난독화된 자바스크립트의 자동 복호화를 통한 악성코드의 효율적인 탐지 방안 연구

Vol. 22, No. 4, pp. 869-882, 8월. 2012
10.13089/JKIISC.2012.22.4.869, Full Text:
Keywords: Javascript, Malware, Obfuscation, Intrusion Detection
Abstract

웹 서비스의 증가와 자동화된 공격 도구의 발달로 최근 대부분의 악성코드 유포 경로는 웹 서비스를 통하여 이루어지고 있다. 또한 웹의 기본 언어인 자바스크립트를 이용한 난독화 기법을 통해 악성코드 은닉 사이트의 URL이나 공격 코드를 숨기기 때문에, 기존 패턴 매칭 기반의 네트워크 보안 솔루션으로는 탐지에 한계가 존재하게 된다. 이를 해결하기 위하여 사용자의 웹브라우저에서 악성 자바스크립트를 탐지하기 위한 여러 방안이 제시되었지만, 최근 APT공격과 같이 특정 기업이나 조직 네트워크에 침투하기 위한 고도화된 공격에 대응하기에는 한계가 존재한다. 이런 유형의 공격에 대응하기 위해, 외부에서 유입되는 트래픽에 대해 난독화된 악성코드가 웹을 통해 유입되는지 일괄적인 탐지가 필요하며, 기존 패턴 매칭 기반 솔루션에서 탐지율의 한계를 극복하기 위해 난독화된 자바스크립트를 복호화 하여 숨겨진 악성코드를 탐지할 수 있는 새로운 방법이 필요하다. 본 논문에서는 오픈소스인 Jsunpack-n[1] 을 개량하여 자바스크립트의 함수 오버라이딩 기법과 별도의 자바스크립트 인터프리터를 통해 악성코드에 적용된 난독화 기법에 상관없이 숨겨진 악성코드를 자동적으로 탐지할 수 있는 도구를 제안한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
S. Ji and H. Kim, "An Enhanced method for detecting obfuscated Javascript Malware using automated Deobfuscation," Journal of The Korea Institute of Information Security and Cryptology, vol. 22, no. 4, pp. 869-882, 2012. DOI: 10.13089/JKIISC.2012.22.4.869.

[ACM Style]
Sun-Ho Ji and Huy-Kang Kim. 2012. An Enhanced method for detecting obfuscated Javascript Malware using automated Deobfuscation. Journal of The Korea Institute of Information Security and Cryptology, 22, 4, (2012), 869-882. DOI: 10.13089/JKIISC.2012.22.4.869.