Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

A Behavior based Detection for Malicious Code Using Obfuscation Technique

우회기법을 이용하는 악성코드 행위기반 탐지 방법

  • Published : 2006.06.01
Download PDF
⟨ Previous Next ⟩

Abstract

The appearance of variant malicious codes using obfuscation techniques is accelerating the spread of malicious codes around the detection by a vaccine. n a system does not patch detection patterns for vulnerabilities and worms to the vaccine, it can be infected by the worms and malicious codes can be spreaded rapidly to other systems and networks in a few minute. Moreover, It is limited to the conventional pattern based detection and treatment for variants or new malicious codes. In this paper, we propose a method of behavior based detection by the static analysis, the dynamic analysis and the dynamic monitoring to detect a malicious code using obfuscation techniques with the PE compression. Also we show that dynamic monitoring can detect worms with the PE compression which accesses to important resources such as a registry, a cpu, a memory and files with the proposed method for similarity.

우회기법을 사용하는 변종 악성코드의 출현은 바이러스 백신에 의한 탐지를 우회하여 확산을 가속화시키고 있다. 만일 보안 취약점 패치가 되지 않고, 바이러스 백신 패턴에 포함되지 않았을 경우에 신종 웜은 수분 내에 단위 네트워크상의 시스템을 감염시킬 수 있으며, 다른 지역 네트워크로의 확산도 가능하다. 따라서 변종 및 신종 악성코드에 대한 기존의 패턴기반 탐지 및 치료 방식에는 한계가 있다. 본 논문에서는 실행 압축의 우회기법을 사용한 악성코드에 대하여 행위기반의 정적 및 동적 분석에 의한 탐지패턴을 생성하고, 동적 탐지에 의한 변종 및 신종에 대한 탐지 방법을 제안한다. 또한 동적 탐지에서의 유사도 비교를 위한 방법을 제안하여 시스템의 중요자원에 접근하는 실행압축 기법을 사용하는 바이러스의 탐지가 가능함을 보인다.

Keywords

References

  1. 이호동, Windows 시스템 실행파일의 구조와 원리, 한빛미디어, 2005
  2. M. Pietrek, 'Inside Windows: An In- Depth Look into the Win32 Portable Executable File Format Part I, II,' MSDN Magazine, March 2002
  3. Microsoft Corporation, 'Portable Executable Formats,' Formats specification for Windows
  4. Jose Nazario, 'Defense and Detection Strategies against Internet Worms,' Artech House, 2004
  5. Mihai Christodorescu, Somesh Jha, 'Static Analysis of Executables to Detect Malicious Patterns,' 12th USENIX Security Symposium, pp. 169-186, 2003
  6. A. Sung, J. Xu, P. Chavez, and S. Mukkamala, 'Static Analyzer for Vicious Executables (SAVE),' 20th Annual Computer Security Applications Conference, pp. 326-334, Dec. 2004
  7. J-Y. Xu, A. H. Sung, P. Chavez, S. Mukkamala, 'Polymorphic Malicious Executable Scanner by API Sequence Analysis,' 4th International Conference on Hybrid Intelligent Systems, pp. 378-383, Dec. 2004
  8. Cullen Linn, Saumya Debray, 'Obfuscation of Executable Code to Improve Resistance to Static Disassembly,' In Proceedings of the 10th ACM Conference on Computer and Communications Security (CCS), pp 290-299, October 2003
  9. J. Bergeron, M. Debbabi, J. Desharnais, M. M. Erhioui, Y. Lavoie and N. Tawbi, 'Static Detection of Malicious Code in Executable Programs,' SREIS '01, 2001
  10. S. G. Masood, Malware analysis for administrators, http://www.securityfocus.com/ infocus/1780, 2004