1 |
1
악성코드 자동 관리 시스템에 있어서,악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 감염 PC 자동 분석 시스템;악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 악성코드 경유/유포지 탐지 시스템;상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받아 관리 저장하는 관리모듈 및 상기 관리모듈로부터 전송된 생성된 파일 및 파일 정보를 수집하는 수집모듈을 구비하는 악성코드 자동 수집 시스템; 및상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 악성코드 자동 분석 시스템을 포함하여 구성되며,상기 관리모듈은,악성코드 자동 수집을 위해 EML 로그를 분석하고, 검색엔진을 연동하고, URL 블랙 리스트를 수집하는 Seed URL 수집부,상기 URL 중복과 통계를 관리하는 URL 큐관리부,HTTP Request 생성 및 Response 다운로드, HTML Document 추출 및 분석, 스크립트 난독화를 검사하는 웹 컨텐츠 크롤링부 및상기 웹 컨텐츠 크롤링부로부터 의심 URL 분석 결과를 저장하고 조회하는 제 1 DB 관리부를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템
|
2 |
2
삭제
|
3 |
3
제 1항에 있어서,상기 관리모듈은,관리 UI으로부터 가상 머신 복구 요청을 받아 게스트 OS Rever로 복구하는 가상 머신 제어부;관리 UI으로부터 F/W 정책 조회, 변경 제어를 관리하는 F/W 관리부; 및정책관리 UI를 통해 상기 Seed URL 수집부, URL 큐관리부, 웹 컨텐츠 크롤링부의 설정을 조회하고 변경하는 설정관리부;를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템
|
4 |
4
제 1항에 있어서,상기 수집모듈은,상기 관리모듈로부터 의심 URL 정보를 주기적으로 HTTP로 전송받는 통신관리부;Secure FS 파일을 추가, 삭제, 복사, 조회하는 Secure FS 관리부;상기 Secure FS 관리부의 초기화, URL 로딩 실행, 정보를 공유하는 URL 로딩 실행부;상기 URL 로딩 실행부로부터 분석된 결과를 저장, 조회하는 제 2 DB 관리부;상기 URL 로딩 실행부로부터 출력된 스크립트 함수 및 COM Object를 후킹하는 후킹 DLL부;상기 후킹 DLL부로부터 후킹된 데이터를 수신받아 페이지 리다이렉션 및 악성 Active X를 분석하는 결과 분석부; 및 IRP 후커를 통해 IRP MSG 수신받아 분석하고, PID를 관리하는 IRP MSG 후커부;를 포함하는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템
|
5 |
5
악성코드 자동 관리방법에 있어서,감염 PC 자동 분석 시스템이 악성코드 PC에 설치되어, 웹/이메일을 통해 유포되는 감염 악성코드 정보 및 악성코드 감염 경로 탐지를 수행하는 단계;악성코드 경유/유포지 탐지 시스템이 악성코드 경유/유포지 탐지 시그니처를 이용하여 경유/유포지를 탐지하는 단계;관리모듈 및 수집모듈을 구비한 악성코드 자동 수집 시스템이 상기 감염 PC 자동 분석 시스템으로부터 수집된 악성코드 감염 경로를 전송받고, 상기 악성코드 경유/유포지 탐지 시스템과 상호 연동되어 탐지된 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계; 및악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계를 포함하여 이루어지며,상기 경유/유포지 리스트 및 미 분석 리스트들을 전송받는 단계는, (a)상기 악성코드 경유/유포지 탐지 시스템이 상기 악성코드 자동 수집 시스템에 악성 웹사이트 방문을 요청하는 단계;(b) 상기 악성코드 수집 시스템은 해당 URL 조회하고 그 결과를 반환하여 상기 악성코드 경유/유포지 탐지 시스템에 방문 요청을 응답하는 단계;(c) 상기 악성코드 자동 수집 시스템의 관리모듈은 상기 수집모듈에 방문처리 결과를 전송하는 단계; 및(d) 상기 악성코드 경유/유포지 탐지 시스템은 상기 악성코드 자동 수집 시스템에 방문결과를 요청하는 단계를 포함하여 구성되는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법
|
6 |
6
삭제
|
7 |
7
제 5항에 있어서,악성코드 자동 분석 시스템이 상기 악성코드 자동 수집 시스템과 상호 연동되어 관리 수집된 악성코드 정보를 주기적으로 전송받아, 정적 또는 동적 분석을 수행하는 단계는,(a) 상기 악성코드 자동 분석 시스템은 의심 URL 분석하는 단계;(b) 의심 URL 분석 결과를 DB에 저장하는 단계;(c) 생성파일이 존재하는지 여부를 판단하는 단계;(d) 생성파일 존재시 생성 파일 및 파일 정보를 저장하는 단계;(e) 생성 파일 정보를 XML 파일로 작성하는 단계; 및 (f) XML 파일로 작성된 수집 파일을 상기 분석하는 단계;로 이루어지는 것을 특징으로 하는 웹/이메일을 통해 유포되는 악성코드 자동 관리방법
|