윈도우즈 라이브러리로 위장한 Proxy DLL 악성코드 탐지기법에 대한 연구 : Winnti 사례를 중심으로

Vol. 25, No. 6, pp. 1385-1398, 12월. 2015
10.13089/JKIISC.2015.25.6.1385, Full Text:
Keywords: Malware, Malicious Code, Anti Virus, Proxy DLL, Windows Library, Winnti, APT
Abstract

Proxy DLL은 윈도우즈에서 DLL을 사용하는 정상적인 메커니즘이다. 악성코드들은 목표 시스템에 심어진 뒤에 감염을 위해 최소 한번은 실행되어야 하는데, 이를 위해 특정 악성코드들은 정상적인 윈도우즈 라이브러리로 위장하여 Proxy DLL 메커니즘을 이용한다. 이런 유형의 대표적인 공격 사례가 윈티(Winnti) 그룹이 제작한 악성코드들이다. 윈티 그룹은 카스퍼스키랩(Kaspersky Lab)에서 2011년 가을부터 연구하여 밝혀진 중국의 해킹 그룹으로, 온라인 비디오 게임 업계를 목표로 다년간에 걸쳐 음성적으로 활동하였고, 이 과정에서 다수의 악성코드들을 제작하여 온라인 게임사에 감염시켰다. 본 논문에서는 윈도우즈 라이브러리로 위장한 Proxy DLL의 기법을 윈티의 사례를 통해 알아보고, 이를 방어할 수 있는 방법을 연구하여 윈티의 악성코드를 대상으로 검증하였다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
J. Koo and H. K. Kim, "A research on detection techniques of Proxy DLL malware disguised as a Windows library : Focus on the case of Winnti," Journal of The Korea Institute of Information Security and Cryptology, vol. 25, no. 6, pp. 1385-1398, 2015. DOI: 10.13089/JKIISC.2015.25.6.1385.

[ACM Style]
JunSeok Koo and Huy Kang Kim. 2015. A research on detection techniques of Proxy DLL malware disguised as a Windows library : Focus on the case of Winnti. Journal of The Korea Institute of Information Security and Cryptology, 25, 6, (2015), 1385-1398. DOI: 10.13089/JKIISC.2015.25.6.1385.