WO2014123314A1

WO2014123314A1 - 악성코드의 원격지 접속 서버 추적 시스템 및 방법

Info

Publication number: WO2014123314A1
Application number: PCT/KR2014/000626
Authority: WO
Inventors: 고보승; 김대희
Original assignee: (주)잉카인터넷
Priority date: 2013-02-05
Filing date: 2014-01-22
Publication date: 2014-08-14
Also published as: KR101410289B1

Abstract

이 발명은 코드인젝션된 악성코드가 접속하는 원격지의 서버를 추적하는 시스템 및 방법에 관한 것이다. 이 발명에 따른 악성코드의 원격지 접속 서버 추적 시스템은, 메모리에 로드되는 프로세스가 통신모듈을 포함하는지를 감시하는 이미지로드감시부와, 상기 프로세스에 상기 통신모듈의 동작을 감시하는 모니터링모듈을 삽입하는 모니터링모듈삽입부와, 상기 프로세스에 삽입된 모니터링모듈로부터 상기 통신모듈과 원격지 접속 서버와의 네트워크 통신 정보를 수신하여 관리하는 네트워크연결관리부와, 상기 프로세스의 유해성을 진단하는 악성코드진단부와, 상기 악성코드진단부에서 악성으로 진단된 프로세스에 대해 상기 네트워크연결관리부에 쿼리하여 상기 악성 진단 프로세스와 통신한 원격지 접속 서버 정보를 획득하는 접속서버추적부를 포함한다.

Description

악성코드의 원격지 접속 서버 추적 시스템 및 방법

이 발명은 악성코드의 원격지 접속 서버 추적 시스템 및 방법에 관한 것으로서, 보다 상세하게는 코드인젝션된 악성코드가 접속하는 원격지의 서버를 추적하는 시스템 및 방법에 관한 것이다.

트로이 목마(trojan), 제우스(Zeus), 스파이아이(Spyeye)와 같은 악성 프로그램은 임의의 실행 프로세스에 악성 코드를 인젝션(code injection)하고, 그 악성 코드 인젝션된 메모리 영역을 시작주소로 사용하는 스레드를 생성하며, 그 스레드가 구동하여 악성 코드에 대응하는 악의적인 행위를 수행한다.

최근 제우스 또는 스파이아이 프로그램에 의해 사용자 컴퓨터에 삽입된 악성 코드가 컴퓨터에 저장된 은행 거래 계좌와 비밀번호 등의 금융 정보를 해커에게 유출시켜, 해커가 그 금융 정보를 이용하여 중소기업이나 지방자치단체 은행 계정에 접근, 현금을 인출하는 금융 사고가 발생한 바 있다. 이에 이러한 코드 인젝션 기반 악성 코드에 대응하기 위한 방안이 요구되고 있다.

이러한 악성 코드에 대응하기 위한 종래기술로서, 선행특허 대한민국 공개특허 제2011-0119918호 "정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법"에서는, 컴퓨터 시스템 상에서 실행중인 프로세스로부터 생성된 쓰레드 정보를 추출하여 상기 쓰레드와 연관된 코드를 식별하고, 상기 식별된 코드의 악성 여부를 추정하여 상기 악성으로 추정된 코드를 추출하는 악성코드 탐지모듈과, 상기 추출된 코드를 가상 환경에서 실행하여 행위를 분석한 결과에 기반하여 상기 코드를 악성코드로 최종 판단하고 상기 코드의 실행을 강제 종료하는 악성코드 강제 종료모듈을 포함한 악성코드 탐지 시스템이 제안되었다.

다른 선행특허로서, 대한민국 등록특허 제1206853호 "네트워크 접근 제어시스템 및 방법"에서는, 프로세스의 메모리를 검사하여 코드 인젝션 영역을 기반으로 하는 스레드를 찾고, 네트워크 필터링을 수행하여 네트워크에 접근하는 네트워크 패킷을 탐지하며, 탐지된 네트워크 패킷의 통신 주체가 코드 인젝션 기반 스레드이면 탐지된 네트워크 패킷의 트래픽이 차단되도록 하는 기술을 제안하였다.

이와 같이 종래에는 임의의 프로세스에 인젝션된 악성 코드가 실행되지 못하도록 하거나, 해당 악성 코드가 악의적인 네트워크 통신을 하지 못하도록 차단하는 기술을 제안할 뿐이다. 그러나, 이와 같이 인젝션된 악성 코드가 실행되지 못하도록 차단하는 것과 동시에 해당 악성 코드와 통신하여 사용자 컴퓨터로부터 개인정보를 빼내가거나 원격지에서 사용자 컴퓨터를 조정하는 원격지 접속 서버에 대한 정보를 수집할 필요가 있다.

상술한 종래기술의 필요성을 충족시키기 위하여 안출된 이 발명의 목적은, 코드 인젝션 기반 악성 스레드가 통신하는 원격지 서버를 추적하는 시스템 및 방법을 제공하기 위한 것이다.

상술한 목적을 달성하기 위한 이 발명에 따른 악성코드의 원격지 접속 서버 추적 시스템은, 메모리에 로드되는 프로세스가 통신모듈을 포함하는지를 감시하는 이미지로드감시부와, 상기 프로세스에 상기 통신모듈의 동작을 감시하는 모니터링모듈을 삽입하는 모니터링모듈삽입부와, 상기 프로세스에 삽입된 모니터링모듈로부터 상기 통신모듈과 원격지 접속 서버와의 네트워크 통신 정보를 수신하여 관리하는 네트워크연결관리부와, 상기 프로세스의 유해성을 진단하는 악성코드진단부와, 상기 악성코드진단부에서 악성으로 진단된 프로세스에 대해 상기 네트워크연결관리부에 쿼리하여 상기 악성 진단 프로세스와 통신한 원격지 접속 서버 정보를 획득하는 접속서버추적부를 포함한 것을 특징으로 한다.

또한, 이 발명에 따른 악성코드의 원격지 접속 서버 추적 방법은, 원격지 접속 서버 추적 시스템이 메모리에 로드되는 프로세스가 통신모듈을 포함하는지를 감시하는 이미지로드감시단계와, 상기 원격지 접속 서버 추적 시스템이 상기 프로세스에 상기 통신모듈의 동작을 감시하는 모니터링모듈을 삽입하는 모니터링모듈삽입단계와, 상기 원격지 접속 서버 추적 시스템이 상기 프로세스에 삽입된 모니터링모듈로부터 상기 통신모듈과 원격지 접속 서버와의 네트워크 통신 정보를 수집하는 네트워크연결관리단계와, 상기 원격지 접속 서버 추적 시스템이 악성으로 진단된 프로세스에 대해 상기 네트워크연결관리부에 쿼리하여 상기 악성 진단 프로세스와 통신한 원격지 접속 서버 정보를 획득하는 접속서버추적단계를 포함한 것을 특징으로 한다.

이상과 같이 이 발명에 따르면 코드 인젝션 기반 악성 스레드가 통신하는 원격지의 공격 근원 서버를 추적하여 상기 원격지 공격자 서버에 관한 정보(IP주소 또는 URL) 정보를 수집할 수 있는 잇점이 있다.

도 1은 이 발명에 따른 악성코드의 원격지 접속 서버 추적 시스템을 도시한 구성 블록도이다.

도 2는 이 발명에 따른 악성코드의 원격지 접속 서버 추적 방법을 도시한 동작 흐름도이다.

[부호의 설명]

111 : 이미지로드감시부 112 : 모니터링모듈삽입부

113 : 네트워크연결감시부 114 : 악성코드진단부

115 : 접속서버추적부 120 : 프로세스

121 : 통신모듈 122 : 모니터링모듈

130 : 원격지 접속 서버

이하, 첨부된 도면을 참조하며 이 발명에 따른 악성코드의 원격지 접속 서버 추적 시스템 및 방법에 대해 보다 상세하게 설명한다.

코드 인젝션 기반 악성 프로그램은 스스로를 전파하기 위해, 컴퓨터 시스템의 신규 생성 프로세스에 동일한 악성 코드를 인젝션한다. 즉, 악성 프로그램에 감염된 컴퓨터 시스템에는, 실행 프로세스들 중 다수의 프로세스들의 메모리 영역에 코드 인젝션 영역이 존재하며, 해당 코드 인젝션 영역에 동일한 코드가 인젝션된다. 따라서, 코드 인젝션 기반 악성 프로그램은 개별적인 파일로 존재하지 않고 임의의 정상 프로세스에 인젝션되어 실행되기 때문에, 프로세스 단위로 검출 및 차단시키기는 곤란하다.

또한, 코드 인젝션 기반 악성 프로그램은 문서 파일에 악성 코드를 인젝션하여, 사용자가 해당 문서 파일을 열람할 때 자동적으로 문서 파일에 인젝션된 악성코드가 사용자 컴퓨터에서 실행되어 다운로더로 동작하는 경우가 있다. 이와 같이 동작하는 다운로더는 원격지의 서버와 통신하여 파일을 다운받아 시스템에 설치하는데, 이렇게 설치된 파일이 악의적인 행위를 하거나, 사용자 컴퓨터에서 특정 응용 프로그램을 실행시켜서 개인 정보를 원격지 서버로 전송하는 등 사용자 컴퓨터를 조정하면서 악의적인 행위를 수행한다.

이 발명은 사용자 컴퓨터에서 실행되는 임의의 스레드가 통신하는 원격지 접속 서버를 추적하는 기술을 제안한다.

이 발명에서는 임의의 프로세스가 수행하는 네트워크 통신 정보를 프로세스별로 수집하여 저장하고, 추후 프로세스의 유해성을 진단하여 악성코드로 진단된 프로세스가 수행한 네트워크 통신을 분석하여 상기 악성 진단 프로세스와 통신한 원격지 접속 서버에 관한 정보를 획득한다.

이 발명에 따른 악성코드의 원격지 접속 서버 추적 시스템(110)은, 메모리에 로드되는 프로세스(120)가 통신모듈(121)을 포함하는지를 감시하는 이미지로드감시부(111)와, 상기 프로세스(120)에 상기 통신모듈(121)의 동작을 감시하는 모니터링모듈(122)을 삽입하는 모니터링모듈삽입부(112)와, 상기 모니터링모듈(122)로부터 상기 통신모듈(121)과 원격지 접속 서버와의 네트워크 통신 정보를 수신하여 관리하는 네트워크연결관리부(113)와, 메모리에 로드된 프로세스의 유해성을 진단하는 악성코드진단부(114)와, 상기 악성코드진단부(114)에서 악성으로 판단된 프로세스에 대해 상기 네트워크연결관리부(113)에 쿼리하여 상기 프로세스와 통신한 상기 원격지 접속 서버 정보를 획득하는 접속서버추적부(115)를 포함한다.

이미지로드감시부(111)는 커널단에서 프로세스(120)별로 이미지(모듈)가 로드되는 연산을 감시한다. 이미지로드감시부(111)의 감시 결과, 통신모듈(121)이 포함된 프로세스(120)가 로드되면, 모니터링모듈삽입부(112)는 해당 프로세스에 통신모듈의 네트워크 통신을 모니터링하기 위한 모니터링모듈을 삽입한다. 모니터링모듈은 통신모듈이 사용하는 API(application programming interface) 함수를 후킹하여 통신모듈의 네트워크 통신을 모니터링한다. 이 상태에서 통신모듈(121)이 원격지 접속 서버(130)와 통신하면 모니터링모듈(122)은 이를 감지하고, 네트워크 통신 정보(프로세스식별자(PID), 네트워크 연결 정보)를 네트워크연결관리부(113)에게 전달한다. 프로세스식별자 정보로부터 사용자 컴퓨터 내에서 원격지 접속 서버와 통신을 한 프로세스 정보를 알 수 있으며, 네트워크 연결 정보를 통해 원격지 접속 서버의 IP주소 또는 URL 등의 정보를 알 수 있다.

네트워크연결관리부(113)는 프로세스별로 모니터링모듈(122)로부터 입력된 네트워크 통신 정보를 저장한다.

악성코드진단부(114)는 일반적인 안티 바이러스 엔진으로서, 시그너쳐 패턴 또는 행위를 기반으로 메모리에 로딩된 프로세스(120)의 유해성을 진단한다. 상기 프로세스(120)가 악성코드로 진단되면 상기 프로세스의 프로세스식별자(PID) 또는 파일 경로를 접속서버추적부(115)에게 전달한다.

접속서버추적부(115)는 악성코드진단부(114)로부터 전달받은 프로세스식별자(PID) 또는 파일 경로를 네트워크연결관리부(113)에게 쿼리하여 상기 프로세스(120)가 수행한 네트워크 통신 정보를 획득하고, 해당 네트워크 통신 정보로부터 프로세스(120)가 접속한 원격지 접속 서버(130)의 아이피주소 또는 유알엘(URL) 정보를 획득한다.

모니터링모듈(122)은 응용단에서 네트워크 모니터링과 커널단에서 네트워크 모니터링을 모두 수행하여 네트워크연결관리부(113)에게 전달할 수 있다. 응용단에서의 네트워크 모니터링이 후킹 우회기법으로 우회될 경우 응용단에서의 네트워크 모니터링과 커널단에서의 네트워크 모니터링 결과가 일치하지 않게 되는데, 네트워크연결관리부(113)는 응용단에서의 네트워크 모니터링과 커널단에서의 네트워크 모니터링의 일치 여부에 따라 악의적인 네트워크 통신을 검출할 수 있다.

원격지 접속 서버 추적 시스템은 프로세스별로 메모리에 이미지가 로드되는지를 감시하고 메모리에 로드되는 해당 프로세스에 네트워크 연산과 관련된 통신모듈이 포함되는지를 감시한다(S21).

다음, 상기 원격지 접속 서버 추적 시스템은 통신모듈이 포함된 프로세스가 로드되면, 해당 프로세스에 상기 통신모듈의 동작을 감시하는 모니터링모듈을 삽입한다(S22). 모니터링모듈은 통신모듈이 사용하는 API 함수를 후킹함으로써, 통신모듈이 네트워크 통신을 시도할 때 해당 네트워크 통신을 시도하는 프로세스 정보(PID)와 원격지 접속 서버 정보를 포함한 네트워크 통신 정보를 검출하여 원격지 접속 서버 추적 시스템에게 전달한다.

다음, 상기 원격지 접속 서버 추적 시스템은 상기모니터링모듈로부터 상기 통신모듈과 원격지 접속 서버와의 네트워크 통신 정보를 수집하여 관리한다(S23).

다음, 악성코드진단부는 메모리에 로드된 프로세스의 유해성을 진단하는데(S24), 상기 프로세스가 악성 코드로 진단되면(S25), 상기 원격지 접속 서버 추적 시스템은 악성 진단 프로세스에 대해 상기 네트워크연결관리부에 쿼리하여 상기 악성 진단 프로세스의 네트워크 통신 정보를 검출하고 이로부터 상기 악성 진단 프로세스와 통신한 원격지 접속 서버 정보를 획득한다.

이상에서 본 발명에 대한 기술사상을 첨부도면과 함께 서술하였지만, 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술분야의 통상의 지식을 가진 자라면 누구나 본 발명의 기술사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.

Claims

메모리에 로드되는 프로세스가 통신모듈을 포함하는지를 감시하는 이미지로드감시부와,

상기 프로세스에 상기 통신모듈의 동작을 감시하는 모니터링모듈을 삽입하는 모니터링모듈삽입부와,

상기 프로세스에 삽입된 모니터링모듈로부터 상기 통신모듈과 원격지 접속 서버와의 네트워크 통신 정보를 수신하여 관리하는 네트워크연결관리부와,

상기 프로세스의 유해성을 진단하는 악성코드진단부와,

상기 악성코드진단부에서 악성으로 진단된 프로세스에 대해 상기 네트워크연결관리부에 쿼리하여 상기 악성 진단 프로세스와 통신한 원격지 접속 서버 정보를 획득하는 접속서버추적부를 포함한 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 시스템.
제 1 항에 있어서, 상기 모니터링모듈은 상기 통신모듈의 동작을 응용단과 커널단에서 감시하여 상기 네트워크연결관리부에게 제공하는 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 시스템.
제 2 항에 있어서, 상기 네트워크연결관리부는 상기 응용단에서의 네트워크 통신 정보와 상기 커널단에서의 네트워크 통신 정보가 일치하는지를 판단하는 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 시스템.
제 1 항에 있어서, 상기 모니터링모듈은 상기 통신모듈이 사용하는 API(application programming interface) 함수를 후킹하는 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 시스템.
원격지 접속 서버 추적 시스템이 메모리에 로드되는 프로세스가 통신모듈을 포함하는지를 감시하는 이미지로드감시단계와,

상기 원격지 접속 서버 추적 시스템이 상기 프로세스에 상기 통신모듈의 동작을 감시하는 모니터링모듈을 삽입하는 모니터링모듈삽입단계와,

상기 원격지 접속 서버 추적 시스템이 상기 프로세스에 삽입된 모니터링모듈로부터 상기 통신모듈과 원격지 접속 서버와의 네트워크 통신 정보를 수집하는 네트워크연결관리단계와,

상기 원격지 접속 서버 추적 시스템이 악성으로 진단된 프로세스에 대해 상기 네트워크연결관리부에 쿼리하여 상기 악성 진단 프로세스와 통신한 원격지 접속 서버 정보를 획득하는 접속서버추적단계를 포함한 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 방법.
제 5 항에 있어서, 상기 모니터링모듈은 상기 통신모듈의 동작을 응용단과 커널단에서 감시하여 상기 원격지 접속 서버 추적 시스템에게 제공하는 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 방법.
제 6 항에 있어서, 상기 네트워크연결관리단계는 상기 원격지 접속 서버 추적 시스템이 상기 응용단에서의 네트워크 통신 정보와 상기 커널단에서의 네트워크 통신 정보가 일치하는지를 판단하는 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 방법.
제 5 항에 있어서, 상기 모니터링모듈은 상기 통신모듈이 사용하는 API(application programming interface) 함수를 후킹하는 것을 특징으로 하는 악성코드의 원격지 접속 서버 추적 방법.