Journal of the Korea Institute of Information and Communication Engineering (한국정보통신학회논문지)

The Korea Institute of Information and Commucation Engineering (한국정보통신학회)
권호 표지
DOI QR코드

DOI QR Code

Enhanced Method for Preventing Malware by Detecting of Injection Site

악성코드 인젝션 사이트 탐지를 통한 방어효율 향상방안

  • Baek, Jaejong (Information and Communication School, Naval Education and Training Command)
  • Received : 2016.03.11
  • Accepted : 2016.03.30
  • Published : 2016.07.31
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, as mobile internet usage has been increasing rapidly, malware attacks through user's web browsers has been spreading in a way of social engineering or drive-by downloading. Existing defense mechanism against drive-by download attack mainly focused on final download sites and distribution paths. However, detection and prevention of injection sites to inject malicious code into the comprised websites have not been fully investigated. In this paper, for the purpose of improving defense mechanisms against these malware downloads attacks, we focus on detecting the injection site which is the key source of malware downloads spreading. As a result, in addition to the current URL blacklist techniques, we proposed the enhanced method which adds features of detecting the injection site to prevent the malware spreading. We empirically show that the proposed method can effectively minimize malware infections by blocking the source of the infection spreading, compared to other approaches of the URL blacklisting that directly uses the drive-by browser exploits.

최근 모바일 인터넷 이용률이 급증하면서 인터넷 이용자의 웹 브라우저를 통한 사회 공학적 또는 드라이브 바이 다운로드 방식으로 악성코드 유포 공격이 확산되고 있다. 현재 드라이브 바이 다운로드 공격 방어 초점은 최종 다운로드 사이트 및 유포 경로에 초점을 두어 진행되어 왔으나 공격 초기 악성코드를 주입하는 인젝션 사이트에 대한 특성 탐지 및 차단에 대해서는 충분히 연구되지 않았다. 본 논문에서는 이러한 악성 코드 다운로드 공격에 대한 방어메커니즘 향상을 목적으로, 악성코드 다운로드의 핵심 근원지인 인젝션 사이트를 탐지하는 방안에 대해서 연구한다. 결과적으로 악성코드의 확산을 방지하기 위해 다운로드 공격의 최종 사이트를 탐지 및 차단하는 현재의 URL 블랙리스트 기법에 추가하여, 악성코드를 주입하는 인젝션 사이트를 탐지 특징을 추출 하는 방안을 제시한다. 또한 URL 블랙리스트 기반의 접근법과 비교하여 악성코드 감염률을 효율적으로 최소화 할 수 있는 방안임을 보인다.

Keywords

References

  1. The Register' article. [Internet]. Available : http://www.theregister.co.uk/2016/03/09/trend_micro_ransomware_iot_threat_rise/
  2. Boan news's article [Internet]. Available: http://www.boannews.com/media/view.asp?idx=46385.
  3. M. Antonakakis, et al., "Detecting Malware Domains at the Upper DNS Hierarchy," In USENIX Security, vol. 11. pp. 1-16, 2011.
  4. P. Vadrevum et al., "Measuring and detecting malware downloads in live network traffic," In ESORICS. pp. 556-573, 2013.
  5. J. Nazario, et al., "A virtual client honeypot," In Proceedings of the 2nd USENIX Conference on LEET., vol 9, pp 911-919, 2009.
  6. N. Provos, et al., "The ghost in the browser analysis of webbased malware," In Proceedings of the First Conference on First Workshop on HotBots, vol 7, pp 4-13, 2007.
  7. H. Mekky, et al., "Detecting malicious http redirections using trees of user browsing activity," In INFOCOM, pp. 1159-1167, 2014.
  8. S. Lee, et al., "A near real-time detection system for suspicious urls in twitter stream," IEEE Trans. Dependable Secur. Comput. vol. 10, no. 3, pp. 183-195, May 2013. https://doi.org/10.1109/TDSC.2013.3
  9. N. Terry, et al,. "WebWitness: Investigating, Categorizing, and Mitigating Malware Download Paths," In USENIX Security 15, pp. 1025-1040, 2015.
  10. malware domains list. [Internet]. Available : http://mirror1.malwaredomains.com/files/immortal_domains.txt
  11. sample malicious domain list. [Internet]. Available : https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist