랜섬웨어 분석 및 탐지패턴 자동화 모델에 관한 연구

• Published in: 한국정보통신학회논문지 Vol. 21; no. 8; pp. 1581 - 1588
• Main Authors: 이후기(Hoo-Ki Lee), 성종혁(Jong-Hyuk Seong), 김유천(Yu-Cheon Kim), 김종배(Jong-Bae Kim), 김광용(Gwang-Yong Gim)
• Format: Journal Article
• Language: Korean
• Published: 한국정보통신학회 2017
• Subjects: 전자/정보통신공학; Signature-based Detection; Pattern Automation; Malvertising; 서비스 형태의 랜섬웨어; 시그니처 기반 탐지; RaaS; 랜섬웨어; 패턴 자동화; Ransomware; 멀버타이징
• ISSN: 2234-4772; 2288-4165
• DOI: 10.6109/jkiice.2017.21.8.1581

Recently, circulating ransomware is becoming intelligent and sophisticated through a spreading new viruses and variants, targeted spreading using social engineering attack, malvertising that circulate a large quantity of ransomware by hacking advertising server, or RaaS(Ransomware-as-a- Service), from the existing attack way that encrypt the files and demand money. In particular, it makes it difficult to track down attackers by bypassing security solutions, disabling parameter checking via file encryption, and attacking target-based ransomware with APT(Advanced Persistent Threat) attacks. For remove the threat of ransomware, various detection techniques are developed, but, it is very hard to respond to new and varietal ransomware. Accordingly, in this paper, find out a making Signature-based Detection Patterns and problems, and present a pattern automation model of ransomware detecting for responding to ransomware more actively. This study is expected to be applicable to various forms in enterprise or public security control center. 최근 광범위하게 유포되고 있는 랜섬웨어는 단순 파일 암호화 후 금전을 요구하는 기존 방식의 공격에서 벗어나 신 변종 유포, 사회공학적 공격 방법을 이용한 표적형 유포, 광고 서버를 해킹해 랜섬웨어를 대량으로 유포하는 멀버타이징 형태의 유포, RaaS 등을 통해 더욱 고도화, 지능화되고 있다. 특히, 보안솔루션을 우회하거나 파일암호화를 통해 파라미터 확인을 불가능하게 하고, APT 공격을 접목한 타겟형 랜섬웨어 공격 등으로 공격자에 대한 추적을 어렵게 하고 있다. 이와 같은 랜섬웨어의 위협에서 벗어나기 위해 다양한 탐지기법이 개발되고 있지만 새롭게 출몰하는 랜섬웨어에 대응하기에는 힘든 상황이다. 이에 본 논문에서는 시그니처 기반의 탐지 패턴 제작 및 그 문제점에 대해 알아보고, 랜섬웨어에 보다 더 능동적으로 대처하기 위해 일련의 과정을 자동으로 진행하는 랜섬웨어 감염 탐지 패턴 자동화 모델을 제시한다. 본 모델은 기업이나 공공 보안관제센터에서 다양한 응용이 가능할 것으로 기대된다.