1 |
1
사용자 명령어를 입력받는 입력부와 상기 입력부에서 입력받은 명령어에 따라 알고리즘을 수행하는 제어부 및 상기 제어부에서 산출된 데이터를 저장하는 저장부를 구비한 탐지 시스템에서 수행되는 씨앤씨(C0026#C) 제우스(Zeus)의 윈도우 에이피아이(API) 후킹 및 패킷 길이에 기반한 탐지 방법에 있어서,상기 제어부가 입력받은 해더와 바디로 구성된 사용자 명령의 리포트 패킷에서 제우스 바디(Zeus body) 크기를 산출하는 단계;상기 제어부가 상기 제우스 바디 크기를 제1암호화 하여 상기 저장부에 암호화된 정보를 저장하는 단계;상기 제어부가 상기 제우스 바디 크기 및 상기 저장부에 저장된 암호화된 정보를 제2암호화 하여 상기 제1암호화에 사용된 키(key)값을 추출하는 단계; 및 상기 제어부가 상기 제2암호화의 과정으로 추출된 키 값과 상기 저장부에 저장된 제1암호화에 따른 암호화 정보에 포함된 키 값을 비교하여, 상기 제1암호화에서 암호화된 정보와 상기 제2암호화에서 암호화된 정보를 포함하는 데이터의 감염여부를 판단하는 단계;를 포함하는 씨앤씨(C0026#C) 제우스(Zeus)의 윈도우 에이피아이(API) 후킹 및 패킷 길이에 기반한 탐지 방법
|
2 |
2
제 1 항에 있어서, 상기 데이터의 감염여부를 판단하는 단계 이후, 상기 탐지 시스템에서 상기 제우스에 감염되어 주소의 첫 바이트에 오피코드(opcode)가 변형된 에이피아이(API)를 추출하여 제우스를 탐지하는 단계를 더 포함하는 것을 특징으로 하는 씨앤씨(C0026#C) 제우스(Zeus)의 윈도우 에이피아이(API) 후킹 및 패킷 길이에 기반한 탐지 방법
|
3 |
3
제 1 항에 있어서,상기 제1암호화 및 제2암호화는 XOR 암호화인 것을 특징으로 하는 씨앤씨(C0026#C) 제우스(Zeus)의 윈도우 에이피아이(API) 후킹 및 패킷 길이에 기반한 탐지 방법
|
4 |
4
제 1 항에 있어서, 상기 제1암호화 하여 상기 저장부에 암호화된 정보는,상기 리포트 패킷에 포함된 암호문(Cipher Text)을 비주얼 디크립트(visualDecrypt)한 뒤 상기 리포트 패킷의 해더에서 21 내지 24번째 바이트의 내용이 상기 제우스 바디 크기에 대응하는 것을 특징으로 하는 씨앤씨(C0026#C) 제우스(Zeus)의 윈도우 에이피아이(API) 후킹 및 패킷 길이에 기반한 탐지 방법
|
5 |
5
제 1 항에 있어서, 상기 제우스 바디 크기는 플레인 텍스트(Plain Text)인 것을 특징으로 하는 씨앤씨(C0026#C) 제우스(Zeus)의 윈도우 에이피아이(API) 후킹 및 패킷 길이에 기반한 탐지 방법
|
6 |
6
제 1 항에 있어서, 상기 데이터의 감염여부를 판단하는 단계는, 상기 제1암호화에서 추출된 키와 상기 제2암호화에서 추출된 키가 동일한 경우, 제우스에 감염된 패킷으로 판단하는 것을 특징으로 하는 씨앤씨(C0026#C) 제우스(Zeus)의 윈도우 에이피아이(API) 후킹 및 패킷 길이에 기반한 탐지 방법
|
7 |
7
제 1 항 내지 제 6항 중 어느 한 항에 기재된 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
|