멀웨어 Malware

1. Malware

• 프로그램 결함 (비의도적): 버퍼 오버플로우, 불완전 중재, 경주 상황
• 악의적 소프트웨어 (의도적): 바이러스, 웜, 멀웨어의 파생들
• (SW 동적 결함) 시스템이 실행 중인 상태에서 발생하는 결함으로 소프트웨어가 동작하고 있을 때 발생하는 결함

• (메모리 결함) 프로세스 내부의 메모리 할당, 해제 및 접근 과정에서 발생
• ①메모리 할당 실패 ②Zero size 메모리 할당 ③메모리 누수 ④NULL 포인터 해제 ⑤해제된 메모리 재 해제 ⑥할당되지 않은 포인터 해제 ⑦NULL 포인터 접근 ⑧해제된 포인터 접근 ⑨할당되지 않은 포인터 접근 ⑩할당된 범위를 벗어난 메모리 접근 ⑪다른 변수의 메모리 공간과 충돌
• (병행성 결함)  한 프로세스 내부에서 멀티 스레드가 수행될 때 스레드 간 발생, 프로세스 간 자원 공유 및 동기화 과정에서 발생, 멀티스레드, 멀티프로세스, 다중 CPU 환경에서 서로 상호작용하는 과정에서 발생하는 결함으로 공유되는 자원의 사용 및 동기화와 관련된 결함으로 크게 데드락, 원자성 위반, 순서 위반으로 분류
• 예외처리 결함: 예외처리 루틴이 정상적으로 동작하지 않는 경우

 

2. Malware 탐지

• (일반적인 방법) 흔적 탐지, 변경 탐지, 비정상 탐지
• (시그니쳐 기반)  알려진 멀웨어를 분석하여 시그니쳐를 추출, 특정 말웨어를 탐지하는데 사용
• (행위 기반) 시그니쳐 기반 멀웨어 탐지 기술에 비해 시간 비용이 더 크다는 단점

3. SW 취약점과 약점

• CCE(Common Configuration Enumeration) 취약성 구성 점검, 정보통신기반시설 취약점 점검 기준(기술적 : 313개)
• CVE(Common Vulnerabilities Exposures) 정보 보안 취약점 표준 코드, OS, Application 고유의 취약점
• CVSS(Common Vulnerability Scoring System) CVE 취약점 위험도 채점 기준(0~10점),  기밀성ㆍ무결성ㆍ가용성 영향 평가
• CWE(Common Weakness Enumeration)  SW 보안 및 품질 강화를 위해 개발시 참고 , 사전식으로 분류
• CWSS(Common Weakness Scoring System) CWE 약점의 위험성 평가, 약점 자체와 공격 및 환경적 측면의 심각성 평가
• CAPEC(Common Attack Pattern Enumeration and Classification) 격 패턴의 형태와 실제 사례, SW 공격 패턴에 대한 대응 방법 제공

SW 보안 취약점 (Vulnerability) 과 약점 (Weakness)

4. SW Feature

Feature  선택

• (Feature Selection) 데이터 마이닝 기법 중 하나로 방대한 데이터셋에서 특정 데이터로부터 가장 좋은 성능을 나타내는 가장 연관이 깊은 데이터의 특징(속성)을 찾아내는 것이다

Search Method and Feature Evaluator Algorithm 출처: Feature Selection 기법을 이용한 해군 지휘통제체계 장애 분석, 2019

정적분석 feature

• (정적 분석) SW의 실행 과정을 거치지 않고 주어진 파일을 처리하여 특징 정보를 추출하는 방법
• (바이트) 바이트 시퀀스, 바이트 N-gram, 이미지 변환
• (명령어) 명령어 빈도, 명령어 시퀀스, 명령어 N-gram, 제어 흐름 그래프
• (API) API 리스트, API 시퀀스, API 호출 빈도
• (시스템 함수) 시스템 함수 리스트, 시스템 함수 시퀀스, 시스템 함수 호출 빈도
• (기타) 문자열, 네트워크 주소

동적분석 feature

• (동적 분석) SW를 직접 실행하는 과정을 포함하는 방법
• (바이트) 메모리 스캔
• (명령어) 실행된 명령어, 트레이스
• (API) 실행된 API 호출
• (시스템 함수) 실행된 시스템 함수 호출
• (기타) 네트워크 트래픽, 파일 및 레지스트리, 프로세스 생성