Symbol 기반 악성코드 정적분석 및 분류 시스템

Abstract

최근, 악성코드는 랜섬웨어, APT와 같은 지능화된 형태로 발전하고 있으며, 이러한 악성코드는 탐지를 피하기 위해 난독화, 패킹 등의 기술을 통해 변형되어 변종된 형태로 재출현하고 있다. 이러한 이유로, 악성코드 탐지를 위한 악성코드 정적분석 또는 분류 연구가 활발히 진행되고 있다. 하지만, 기존의 악성코드 정적분석 기술의 접근법은 난독화된 악성코드 분석에 있어 제한적이며, 동적분석의 경우 큰 시간비용 및 오버헤드를 발생시킨다. 따라서, 효율성을 고려하여 난독화에 영향을 받지 않는 악성코드 정적분석 방안을 연구할 필요가 있다. 이에 따라, 본 논문은 Symbol 기반 악성코드 정적분석 및 분류 시스템을 제안한다. 이는 난독화된 바이너리 파일에서 특정 Symbol들이 많이 나타는 특성을 이용하여, 정상 및 악성 바이너리 파일로부터 특정 Symbol들에 대한 문자열 데이터를 추출하고 정상파일 및 악성코드 간 해당 데이터의 분포 차이를 분석함으로써 악성코드를 탐지 및 분류한다. 따라서, Symbol feature를 기반으로 악성코드를 사전탐지하고, 탐지된 악성코드를 유사한 유형별로 군집화하여 분류함으로써 새로 유입되는 파일이 해당 유형의 군집에 분류되는 경우 악성코드로 탐지할 수 있다. 제안하는 시스템은 난독화된 악성코드 분석에 대한 기존의 정적분석 및 동적분석 기술의 한계를 개선하여 상대적으로 적은 시간비용 및 오버헤드로 악성코드를 탐지 및 분류할 수 있으며, 이는 추후 발생 가능한 신종 및 변종 악성코드의 탐지를 목표로 한다.