 및 방법

Info

Publication number: WO2014119869A1
Application number: PCT/KR2014/000625
Authority: WO
Inventors: 고보승
Original assignee: (주)잉카인터넷
Priority date: 2013-01-29
Filing date: 2014-01-22
Publication date: 2014-08-07
Also published as: KR101405831B1

Abstract

이 발명은 컴퓨터 시스템에서 안티바이러스 프로그램이 구동되기 전에 이미 실행된 악의적인 숙주 파일에 의해 실행된 악성실행코드의 실행 경로를 역추적하여 그의 숙주 파일을 탐지하는 시스템 및 방법에 관한 것이다. 이 발명에 따른 악성실행코드의 숙주 파일 탐지 시스템은, 파일시스템 필터 드라이버로부터 필터링된 파일입출력으로부터 실행 프로세스 식별자, 작업 종류, 입출력 대상이 되는 파일 식별자를 로그로 기록하는 로그수집부와; 상기 수집된 로그에 대해 실행 프로세스 식별자별로 작업 종류와 파일 식별자를 연계하여 프로세스정보저장소에 저장하고, 파일 식별자별로 수행된 작업 종류를 파일정보저장소에 저장하는 로그분류부와; 상기 프로세스정보저장소와 상기 파일정보저장소에 저장된 정보를 이용하여 상호 연계된 실행 프로세스 식별자와 파일 식별자를 링크로 연결하고 상기 링크에 파일노드를 생성하며 상기 파일노드에 상기 실행 프로세스 식별자가 상기 파일 식별자를 대상으로 수행한 작업 종류를 기재하여 프로세스 파일 연계 구조를 생성하는 프로세스파일연계부와; 상기 프로세스파일연계부에서 생성된 프로세스 파일 연계 구조를 기반으로 임의의 프로세스와 연계된 모든 프로세스와 파일을 역추적하는 로그검사부를 포함한다.

Description

악성실행코드의 숙주 파일 탐지 시스템 및 방법

이 발명은 컴퓨터 시스템에서 이미 악성실행코드의 숙주 파일을 탐지하는 시스템 및 방법에 관한 것으로서, 보다 상세하게는 안티바이러스 프로그램이 구동되기 전에 이미 실행된 악의적인 숙주 파일에 의해 실행된 악성실행코드의 실행 경로를 역추적하여 그의 숙주 파일을 탐지하는 시스템 및 방법에 관한 것이다.

일반적으로, 컴퓨터 시스템은 전원이 들어오면 보조 장치를 사용하여 컴퓨터가 동작할 수 있도록 운영체제를 로딩하여 작동하는데, 이와 같이 컴퓨터 시스템을 시동하거나 초기 설정하는 것을 부팅(booting)이라고 한다. 한편, 컴퓨터 시스템을 보호하기 위하여 AV/AS(Anti-Virus / Anti-sypware) 제품, 어플리케이션 컨트롤, 소프트웨어 기반의 방화벽, IPS(Intrusion Prevention System) 등 여러 보안 기술이 상용화되어 사용되고 있다. 그러나, 이러한 보안 기술들은 운영체제의 설치가 완료된 후 추가적으로 설치되기 때문에, 운영체제가 설치되는 부팅 과정에서는 컴퓨터 시스템을 보호하지 못한다.

운영체제가 설치 또는 부트 과정부터 보안 제품이 로딩되기 전까지 컴퓨터 시스템을 보호하기 위한 선행특허로서, 대한민국 공개특허 제2010-0026195호, "시스템 보호 장치 및 방법"이 있다. 이 선행특허에서는, 가상머신관리자가 가상머신에 운영체제 부트 이미지를 로드하여 실행시킨 후 부트 이미지 실행에 따라 가상머신 내에서 인터럽트 또는 이벤트 발생시, 로드 및 실행될 이미지에 대한 유효성을 검증하고 유효성 검증 결과에 의거하여 부팅 또는 설치를 실패 처리하거나 유효하지 않은 이미지를 차단시킨다. 부팅 또는 설치 과정이 진행된 후 보안 프로그램이 실행되면, 가상머신의 하드웨어 상태를 가상머신관리자의 하드웨어 상태로 치환하여 가상화 상태를 종료시킨다.

이러한 선행특허는 가상머신관리자가 가상머신에서 운영체제 부트 이미지를 로드하고 실행하여 모든 인터럽트나 이벤트에 대해 그 유효성을 검증한 후, 리얼머신에 실행 또는 차단하기 때문에 부팅 과정에서 악의적인 파일이 실행되지 못하도록 할 수 있으나, 모든 인터럽트나 이벤트가 가상머신에서 검증된 후 리얼머신에 실행되기 때문에 부팅 시간이 오래 소요되는 문제점이 있다.

종래기술의 문제점을 해결하기 위하여 안출된 이 발명의 목적은, 부트 동안 파일 I/O를 발생시킨 프로세스 정보, 프로세스가 참조한 파일 정보 등의 로그를 수집하고, 수집된 로그를 역추적하여 악성실행코드의 숙주 파일을 탐지하는 시스템 및 방법을 제공하기 위한 것이다.

상술한 목적을 달성하기 위한 이 발명에 따른 악성실행코드의 숙주 파일 탐지 시스템은, 파일시스템 필터 드라이버로부터 필터링된 파일입출력으로부터 실행 프로세스 식별자, 작업 종류, 입출력 대상이 되는 파일 식별자를 로그로 기록하는 로그수집부와;

상기 수집된 로그에 대해 실행 프로세스 식별자별로 작업 종류와 파일 식별자를 연계하여 프로세스정보저장소에 저장하고, 파일 식별자별로 수행된 작업 종류를 파일정보저장소에 저장하는 로그분류부와;

상기 프로세스정보저장소와 상기 파일정보저장소에 저장된 정보를 이용하여 상호 연계된 실행 프로세스 식별자와 파일 식별자를 링크로 연결하고 상기 링크에 파일노드를 생성하며 상기 파일노드에 상기 실행 프로세스 식별자가 상기 파일 식별자를 대상으로 수행한 작업 종류를 기재하여 프로세스 파일 연계 구조를 생성하는 프로세스파일연계부와;

상기 프로세스파일연계부에서 생성된 프로세스 파일 연계 구조를 기반으로 임의의 프로세스와 연계된 모든 프로세스와 파일을 역추적하는 로그검사부를 포함한 것을 특징으로 한다.

또한, 이 발명에 따른 악성실행코드의 숙주 파일 탐지 방법은, 숙주 파일 탐지 시스템이 파일시스템 필터 드라이버로부터 필터링된 파일입출력으로부터 실행 프로세스 식별자, 작업 종류, 입출력 대상이 되는 파일 식별자를 로그로 기록하는 로그수집단계와;

상기 숙주 파일 탐지 시스템이 상기 수집된 로그에 대해 실행 프로세스 식별자별로 작업 종류와 파일 식별자를 연계하여 프로세스정보저장소에 저장하고, 파일 식별자별로 수행된 작업 종류를 파일정보저장소에 저장하는 로그분류단계와;

상기 숙주 파일 탐지 시스템이 상기 프로세스정보저장소와 상기 파일정보저장소에 저장된 정보를 이용하여 상호 연계된 실행 프로세스 식별자와 파일 식별자를 링크로 연결하고 상기 링크에 파일노드를 생성하며 상기 파일노드에 상기 실행 프로세스 식별자가 상기 파일 식별자를 대상으로 수행한 작업 종류를 기재하여 프로세스 파일 연계 구조를 생성하는 프로세스파일연계단계와;

상기 숙주 파일 탐지 시스템이 상기 프로세스 파일 연계 구조를 기반으로 임의의 프로세스와 연계된 모든 프로세스와 파일을 역추적하는 로그검사단계를 포함한 것을 특징으로 한다.

이상과 같이 이 발명에 따르면 컴퓨터 시스템의 부트 시점부터 파일시스템 필터 드라이버로부터 파일입출력을 필터링하여 로그로 기록하고, 이후 부트 동안 파일 I/O를 발생시킨 프로세스 정보와 프로세스가 참조한 파일 정보 및 작업 정보 등을 로그를 역추적하여 악성실행코드의 숙주 파일을 탐지할 수 있는 잇점이 있다.

도 1은 이 발명의 한 실시예에 따른 악성실행코드의 숙주 파일 탐지 시스템을 도시한 구성 블록도이다.

도 2는 프로세스파일연계부에 의해 생성되는 프로세스와 파일 연계 구조의 한 예이다.

도 3은 이 발명에 따른 악성실행코드의 숙주 파일 탐지 방법을 도시한 동작 흐름도이다.

[부호의 설명]

11 : 로그수집부 12 : 로그분류부

13 : 프로세스정보저장소 14 : 파일정보저장소

15 : 프로세스파일연계부 16 : 로그검사부

이하, 첨부된 도면을 참조하며 이 발명에 따른 악성실행코드의 숙주 파일 탐지 시스템 및 방법에 대해 보다 상세하게 설명한다.

통상적으로 안티 바이러스 프로그램은 운영체제가 로드된 후 설치되어 AV 패턴 엔진을 로드하고 기설정된 정책에 따라 구동하여 악의적인 파일이나 프로세스로부터 컴퓨터 시스템을 보호한다. 이 안티 바이러스 프로그램은 실시간 감시기능을 포함하여 악의적인 행위를 수행하는 악성실행코드를 차단할 수 있다. 그러나, 악성실행코드를 생성한 숙주 파일이 남아 있는 한, 그 숙주 파일이 끊임없이 또 다른 악성실행코드를 생성할 수 있기 때문에, 악성실행코드를 차단하는 것만으로는 근본적인 보안 정책이 될 수 없다.

이에 일반적인 안티 바이러스 프로그램은 악성실행코드를 차단하는 것뿐만 아니라 해당 악성실행코드를 생성한 숙주 파일을 찾아서 치료 또는 삭제하는 등의 조치를 취하고 있다.

그러나, 안티 바이러스 프로그램이 구동되기 전에 숙주 파일에 의해 생성된 악성실행코드의 경우, 안티 바이러스 프로그램이 구동되기 전까지 어떠한 방해도 받지 않고 컴퓨터 시스템의 악의적인 행위를 수행할 수 있으나, 안티 바이러스 프로그램은 실행 전이기 때문에 이를 인지할 수 없다.

일부 악성실행코드는 자신을 생성한 숙주 파일을 제거하고 다른 숙주 파일을 생성하여 다음 번 실행을 위해 은닉해 놓기도 한다. 또 다른 악성실행코드는 악의적인 연산을 마무리하고 안티 바이러스 프로그램이 실행되기 전에 종료되기도 한다. 이 경우, 안티 바이러스 프로그램은 해당 악성실행코드나 숙주 파일을 추적하기 곤란하며, 특히 숙주 파일이 은닉되어 있는 경우에는 더욱 찾기 어려워진다.

이 발명에서는 부트 시점부터 안티 바이러스 프로그램이 구동되기까지 파일 I/O를 발생시킨 프로세스 정보, 프로세스가 참조한 파일 정보 등의 로그를 수집하고, 수집된 로그를 역추적하여 악성실행코드의 숙주 파일을 탐지한다.

이 발명에 따른 악성실행코드의 숙주 파일 탐지 시스템은, 파일시스템 필터 드라이버로부터 파일입출력을 필터링하고 상기 파일입출력으로부터 실행 프로세스 식별자, 작업 종류, 입출력 대상이 되는 파일 식별자를 로그로 기록하는 로그수집부(11)와; 상기 수집된 로그에 대해 각 실행 프로세스 식별자별로 작업 종류와 파일 식별자를 연계하여 프로세스정보저장소(13)에 저장하고, 각 파일 식별자별로 수행된 모든 작업 종류를 파일정보저장소(14)에 저장하는 로그분류부(12)와; 상기 프로세스정보저장소(13)와 상기 파일정보저장소(14)에 저장된 정보를 이용하여 상기 상호 연계된 실행 프로세스 식별자와 파일 식별자와의 링크에 파일노드를 생성하고 상기 파일노드에 상기 실행 프로세스 식별자가 상기 파일 식별자를 대상으로 수행한 작업 종류 정보를 기재하여 프로세스 파일 연계 구조를 생성하는 프로세스파일연계부(15)와; 상기 프로세스파일연계부(15)에서 생성된 프로세스 파일 연계 구조를 기반으로 임의의 프로세스와 연계된 모든 프로세스와 파일을 역추적하는 로그검사부(16)를 포함한다.

상기 로그수집부(11)는 컴퓨터 시스템의 부트시부터 실행되는 것이 바람직하고, 로그분류부(12)와 프로세스파일연계부(15)와 로그검사부(16)는 안티 바이러스 프로그램 서비스가 시작되어 실시간 파일 I/O 감시부가 구동할 때 실행되는 것이 바람직하다. 실시간 파일 I/O 감시부가 실행되면 로그수집부(11)가 실행을 정지하여도 된다.

상기 프로세스 식별자는 프로세스 생성시간을 포함하고, 상기 파일 식별자는 파일 경로와 파일 명을 포함한다. 프로세스정보저장소(13)는 종료된 실행 프로세스에 대한 로그 정보와 삭제된 파일에 대한 로그 정보도 유지하는 것이 바람직하다. 각 프로세스는 부모 프로세스 식별자(생성시간) 정보를 저장한다.

상기 작업 종류에는 생성, 열기, 실행, 쓰기, 이름변경, 경로이동, 삭제 등이 포함된다. 이중 이름변경과 경로이동은 파일 식별자를 변경시키는 작업 종류로서, 이름변경이나 경로이동시 이전 파일 식별자는 없어지고 새로운 파일 식별자가 생성된다. 따라서, 실행 프로세스가 임의의 파일을 이름변경이나 경로이동하는 경우, 상기 실행 프로세스와 변경이나 이동 전 파일 식별자 및 변경이나 이동 후 파일 식별자가 각각 연계되어 저장된다. 상기 파일정보저장소는 해시테이블로 구축된다.

실행 프로세스 식별자와 파일 식별자의 연계 링크(21, 22, 23)에 부가된 파일노드(24, 25, 26)에는 각각 해당 실행 프로세스 식별자(P2, P4)가 해당 파일 식별자(F3, F6)를 대상으로 수행한 작업 종류가 기재되는데, 생성(C), 열기(O), 실행(E), 쓰기(W), 삭제(D)에는 하나의 실행 프로세스 식별자와 하나의 파일 식별자만 연계(P2-F3)(P4-F3)(P4-F6)되지만, 이름변경이나 경로이동은 하나의 실행 프로세스 식별자와 두 개의 파일 식별자가 연계(P4-F3/F6)된다. 이때, 실행 프로세스 식별자(P4)와 이름변경전 파일 식별자(F3)와의 연계 링크(22)의 파일노드(25)에는 작업 종류로서 이름변경전(Rs)이 기재되고, 해당 실행 프로세스 식별자(P4)와 이름변경후 파일 식별자(F6)와의 연계 링크(23)의 파일노드(26)에는 작업 종류로서 이름변경후(Rd)가 기재된다. 이와 마찬가지로, 실행 프로세스 식별자와 경로이동전 파일 식별자와의 연계 링크 파일노드에는 작업 종류로서 경로이동전(Ms)이 기재되고, 해당 실행 프로세스 식별자와 경로이동후 파일 식별자와의 연계 링크 파일노드에는 작업 종류로서 경로이동후(Md)가 기재된다.

프로세스파일연계부(15)는, 파일 식별자마다 해당 파일 식별자에게 작업한 실행 프로세스 식별자를 상술한 파일노드와는 별도의 노드와 링크로 표시할 수도 있다.

로그검사부(16)는 프로세스파일연계부(15)에 생성된 프로세스와 파일 연계 구조로부터 임의의 프로세스와 연계된 모든 프로세스와 파일을 역추적한다. 로그검사부(16)가 도 2의 프로세스와 파일 연계 구조로부터 얻을 수 있는 정보는 아래의 표 1과 같다.

표 1

1. P2는 F3을 생성했다.2. P4(부모프로세스;P2)는 F3을 열고 F3을 다른 이름으로 변경했다.3. P4는 다른 이름의 파일을 F6으로 이름변경을 하고, F6을 실행했다.4. F3에 수행된 작업 종류는 C(생성), O(열기), Rs(이름변경전)이다.5. F6에 수행된 작업 종류는 Rd(이름변경후), E(실행)이다.

2항목과 3항목의 조합으로부터 P4가 F3을 F6으로 이름변경하였음을 알 수 있다. 안티 바이러스 프로그램이 F6으로부터 생성된 프로세스가 악성이라고 판단한 경우, 로그검사부(16)는 해당 악성 프로세스에 연계된 F6 뿐만 아니라 F6과 연계된 P4, P2, F3을 역추적할 수 있다. 또한, 도면에는 도시되지 않았으나, 임의의 파일이 다음 번 실행을 위해 복사(생성)되어 은닉되어 있더라도 프로세스와 파일의 연계 구조를 역추적하면 악성 프로세스와 연계된 모든 파일과 모든 프로세스의 역추적이 가능하므로 은닉된 파일의 검출이 가능하다.

또한, 로그검사부(16)는 특정 작업 종류가 수행된 파일을 선별하여 검사할 수도 있고, 특정 프로세스와 링크된 파일만을 선별하여 검사할 수도 있다.

로그수집부(11)는 파일시스템 필터 드라이버로부터 파일입출력을 필터링하고(S31), 필터링한 파일입출력으로부터 실행 프로세스 식별자, 작업 종류, 입출력 대상이 되는 파일 식별자를 로그로 기록한다(S32). 로그수집부(11)는 부트 시점부터 동작하는 파일시스템 필터 드라이버로부터 파일입출력을 제공받기 때문에, 부트 시점부터 파일 로그를 기록할 수 있다.

이 후 AV 프로그램이 실행되면(S33), 로그분류부(12)는 상기 수집된 로그에 대해 각 실행 프로세스 식별자별로 작업 종류와 파일 식별자를 연계하여 프로세스정보저장소(13)에 저장하고, 각 파일 식별자별로 수행된 모든 작업 종류를 파일정보저장소(14)에 저장한다(S34).

다음, 프로세스파일연계부(15)는 프로세스정보저장소(13)와 파일정보저장소(14)에 저장된 정보를 이용하여 상기 상호 연계된 실행 프로세스 식별자와 파일 식별자와의 링크에 파일노드를 생성하고 상기 파일노드에 상기 실행 프로세스 식별자가 상기 파일 식별자를 대상으로 수행한 작업 종류 정보를 기재하여 프로세스 파일 연계 구조를 생성한다(S35).

마지막으로, 로그검사부(16)는 상기 프로세스파일연계부(15)에서 생성된 프로세스 파일 연계 구조를 기반으로 임의의 프로세스와 연계된 모든 프로세스와 파일을 역추적한다(S36).

이상에서 본 발명에 대한 기술사상을 첨부도면과 함께 서술하였지만, 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술분야의 통상의 지식을 가진 자라면 누구나 본 발명의 기술사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.

Claims

파일시스템 필터 드라이버로부터 필터링된 파일입출력으로부터 실행 프로세스 식별자, 작업 종류, 입출력 대상이 되는 파일 식별자를 로그로 기록하는 로그수집부와;

상기 수집된 로그에 대해 실행 프로세스 식별자별로 작업 종류와 파일 식별자를 연계하여 프로세스정보저장소에 저장하고, 파일 식별자별로 수행된 작업 종류를 파일정보저장소에 저장하는 로그분류부와;

상기 프로세스정보저장소와 상기 파일정보저장소에 저장된 정보를 이용하여 상호 연계된 실행 프로세스 식별자와 파일 식별자를 링크로 연결하고 상기 링크에 파일노드를 생성하며 상기 파일노드에 상기 실행 프로세스 식별자가 상기 파일 식별자를 대상으로 수행한 작업 종류를 기재하여 프로세스 파일 연계 구조를 생성하는 프로세스파일연계부와;

상기 프로세스파일연계부에서 생성된 프로세스 파일 연계 구조를 기반으로 임의의 프로세스와 연계된 모든 프로세스와 파일을 역추적하는 로그검사부를 포함한 것을 특징으로 하는 악성실행코드의 숙주 파일 탐지 시스템.
제 1 항에 있어서, 상기 실행 프로세스 식별자는 프로세스 생성시간인 것을 특징으로 하는 악성실행코드의 숙주 파일 탐지 시스템.
제 1 항에 있어서, 상기 프로세스정보저장소 및 상기 프로세스 파일 연계 구조는 상기 실행 프로세스 식별자의 부모 실행 프로세스 식별자 정보를 포함한 것을 특징으로 하는 악성실행코드의 숙주 파일 탐지 시스템.
제 1 항에 있어서, 상기 작업 종류는 상기 파일 식별자를 대상으로 한 생성, 열기, 실행, 쓰기, 이름변경, 경로이동, 삭제를 포함한 것을 특징으로 하는 악성실행코드의 숙주 파일 탐지 시스템.
제 1 항에 있어서, 상기 파일정보저장소는 해시테이블로 구축된 것을 특징으로 하는 악성실행코드의 숙주 파일 탐지 시스템.
숙주 파일 탐지 시스템이 파일시스템 필터 드라이버로부터 필터링된 파일입출력으로부터 실행 프로세스 식별자, 작업 종류, 입출력 대상이 되는 파일 식별자를 로그로 기록하는 로그수집단계와;

상기 숙주 파일 탐지 시스템이 상기 수집된 로그에 대해 실행 프로세스 식별자별로 작업 종류와 파일 식별자를 연계하여 프로세스정보저장소에 저장하고, 파일 식별자별로 수행된 작업 종류를 파일정보저장소에 저장하는 로그분류단계와;

상기 숙주 파일 탐지 시스템이 상기 프로세스정보저장소와 상기 파일정보저장소에 저장된 정보를 이용하여 상호 연계된 실행 프로세스 식별자와 파일 식별자를 링크로 연결하고 상기 링크에 파일노드를 생성하며 상기 파일노드에 상기 실행 프로세스 식별자가 상기 파일 식별자를 대상으로 수행한 작업 종류를 기재하여 프로세스 파일 연계 구조를 생성하는 프로세스파일연계단계와;

상기 숙주 파일 탐지 시스템이 상기 프로세스 파일 연계 구조를 기반으로 임의의 프로세스와 연계된 모든 프로세스와 파일을 역추적하는 로그검사단계를 포함한 것을 특징으로 하는 악성실행코드의 숙주 파일 탐지 방법.
제 6 항에 있어서, 상기 실행 프로세스 식별자는 프로세스 생성시간인 것을 특징으로 하는 악성실행코드의 숙주 파일 탐지 방법.
제 6 항에 있어서, 상기 프로세스정보저장소 및 상기 프로세스 파일 연계 구조는 상기 실행 프로세스 식별자의 부모 실행 프로세스 식별자 정보를 포함한 것을 특징으로 하는 악성실행코드의 숙주 파일 탐지 방법.
제 6 항에 있어서, 상기 작업 종류는 상기 파일 식별자를 대상으로 한 생성, 열기, 실행, 쓰기, 이름변경, 경로이동, 삭제를 포함한 것을 특징으로 하는 악성실행코드의 숙주 파일 탐지 방법.
제 6 항에 있어서, 상기 파일정보저장소는 해시테이블로 구축된 것을 특징으로 하는 악성실행코드의 숙주 파일 탐지 방법.