초록 열기/닫기 버튼
사이버 공간을 위협하는 악성코드는 지속적으로 증가하고 있으며, 증가속도 또한 점차 가속화되고 있다. 기하급수적으로 증가하는 신변종 악성코드는 전혀 새로운 기술을 사용하기보다 기존 악성코드를 재사용하는 경우가 많아, 기존 악성코드를 분석 후 분석결과를 활용한다면 신변종 악성코드에 대한 대응능력을 강화할 수 있다. 본 논문은 윈도우 환경에서 실행되는 악성코드의 효율적인 분석을 위해 API 의존 관계 그래프(ADG, API Dependency Graph)를 기반으로 기존 악성코드의 기능적 특징을 분석하고, 분석된 결과를 토대로 패밀리를 분류하여 새로운 악성코드의 기능적 특징을 추론하는 기법을 제안한다. 이러한 기법을 적용한 결과 기존의 타 연구 결과에 비해 기능적 유사도가 높은 패밀리가 구성되는 것을 확인할 수 있었다. ADG를 활용하면 API 함수 호출 시 사용되는 리턴 값과 입력 매개변수 간의 관계를 추적하여 의미적으로 연관된 API만을 모아 패턴분석을 할 수 있으므로 좀 더 정확한 분석이 가능하다는 결론을 얻을 수 있다.
Malicious codes that threaten cyberspace continue to increase. The rate of increase is also gradually accelerating. However, the new malicious codes often reuse existing malicious codes rather than utilizing completely new technologies. So, if we analyze the malware and use the result of the analysis that is called Malware Intelligence(MALINT), we can enhance the ability to respond to new malicious codes. This paper suggests a new method to analyze malware sets based on API Dependency Graph(ADG) for efficient and accurate analysis of malicious codes executed in the Windows environment and to infer functionalities of new malicious code. For the result of this new method, we made a malware family which has higher functional similarity than other researches. By use of ADG, a more accurate analysis can be made by analyzing the relationship between APIs and tracking the return value and input parameters of the APIs.
