프로세스 가상 메모리 데이터 유사성을 이용한 프로세스 할로윙 공격 탐지

Vol. 29, No. 2, pp. 431-438, 3월. 2019
10.13089/JKIISC.2019.29.2.431, Full Text:
Keywords: Fileless malware, Malware, Process hollowing, Malware detection, Process memory, Memory similarity
Abstract

"파일리스 악성코드는 악성 행위를 수행할 페이로드의 흔적을 은닉하기 위해 메모리 주입 공격을 이용한다. 메모리주입 공격 중 프로세스 할로윙이라는 이름의 공격은 시스템 프로세스 등을 일시정지 상태로 생성시킨 다음, 해당 프로세스에 악성 페이로드를 주입시켜 정상 프로세스인 것처럼 위장해 악성행위를 수행하는 방법이다. 본 논문은 프로세스 할로윙 공격이 발생했을 경우, 악성 행위 실제 수행 여부와 상관없이 메모리 주입 여부를 검출할 수 있는 방법을 제안한다. 메모리 주입이 의심되는 프로세스와 동일한 실행 조건을 갖는 복제 프로세스를 실행시키고, 각 프로세스 가상 메모리 영역에 속해있는 데이터 집합을 퍼지 해시를 이용해 비교한 다음 유사도를 산출한다."

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
임수민 and 임을규, "Proposal of Process Hollowing Attack Detection Using Process Virtual Memory Data Similarity," Journal of The Korea Institute of Information Security and Cryptology, vol. 29, no. 2, pp. 431-438, 2019. DOI: 10.13089/JKIISC.2019.29.2.431.

[ACM Style]
임수민 and 임을규. 2019. Proposal of Process Hollowing Attack Detection Using Process Virtual Memory Data Similarity. Journal of The Korea Institute of Information Security and Cryptology, 29, 2, (2019), 431-438. DOI: 10.13089/JKIISC.2019.29.2.431.