| 1 |
1
악성 봇 동적 분석 시스템에 있어서,
단말기의 운영체제(OS) 내 존재하는 악성 봇의 분석회피 방식을 우회하여 상기 악성 봇의 실행을 탐지하는 악성 봇 탐지부; 및 상기 악성 봇 탐지부에서 상기 악성 봇의 실행을 탐지했는지 여부에 기반하여 탐지결과 정보를 생성, 저장 및 분석하는 악성 봇 분석부; 를 포함하는 악성 봇 동적 분석 시스템
|
| 2 |
2
제 1 항에 있어서,
상기 악성 봇 탐지부는, 상기 악성 봇 내 커널레벨 루트 킷 방식을 우회하여 상기 악성 봇의 실행을 탐지하는 제1 모듈; 상기 악성 봇 내 가상환경 탐지 방식을 우회하여 상기 악성 봇의 실행을 탐지하는 제2 모듈; 및 상기 악성 봇 내 DLL 또는 바이너리 코드 삽입 방식을 우회하여 상기 악성 봇의 실행을 탐지하는 제3 모듈; 중 어느 하나 이상을 포함하는 악성 봇 동적 분석 시스템
|
| 3 |
3
제 2 항에 있어서,
상기 제1 모듈은,
커널의 가상 메모리 영역에 SSDT(System Service Dispatch Table), KiSystemService 함수 및 Native API(Application Programming Interface)를 포함하는 커널의 시스템 콜 레이어(System Call Layer)를 복사하며, 상기 악성 봇이 실행되어 인터럽트(Interrupt)가 발생하는 경우 상기 커널의 가상 메모리 영역에 복사된 커널의 시스템 콜 레이어(System Call Layer) 내 KiSystemService 함수를 실행하도록 하여 상기 악성 봇의 Native API 호출을 모니터링함으로써 상기 악성 봇의 실행을 탐지하는 것을 특징으로 하는 악성 봇 동적 분석 시스템
|
| 4 |
4
제 2 항에 있어서,
상기 제2 모듈은,
커널의 가상 메모리 영역에 SSDT(System Service Dispatch Table), KiSystemService 함수 및 Native API(Application Programming Interface)를 포함하는 커널의 시스템 콜 레이어(System Call Layer)를 복사하며, 상기 커널의 가상 메모리 영역에 복사된 커널의 시스템 콜 레이어(System Call Layer) 내 상기 SSDT를 변경하여 상기 악성 봇의 Native API 호출을 후킹(Hooking)한 후, 상기 악성 봇의 Native API 호출에 응답하여 악성 봇의 실행을 탐지하는 것을 특징으로 하는 악성 봇 동적 분석 시스템
|
| 5 |
5
제 2 항에 있어서,
상기 제3 모듈은,
상기 단말기 내 운영체제(OS)에 DLL 또는 바이너리 코드가 삽입된 프로세스 존재 여부를 판단하고, DLL 또는 바이너리 코드가 삽입된 프로세스가 존재하는 경우 상기 DLL 또는 바이너리 코드가 삽입된 프로세스가 실행되지 않은 경우 강제로 실행함으로써, 악성 봇의 실행을 탐지하는 것을 특징으로 하는 악성 봇 동적 분석 시스템
|
| 6 |
6
악성 봇에 대한 동적 분석 방법에 있어서,
⒜ 악성 봇 동적 분석 시스템이 커널의 가상 메모리 영역에 커널의 시스템 콜 레이어(System Call Layer)를 복사하는 단계;
⒝ 악성 봇의 실행에 의해 인터럽트가 발생하는 경우, 상기 악성 봇 동적 분석 시스템이 상기 인터럽트를 상기 커널의 가상 메모리 영역에 복사된 커널의 시스템 콜 레이어(System Call Layer)로 점프시키는 단계; 및
⒞ 상기 악성 봇이 상기 커널의 가상 메모리 영역에 복사된 커널의 시스템 콜 레이어(System Call Layer)에 기반하여 실행되는 경우, 상기 악성 봇 동적 분석 시스템이 상기 악성 봇의 Native API 호출을 모니터링하여 상기 악성 봇의 실행을 탐지하는 단계; 를 포함하는 악성 봇에 대한 동적 분석 방법
|
| 7 |
7
악성 봇에 대한 동적 분석 방법에 있어서,
(a') 악성 봇 동적 분석 시스템이 커널의 가상 메모리 영역에 커널의 시스템 콜 레이어(System Call Layer)를 복사하는 단계;
(b') 상기 악성 봇 동적 분석 시스템이 상기 커널의 가상 메모리 영역에 복사된 커널의 시스템 콜 레이어(System Call Layer)를 변경하여, 악성 봇의 Native API에 관한 요청을 후킹(Hooking)한 후 상기 악성 봇의 Native API 호출에 응답하는 단계; 및
(c') 상기 악성 봇이 상기 (b') 단계에서의 악성 봇 동적 분석 시스템의 응답에 기반하여 실행되는 경우, 상기 악성 봇 동적 분석 시스템이 상기 악성 봇의 실행을 탐지하는 단계; 를 포함하는 악성 봇에 대한 동적 분석 방법
|
| 8 |
8
제 6 항 또는 제 7 항에 있어서,
상기 커널의 시스템 콜 레이어(System Call Layer)는, SSDT(System Service Dispatch Table), KiSystemService 함수 및 Native API를 포함하는 것을 특징으로 하는 악성 봇에 대한 동적 분석 방법
|
| 9 |
9
악성 봇에 대한 동적 분석 방법에 있어서,
(a") 악성 봇 동적 분석 시스템이 소정의 시간 동안 단말기 내 운영체제(OS)의 악성 봇의 실행 여부에 대해 분석을 마친 후, 상기 단말기 내 운영체제(OS)의 프로세스에 DLL 또는 바이너리 코드가 삽입되었는지 여부를 판단하는 단계;
(b") 상기 악성 봇 동적 분석 시스템이 상기 단말기 내 운영체제(OS)의 프로세스에 DLL 또는 바이너리 코드가 삽입되었다고 판단한 경우, 상기 DLL 또는 바이너리 코드가 삽입된 단말기 내 운영체제(OS)의 프로세스의 실행 여부를 판단하는 단계; 및
(c") 상기 악성 봇 동적 분석 시스템이 상기 DLL 또는 바이너리 코드가 삽입된 단말기 내 운영체제(OS)의 프로세스가 실행되지 않았다고 판단한 경우, 상기 DLL 또는 바이너리 코드가 삽입된 프로세스를 강제로 실행하여 악성 봇의 실행을 탐지하는 단계; 를 포함하는 악성 봇에 대한 동적 분석 방법
|
| 10 |
10
제 6 항 내지 제 7 항 및 제 9 항 중 어느 한 항에 있어서,
상기 ⒞ 단계 또는 상기 (c') 단계 또는 상기 (c") 단계 이후,
⒟ 상기 악성 봇 동적 분석 시스템이 악성 봇의 실행을 탐지했는지 여부에 기반하여 탐지결과 정보로 생성 및 저장하는 단계; 를 더 포함하는 악성 봇에 대한 동적 분석 방법
|
