The Journal of Korean Institute of Information Technology (한국정보기술학회논문지)

Korean Institute of Information Technology (한국정보기술학회)
권호 표지

Detection Method Using Common Features of Malware Variants Generated by Automated Tools

자동화된 도구에 의해 생성된 변종 악성코드의 공통 속성을 이용한 탐지 방법

  • 박성빈 (전남대학교 시스템보안연구센터) ;
  • 김민수 (목포대학교 정보보호학과) ;
  • 노봉남 (전남대학교 시스템보안연구센터)
  • Published : 2012.09.30
⟨ Previous Next ⟩

Abstract

Recent malware has become an issue in the social. In addition, the automated tool that can be generate malware variants have emerged. Anti-virus vendors are constantly working for detect malware variants. However, automated tool is creating a large amount malware variants. To overcome these difficulties, this paper proposes a detection method using the common feature for detection and classification of malware variants generated by automated tools. The seven kind of common features that can be obtained through the static and dynamic analysis were select, and we experimented using a total of 11 samples. The experiment results showed the effective detection and classification for malware variants generated by automated tools.

최근 악성코드는 사회적으로 많은 이슈가 되고 있다. 또한 다양한 변종 악성코드를 생성할 수 있는 자동화된 도구의 등장은 안티 바이러스 업체들의 지속적인 노력에도 불구하고 감당하기 힘들 정도의 많은 변종 악성코드를 만들어 내고 있다. 이러한 어려움을 극복하기 위해 본 논문에서는 자동화된 도구에 의해 생성된 변종악성코드의 탐지 및 분류를 위해 공통 속성을 이용한 탐지 방법을 제안한다. 정적 및 동적 분석을 통해 얻을 수 있는 7가지 종류의 공통속성을 선정하였으며, 총 11개의 샘플을 이용하여 실험하였다. 실험 결과는 자동화된 도구에 의해 생성된 변종 악성코드에 대해 효과적인 탐지 및 분류 결과를 보여준다.

Keywords

References

  1. Wikipedia, Malware, http://en.wikipedia.org/wiki/ Malware/.
  2. Webopedia, Variant, http://www.webopedia.com/ TERM/V/variant.html/.
  3. 박남열, 김용민, 노봉남, "우회기법을 이용하는 악성코드 행위기반 탐지 방법", 정보보호학회 논문지, 제 16권, 제 3호, pp. 17-28, 2006년 6월.
  4. AV-Test, http://www.av-test.org/en/statistics/malware/.
  5. Symantec.cloud MessageLabs, Symantec Intelligence Report, Nov. 2011.
  6. Babak Bashari Rad and Maslin Masrom, "Metamorphic Virus Detection in Portable Executables Using Opcodes Statistical Feature", ICASEIT, Jan. 2011.
  7. 권종훈, 이제현, 정현철, 이희조, "행위 그래프 기반의 변종 악성코드 탐지", 정보보호학회 논문지, 제 21권, 제 2호, pp. 37-47, 2011년 4월.
  8. Keehyung Kim and Byung-Ro Moon, "Malware Detection based on Dependency Graph using Hybrid Genetic Algorithm", GECCO'10, pp. 1211- 1218, July 2010.
  9. Matt Fredrikson, Somesh Jha, Mihai Christodorescu, Reiner Sailer, and Xifeng Yan, "Synthesizing Near-Optimal Malware Specifications from Suspicious Behaviors", 2010 IEEE Symposium on Security and Privacy, pp. 45-60, May 2010.
  10. F. Cohen, "Computer viruses: Theory and experiments", In DOD/NBS Com. and Sec. Conf., Vol. 6, pp. 22-35, Sep. 1987.
  11. D. Chess and S. White, "An undetectable computer virus", In Virus Bulletin Conf., Sep. 2000.
  12. A. Moser, C. Kruegel, and E. Kirda, "Limits of static analysis for malware detection", In ACSAC, pp. 421-430, Dec. 2007.
  13. A. Moser, C. Krugel, and E. Kirda, "Exploring multiple execution paths for malware analysis", IEEE Security and Privacy, pp. 231-245, May 2007.
  14. Paul Royal, Mitch Halpin, David Dagon, Robert Edmonds, and Wenke Lee, "PolyUnpack: Automating the Hidden-Code Extraction of Unpack-Executing Malware", IEEE, ACSAC'06, pp. 289-300, Dec. 2006.
  15. Kevin Coogan, Saumya Debray, Tasneem Kaochar, and Gregg Townsend, "Automatic Static Unpacking of Malware Binaries", IEEE, WCRE'09, pp. 167-176, Oct. 2009.
  16. M. D. Preda, M. Christodorescu, S. Jha, and S. Debray, "A Semantics-Based Approach to Malware Detection", ACM Trans. Program. Lang. Syst., Vol. 30, No. 5, Aug. 2008.
  17. V. S. Sathyanarayan, P. Kohli, and B. Bruhadeshwar, "Signature Generation and Detection of Malware Families", ACISP, Vol. 5107, pp. 336-349, 2008
  18. 정구현, 추의진, 이주석, 이희조, "엔트로피를 이용한 실행 압축 해제 기법 연구", 한국정보기술학회 논문지, 제 7권, 제 1호, pp. 232-238, 2009년 2월.
  19. C. Willems, T. Holz, and F.C. Freiling, "Toward Automated Dynamic Malware Analysis Using CWSandbox", IEEE Security & Privacy, Vol. 5, No. 2, pp. 32-39, March 2007.
  20. C. K. Ulrich Bayer and E. Kirda, "Ttanalyze: A Tool for Analyzing Malware", In 15th Ann. Conf. of European Inst. for Computer Antivirus Research (EICAR), pp. 180-192, 2006.
  21. Anubis, http://anubis.iseclab.org/.
  22. Windows Sysinternals, Strings, http://technet. microsoft.com/en-us/sysinternals/bb897439/.
  23. Stud_PE, http://www.cgsoftlabs.ro/studpe.html/.
  24. PEView, http://www.magma.ca/-wjr/.
  25. SysAnalyzer, http://securitytnt.com/sysanalyzer/.
  26. CWSandbox, http://mwanalysis.org/.