The Journal of the Institute of Internet, Broadcasting and Communication (한국인터넷방송통신학회논문지)

The Institute of Internet, Broadcasting and Communication (한국인터넷방송통신학회)
권호 표지
DOI QR코드

DOI QR Code

Detection and Prevention Method by Analyzing Malignant Code of Malignant Bot

악성 Bot에 대한 악성코드 분석을 통한 탐지 및 대응방안

  • Kim, Soeui (Dept. of Computer & Information Communications Engineering, Hongik University) ;
  • Choi, Duri (Dept. of Computer & Information Communications Engineering, Hongik University) ;
  • An, Beongku (Dept. of Computer & Information Communications Engineering, Hongik University)
  • 김소의 (홍익대학교 컴퓨터정보통신공학과) ;
  • 최두리 (홍익대학교 컴퓨터정보통신공학과) ;
  • 안병구 (홍익대학교 컴퓨터정보통신공학과)
  • Received : 2013.02.07
  • Accepted : 2013.04.12
  • Published : 2013.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, hacking is seen as a criminal activity beyond an activity associated with curiosity in the beginning. The malignant bot which is used as an attack technique is one of the examples. Malignant Bot is one of IRC Bots and it leaks user's information with attacker's command by attacking specified IP range. This paper will discuss an access method and a movement process by analyzing shadowbot which is a kind of a malignant Bot and will suggest possible countermeasure. This study has two distinct features. First, we analyze malignant Bot by analyzing tools such as VM ware. Second, we formulate a hypothesis and will suggest possible countermeasure through analyzing malignant Bot's access method and movement. Performance evaluation will be conducted by applying possible countermeasure to see if it can prevent attacks from malignant bot.

최근의 해킹은 초기의 단순한 호기심에서 이루어졌던 차원을 넘어서서 범죄적인 성향을 많이 띄고 있다. 그 일례로 최근 사용되고 있는 공격 기법인 악성 Bot을 들 수 있다. 악성 Bot은 악성 IRC Bot 중의 하나로 유포자의 명령에 따라 특정 IP 대역을 공격하여 사용자의 정보를 유출한다. 본 논문에서는 이러한 악성 Bot의 한 종류인 shadowbot의 체계적인 분석을 통해서 접근 방법 및 동작 과정 등에 대하여 분석하고 이에 대한 대응 방안을 제안하였다. 본 논문의 주요한 특징은 다음과 같다. 첫째, VM ware와 각종 분석 툴을 통해 분석을 진행한다. 둘째, 악성 Bot의 접근 방법과 동작에 대한 체계적인 분석을 통한 가설을 세워 그에 대한 대응방안을 제안한다. 성능평가는 제안한 대응 방안을 직접 적용시켜 실제로 악성 Bot에 감염되는 것을 예방할 수 있는지의 여부를 확인하였다.

Keywords

References

  1. J. Jim, "BotNets: Detection and Mitigation," http://www.fedcirc.gov/library/documents/botNetsv32.doc, 2003.
  2. http://www.krcert.or.kr (KISA)
  3. R. Puri, "Bots & Botnet: An Overview," http://www.sans.org/rr/papers/36/1299.pdf, 2003.
  4. R. A. Grimes, "Malicious Mobile Code," O'REILLY, ISBN 1-56592-682-X, 2001.
  5. Won Gyu Lim, Jung Hyun Lee, Su Jin Lim, Won Hyung Park, Kwang Ho Kook, "A Study on Detection and Responding Technology through Window Malware Analysis," Journal of Information Security, vol.10, no.1, pp.20-24, March 2010. 2
  6. Won Gyu Lim, Geon II Heo, Won Hyung Park, Kwang-Ho Kook, "Malware Analysis and Policy Counterplan Against a Transformation of HTTP Header Information," Journal of Information Security, vol.10, no.2, pp.46-49, June 2010.
  7. Won Hyung Park, Kyeong Cheol Yang, Dong Hwi Lee, KuiNam J Kim, "Study on Improved Detection Rule Formation via Information Leakage Malware Analysis," Journal of Information Security, vol.8, no.4, pp.1-8, December 2008.
  8. http://edyui.blog.me/50117648095
  9. http://blog.daum.net/ruhi81temotu/232
  10. http://www.hanb.co.kr/network/view.html?bi_id=645

Cited by

  1. Vulnerability Defense of On-Zeroboard using CSRF Attack vol.14, pp.4, 2014, https://doi.org/10.7236/JIIBC.2014.14.4.57