주관기관 한국인터넷진흥원
참여기관 펜타시큐리타시스템(주) (주)지란지교시큐리티 고려대학교 산학협력단
미래창조과학부
정보보호핵심원천기술개발사업
스크립트 기반 사이버 공격 사전 예방 및 대응 기술 개발 The Development of Script-based Cyber
Attack Protection Technology
Ⅰ. 해당 연도 추진 현황
Ⅰ-1 기술개발 추진 일정
(계획 : 실적 : ) 일련
번호 개발 내용 추진 일정(개월) 달성도
1 2 3 4 5 6 7 8 9 10 11 12 (%) 1 스크립트 및 HTML5 보안
취약점 및 위협 분석 100%
1-1 스크립트 기반 웹 공격 사례
조사 100%
1-2 HTML5 표준 스펙 분석을
통한 신규 기능 취약점 분석 100%
2 HTML5 기반 악성 스크립트
차단 기술 개발 100%
2-1 HTML5의 행위 분석 플랫폼
구축 100%
2-2 악성 행위 판별 기술 개발 100%
3 호스트 레벨 악성 스크립트
탐지 및 실행 방지 기술 개발 100%
3-1 사용자 PC단 악성 스크립트
수집 모듈 개발 100%
3-2 악성 스크립트 정밀 분석 모듈
개발 100%
4 악성 스크립트 배포 웹 사이트
점검 기술 개발 100%
4-1 웹 사이트 컨텐츠 수집 크롤러
개발 100%
4-2 스크립트 탐지 기술(변조,
URL, 난독화 검사 등) 개발 100%
4-3 웹 사이트 위험도 산정
알고리즘 개발 100%
5 스크립트 기반 사이버 공격
대응 통합 관제 기술 개발 100%
5-1 통합관제 시스템 구축을 위한
OPEN-API개발 100%
5-2 대시보드 및 통계 시각화 100%
6 데이터 및 시스템 통합 100%
Ⅰ-2 해당 연도 추진 실적 1) 개발 목표 및 내용
가. 총괄 개발 목표 및 내용
(그림 2) 총괄 개발 목표
o 최종 목표 내용
구분 내용
최종목표
o 스크립트 기반 사이버 공격으로부터 사용자를 보호하고, 안전성을 사전에 검증할 수 있는 기술 개발
- 네트워크 레벨 스크립트 기반 사이버 공격 차단 기술 개발 - 호스트레벨 악성 스크립트 탐지/실행 방지 기술 개발 - 악성 스크립트 탐지 시그니쳐 관리 기술 개발 - 악성 스크립트 배포 웹 사이트 점검 기술 개발 - HTML5 문서 서명 및 검증, 취약점 스캐닝 기술 연구
o End Product
- 네트워크 레벨 스크립트 기반 사이버 공격 차단시스템(SW(서버탑재형SW)) - 호스트레벨 악성 스크립트 탐지/실행 방지 소프트웨어(SW(사용자 PC)) - 악성 스크립트 시그니쳐 관리 시스템(SW(서버탑재형SW))
- 악성 스크립트 배포 웹사이트 점검 시스템(SW(서버탑재형SW))
나. 연차별 개발 목표 및 내용
(그림 3) 연차별 연구 내용
다. 당해년도 개발 목표 및 내용 (2차년도)
(그림 4) 2차년도 연구 목표
o 2차년도 연구 개발 내용
(그림 5) 2차년도 개발 내용 및 범위
o 2차년도 상세 연구 개발 내용
- HTML5 기반 악성 스크립트 차단 기술 개발 (KISA, 펜타시큐리티) ・HTML5 문서 구조 및 신규 마크업 등 기능 분석
・HTML5 컨텐츠 정밀 분석 기술 개발
・HTML5 문서 행위 분석을 위한 전용 Sandbox 기술 개발
・HTML5 문서 실시간 정밀 분석에 따른 처리 지연시간 단축 기술
・스크립트 기반 사이버 공격 탐지/차단 플랫폼 탐지 기능 및 성능 고도 화
・HTML5 악용 스크립트 공격 차단 기술과 스크립트 기반 사이버 공격 탐 지/차단 플랫폼 통합
- 호스트 레벨 악성 스크립트 탐지 및 실행 방지 기술 개발 (KISA)
・메모리 저장 프로세스, 네트워크 연결 정보 덤프 등 메모리 포렌식 기 법 연구
・메모리 영역 덤프 정보 기반 실행 스크립트 자동 추출 기술
・파일, HTML5 로컬 DB 등 스토리지 비정상 접근 스크립트 자동 탐지 기술 ・송수신 스크립트 자동 추출 및 Sandbox 기반 악성 스크립트 탐지 기술 ・경량 호스트레벨 악성 스크립트 탐지 및 실행 방지 소프트웨어 개발
목표 세부 계획 주요 실적
스크립트 및 HTML5 보안 취약점 및 위협 분석
n 스크립트 및 HTML5 악용 공격 시나 리오 분석
n HTML5 악용 공격 시나리오 신규 도출 n HTML5 취약점 점검 스캐너 프로토타입
개발
o 기술문서 1건 작성 - 보고서 1건 o 지적 재산권 확보 - 소프트웨어 등록 15건
- 논문(국제 5건, 국내 1건) 발표
HTML5 기반 악성 스크립트 차단 기술
개발
HTML5 행위 애뮬레이션 기술
개발
n 가상 브라우저 플랫폼 관리 n 가상 브라우저 기술 개발 n HTML5 이벤트 자동 실행 n 웹 페이지 행위 정보 기록
o 기술문서 3건 작성 - 요구사항 분석서 1건 - 시스템 설계서 1건 - 테스트 계획서 1건 o 가상 브라우저 개발
- 웹 페이지내 악성 행위 차단 - 이벤트 요소 자동 실행 (마우스 클릭, 키 입력 등) - 웹 페이지내 행위 정보 기록 o 지적 재산권 확보
- 특허 : 국내 3건, 국제 1건 - 소프트웨어 등록 2건
- 논문(국제 2건, 국내 3건) 발표 HTML5 악성
스크립트 판별 기술 개발
n 행위 성격별 분류
n 행위간 연관성을 기반으로 한 정보 입체화
n 유한 상태 머신을 이용한 악성 스크 립트 판별 기술 개발
- 악성 스크립트 배포 웹사이트 점검 기술 개발 (KISA, 지란지교시큐리티)
・악성 스크립트 시그니쳐 연동을 통한 정적 분석 기반 악성 스크립트 배포 웹 사이트 점검 기술
・다중 브라우저 기반 웹 사이트 동적 방문 환경 구축 및 방문 속도 최적 화 기술
・악성 스크립트 추출 및 공격 대상/행위 자동 분석 기술 ・악성 스크립트 배포 웹사이트 위험도 산정 기술 ・가상환경 탐지 등 분석 우회 기술 분석 및 대응 기술 ・웹 사이트 별 악성 스크립트 배포 이력, 추이 관리 기술 ・시스템 관리 인터페이스 개발
- HTML5 취약점 점검 기술 연구 및 취약점 점검 스캐너 프로토타입 개발 (고려대)
・HTML5 문서 포함 악성 스크립트 스캐닝 기술 연구 ・HTML5 문서 취약점 스캐너 프로토타입 개발
2) 주요 추진 내용 및 성과
호스트 레벨 악성 스크립트 탐지 및 실행
방지 기술 개발
사용자 이용 환경에 독립적인
분석 대상 추출 기술 개발
n Local-Proxy를 이용한 스크립트 및 URL 정보 추출 기술 개발
n 운영체제 및 브라우저 버전에 독립 적인 추출 기술 개발
o 기술문서 3건 작성 - 요구사항 분석서 1건 - 시스템 설계서 1건 - 테스트 계획서 1건
o 호스트레벨 악성 스크립트 실행 방지 에이젼트 개발
- 브라우저 실행 전 악성 스크립트 추출 모듈 개발
- URL 및 스크립트 시그니처 검사 모듈 개발
- 메모리 분석 및 난독화 탐지 모듈 개발
o 지적 재산권 확보 - 특허 : 국내 3건 - 소프트웨어 등록 1건
- 논문(국제 1건, 국내 2건) 발표 메모리 분석 및
난독화 탐지 기술 개발
n 웹 브라우저 메모리 스캔을 통한 악성 스크립트 탐지 기술 개발
n 난독화 스크립트 탐지 및 원본 코드 추출 기술 개발
n 시그니처 기반 정적 분석 기술 개발 n 블랙리스트 기반 URL 검사
n 탐지 결과 모니터링 및 시스템 설정 UI 개발
악성 스크립트
배포 웹 사이트 점검
기술 개발
웹 사이트 정보 분산 병렬 수집
기술 개발
n 웹 사이트 정보 수집 에이전트 개발 n 수집 에이전트 관리 기술 개발
o 기술문서 3건 작성 - 요구사항 분석서 1건 - 시스템 설계서 1건 - 테스트 계획서 1건
o 악성 스크립트 배포 웹 사이트 점검 시스템 개발
- 웹 사이트 정보 수집 모듈 개발 - 웹 사이트 구성 요소 분석 모듈 개발 - 탐 지 정 보 위 험 도 및 웹 사 이 트
위 험 도 산 출 모 듈 개 발 o 지적 재산권 확보
- 특허 : 국내 4건, 국제 1건 - 소프트웨어 등록 2건
- 논문(국제 2건, 국내 2건) 발표 웹 사이트 정보
검사 및 위험도 산출 기술 개발
n 스크립트 변조, 악성 패턴, 난독화 검사 기술 개발
n 취약 태그/속성 패턴 검사 기술 개발 n 블랙리스트 URL 검사 기술 개발 n 탐지 정보 및 웹 사이트 위험도 산정
모델 개발
스크립트 기반 사이버 공격 대응 통합 관제 기술 개발
n 스크립트 기반 공격 대응 시스템 통합 관제 기술 개발
n 통합 관제 구성 시스템별 연동 및 상세 정보 조회 기술 개발 n 통합 관제 시스템 관리 인터페이스
개발
o 스크립트 기반 사이버 공격 대응 통합 관제 시스템 개발
- 통합 관제 GUI 개발
- 4개 구성별 시스템(점검 시스템, 행위 분석 시스템, 네트워크 탐지 시스템, 시그니처 관리 시스템 등) 상세 정보 조회 GUI 개발
- 통합 관제 시스템 관리 인터페이스 개발
구분 논문 특허 S/W등록 기술이전
2차년도
(목표/달성) 15/16.5 7/12 5/20 2/2
구분 내용
목표 ☐ 스크립트 및 HTML5 보안 취약점 분석 및 신종 보안 위협 개발
결과물
☐ HTML5와 스크립트를 이용한 공격 수집
o HTML5 기능 악용 공격 시나리오 작성
- 학술대회(블랙햇), 보고서, 보안 뉴스를 통해 알려진 HTML5를 이용한 공격 수집 - 공격 유형을 정보 유출, 정보 조작, 요청 위조, DoS 공격, 사회공학적 공격으로 총
다섯가지로 분류
- 총 24종의 공격 시나리오 작성
공경 유형 공격 시나리오
DoS 공격 (5종)
•웹워커봇넷
•Client DoS
•Server-Sent Event Botnet
•Vibration 공격
•SVG 반복 호출을 이용한 DoS 공격
정보조작 (4종)
•웹 스토리지 조작
•Indexed DB 조작
•웹캐시 조작
•히스토리 조작
요청위조 (2종) •CORS를 이용한 CSRF 공격
•Cross Site Printing 사회공학적 공격
(3종)
•Notification을 이용한 공격
•자동 완성을 이용한 정보 유출
•Vibration API를 이용한 Faking Telephone Call
정보유출 (10종)
•ClickJacking
•웹 스토리지정보 유출
•웹 소켓 Hijacking
•웹 소켓데이터 탈취
•SVG를 이용한 키로거공격
•MouseLogger
•네트워크 정보 유출
•위치 정보 유출
•ProtocolSchema API를 이용한 정보 유출
•Indexed DB 정보 유출
o HTML5 보안이슈 보고서 및 보안 가이드 작성
Ⅱ. 기술개발결과
Ⅱ-1 기술개발 주요 내용
1) 스크립트 및 HTML5 보안 취약점 및 보안 위협 분석
- HTML5의 신규 보안 위협 및 공격 가능 시나리오를 통해, 웹 개발자 및 일반 사용 자 들에게 정보 공유를 위한 보고자료 및 언론 홍보 자료 배포
- HTML5의 보안 위협 및 OWASP TOP10을 비롯한 웹 취약점 및 시큐어 코딩을 위 한 가이드라인을 포함
<KISA 이슈 트렌드, 2015.11> <HTML5 기술안내서, 2015.12>
o HTML5 신규 기능별 악성 행위 유발 관련 요소 분석 - 악성 스크립트 탐지를 위한 YARA RULE 시그니처로 활용
공격 유형 관련 요소
Hash DoS for-XMLHttpRequest.open(특정 URL)-XMLHttpRequest.send(Ha sh값)
Network Scan for-XMLHttpRequest.open(내부 URL List)-XMLHttpRequest.send (무의미한 값)
Port Scan for-XMLHttpRequest.open(특정 URL과 다량의 Port List)-XML HttpRequest.send(무의미한 값)
XML DoS setInterval-XMLHttpRequest.open(특정 URL)-XMLHttpRequest.
send(무의미한 값) W e b S o c k e t
Hijacking WebSocket.open(공격자 서버)-WebSocket.onmessage(통신) Drag&Drop iframe-opacity(투명도 0 설정)-drag-drop 속성- FileAPI Click info iframe-opacity(투명도 0 설정)-onclick(클릭)
WebSocket 데이터
탈취 WebSocket.onmessage(정상 통신)-WebSocket.onmessage SVG Keylogger SVG-set-attributename-xlink:href(수집 URL)-accessKey(키입
력 값)
MouseLogger pointerdown-clientX,clientY(클릭 좌표)-XMLHttpRequest.open (수집 URL)-XMLHttpReqeust.send(좌표 값)
Cross Site Printing for-XMLHttpRequest.open(내부 URL List와 프린터용 9100 Po rt)-XMLHttpRequest.send(무의미한 값)
Cookie Sniffing document.cookie(쿠키 값)-XMLHttpRequest.open(수집 URL)-X MLHttpRequest.send(쿠키 값)
....
A u t o C o m p l e t e
Leakage input-width(5px 이하)
구분 내용 개발
목표
☐ HTML5 행위 애뮬레이션 기술 개발
☐ HTML5 악성 스크립트 판별 기술 개발
개발 결과물
☐ 시스템 모듈 구성
o 총 6개의 기능, 21개의 단위 처리 모듈로 구성
- 송수신 I/F, 가상 플랫폼 관리 모듈, HTML5 EVENT관리, 행위기록, 정보연결, 악성 판별 기능
(그림 5) HTML5 악성 스크립트 행위 분석 시스템 구성도
☐ HTML5 행위 애뮬레이션 기술 개발
o 가상 브라우저를 통한 HTML5 행위 실행 환경 구축
(그림 6) 가상 브라우저 모듈 구성 - PhantomJS와 CasperJS를 이용한 가상 브라우저 실행 ※ PhantomJS : 웹 브라우저 가상화와 웹 페이지 요소 탐색 ※ CasperJS : 이벤트 실행 및 웹 브라우저 제어
- 웹 페이지에서 발생하는 외부 리소스 차단을 통한 정보 유출, 요청 위조, DoS 공격 차단
2) HTML5 기반 악성 스크립트 차단 기술 개발
o HTML5 이벤트 추출 및 자동 트리거 기술
구분 이벤트 유형 이벤트
마우스 이벤트
Mouse입력 이벤트
onclick, ondblclick, onmousedown, onmouseup, onmouseover, onmousemove, onmouseout, ondragstart, ondrag, ondragenter, ondragleave, ondragover, ondrop, ondragend
마우스 드래그
이벤트 dragover
마우스 터치
onpointerdown, onpointerup, onpointercancel, onpointermove, onpointerover, onpointerout, onpointerenter, onpointerleave, ongotpointercapture, onlostpointercapture
사용자
입력 Keboard onkeydown,onkeypress,onkeyup
기타
HTMLframe /object (외부페이지호출)
onunload, onerror Window
(윈도우) onmessage Media(동영상) onerror
- CasperJS에서 마우스 클릭, 키 입력과 같은 이벤트 실행 - 태그의 속성으로 선언된 이벤트의 속성을 파악
예) <img src=’./img.png’ onclick=fun()> → 마우스 클릭 - 사용자가 주로 하는 이벤트 34종을 실행
※ 선별된 이벤트만 실행하여, 가상 브라우저 부하 최소화 ※ 마우스, 키보드, 미디어 등 총 8가지 유형의 이벤트 실행 - 해당 이벤트를 실행하고 이벤트 실행에 따른 행위 추적
※ 웹 페이지 실행 시에 발생한 행위와 달리 이벤트 실행으로 인한 행위는 이벤 트 실행 결과로 표기
o 웹 페이지 행위 정보 기록 기술
- DOM, 이벤트, 자바스크립트 API 행위를 각각 하나의 행위 노드로써 DB에 기록 - 각자 행위 노드 간의 연관 관계를 행위 입체화를 할 때 추가
- 행위 정보에 대한 추가 정보인 parameter, attribute는 다른 DB 테이블에 저 장하여 행위 노드 ID를 통해 연결
(그림 7) HTML5 악성 스크립트 행위 분석 시스템 로그 정보
<표 1> 웹 페이지 행위 노드 데이터 구조
논리 이름 데이터 타입 설명
NodeID INTEGER 노드의 고유 ID. 기록이 추가 될 때마다 숫자를 올림.
PageID INTEGER 행위 노드 분석 웹 페이지 ID
LocalNodeId INTEGER 행위 노드가 속한 웹 페이지내에서 행위 노드의 순서 type VARCHAR(30) EVENT, JS API, DOM, SYSTEM 중 하나로 설정
subtype VARCHAR(30) 노드의 detail을 기준으로 분류된 중분류. 행위 노드의 성 격을 대변.
detail VARCHAR(30)
해당 EVENT, JS API, DOM를 기록. SYSTEM 노드의 경우에 는 오류 사항을 기록
Ex) window.open() → open,
<img onclick=myfun() ..> → (DOM 노드)img, (EVENT 노드)onclick
object BOOLEAN
(EVENT 노드) 해당 EVENT와 연결된 tag 정보 기록 여부 (JS API 노드) 해당 JS API인 method가 속한 object를 정 보 기록 여부. window object는 생략되는 경우가 있으 므로, 기록 생략 가능
ancestor VARCHAR(30)
노드의 상위 노드 ID.
해당 행위보다 전에 일어나고, ancestor 노드의 행위로 인해 해당 행위가 발생
depth INTEGER 노드가 행위 노드 트리에서의 깊이
value VARCHAR(255) 해당 EVENT에 정의된 값.
Ex) <img onclick=myfun() ..> → myfun line INTEGER
소스 코드상 정의된 위치.
몇 번째 줄에 해당하는지 명시. 단, 동적으로 발생한 경 우나 파악이 되지 않을 때에는 -1로 할당
date DATE
해당 노드를 기록한 날짜시간.
YYYYMMDDHHmmssffffff 형식.
년도-달-일-시-분-초-밀리초
o 가상 플랫폼 관리 기술
- 분석 요청 URL을 큐 형태로 정리
- 분석 요청/분석 상태/분석 결과 제공을 오픈 API로 제공 ※ 각 URL과 분석 요청 시점에 따라 고유한 PageID 할당 ※ PageID를 이용하여 분석 상태/결과 제공
- 가상 브라우저에 분석 대상 URL 입력
- 분석 중인 가상 브라우저 상태를 확인하여, 무한 루프나 과다한 외부 리소스 호출시, 해당 가상 브라우저를 강제 종료
- 오류가 발생한 가상 브라우저를 종료 후 최적화 - 다수의 가상 브라우저를 동시에 관리
(그림 8) 가상 플랫폼 관리 기술 개념도
☐ HTML5 악성 스크립트 판별 기술 개발 o 행위 정보 분류 및 입체화 기술
(그림 9) 행위 정보 분류 및 입체화 - 기록된 행위를 성격별로 분류하여 subtype을 부여
※ subtype은 행위 성격을 나타내는 값으로, 해당 행위가 어떤 유형인지 알 수 있음 ※ subtype은 자바스크립트 API가 7종류, 이벤트가 8종류, DOM이 4종류로, 향
후 분석 세밀화를 위해 추가/수정될 수 있음
- 시간 순서로 기록된 행위는 행위 간이 연관성을 반영하여 트리 구조로 입체화 ※ 행위 노드는 실행 시간 순서, 행위 원인-결과 관계를 반영하여 연결
(그림 10) 예)사용자 마우스 클릭을 유도 피싱공격 행위 데이터 구조
o 악성 스크립트 판별 기술
- 악성 유형별 악성 행위 판별 요소에 대한 API 흐름 정의
<URL별 행위 분석 결과> <행위 노드연결 정보를 통한 악성판별>
- 기존에 악성 행위를 유한 상태 머신으로 정의
※ 유한 상태 머신(Finite State Machine)은 각 단계 별로 다양한 이동 조건을 가지는 분류 - 악성 판별 비교는 악성 요소, 행위 순서, 행위 밀집도를 비교함
※ 행위 요소는 행위 유형과 행위 성격(subtype)과 행위 내용을 전부 포함 ※ 행위 순서는 시간에 따라 정의된 순서대로 실행되었는지를 확인
※ 행위 밀집도는 두 개의 행위가 연차적으로 혹은 같은 함수 안에서 일어났는지를 확인
구분 내용
개발 목표
☐ 사용자 이용 환경에 독립적인 분석 대상 추출 기술 개발
☐ 메모리 분석 및 난독화 탐지 기술 개발
개발 결과물
☐ Local-Proxy를 이용, 사용자 환경에 독립적인 분석 대상 추출 기술 개발 o HTTP Request 패킷으로부터 URL 정보 추출 기술
- 브라우저의 URL 요청 패킷 수집 → URL 추출 → 분석 요청 o HTTP Response 패킷으로부터 스크립트 정보 추출 기술 - 브라우저로 수신되는 응답 패킷 수집 → 스크립트 추출 → 분석 요청 - 외부 자바 스크립트 URI 추출 → 리소스 요청/수집 → 분석 요청 o 운영체제 및 브라우저 버전에 독립적인 분석 대상 추출 기술
- Local-Proxy로 동작하며, OS 및 브라우저 버전에 독립성 확보
☐ 시그니처를 통한 악성 스크립트 실시간 탐지 및 실행 방지 기술 개발 3) 호스트 레벨 악성 스크립트 탐지 및 실행 방지 기술 개발
(그림 11) 스트 레벨 악성 스크립트 실행 방지 SW 전체 구성 o 블랙리스트 URL을 기반으로 악성 URL 접근 탐지 및 방지 기술 - 접속 URL과 블랙리스트 URL과의 매칭을 통해 악성 여부 판단 - 악성일 경우 사용자에게 악성 URL 접속 허용 여부를 알림
(그림 12) 악성 URL이 탐지될 경우 접속 허용 여부 팝업을 생성하는 코드 o Yara Rule 기반의 악성 스크립트 고속 분석 및 실행 방지 기술
(그림 13) Yara 초기화 및 룰 파일 로드 코드 - Yara Rule 기반의 시그니처 매칭을 통해 스크립트 악성 판별 - 악성인 경우, 페이지 Redirection을 통해 악성 스크립트 실행 방지
※ 악성 스크립트가 삽입 된 웹 페이지 접속 차단
(그림 14) 악성 스크립트 탐지 DB
☐ 메모리 분석 및 난독화 탐지를 이용한 악성 스크립트 정밀 탐지 기술 개발 o 실행중인 웹 브라우저 프로세스의 메모리 블록 스캔 및 스크립트 추출 기술 - 실행중인 웹 브라우저(IE, Chrome) 프로세스 목록, PID 등을 출력
- 해당 프로세스의 메모리 덤프 정보를 Yara API를 이용한 스캔
- 스캔 정보를 기준으로 스크립트 추출 및 Yara Rule기반의 2차 분석을 통한 악성 탐지
(그림 15) 2차 메모리 분석 순서도
o V8 자바 스크립트 엔진을 통한 난독화 스크립트 탐지 기술
(그림 16) 난독화 스크립트 탐지 DB
- 스크립트 V8 엔진 실행 전/후의 해시값(MD5) 비교를 통해 난독화 탐지 - 난독화 스크립트의 V8 엔진 실행을 통해 원본 코드 추출
(그림 17) 난독화 스크립트 탐지 결과
☐ 탐지 로그 조회 및 관리 UI 기술 개발
o 악성 스크립트 탐지 현황 조회 및 통계 GUI 제공
(그림 18) 에이전트 메인 GUI o 각 탐지 기능 ON/OFF 설정 및 시스템 관련 설정 제공 o 악성 스크립트 및 URL 접속 시 탐지 로그 조회 GUI 제공
(그림 19) 악성 스크립트 탐지 로그
구분 내용 개발
목표
☐ 웹 사이트 정보 분산 병렬 수집 기술 개발
☐ 웹 사이트 구성 요소 검사 및 위험도 산출 기술 개발
개발 결과물
☐ 시스템 모듈 구성
o 총 3개 기능 모듈(웹 사이트 정보 수집부, 웹 컨텐츠 분석부, 위험도 산출)로 구성
(그림 21) 악성 스크립트 배포 웹 사이트 점검 시스템 구성도
☐ 웹 사이트 정보 분산 병렬 수집 기술 개발
(그림 20) 메모리 분석 로그
4) 악성 스크립트 배포 웹 사이트 점검 기술 개발
o 웹 사이트 정보 수집 및 저장 기술
o 수집 에이전트 상태 모니터링 및 관리 기술
(그림 22) 웹 사이트 정보 분산 병렬 수집 기술 개념도 o 웹 사이트 정보 수집 에이전트
- 실제 웹 컨텐츠를 수집하는 크롤러의 상태를 모니터링 및 관리 ※ 크롤러는 오픈소스 기반의 Nutch를 이용하여 구현
- 에이전트 매니저로부터 수집 대상 URL을 수신하여 크롤러를 통해 웹 컨텐츠를 실제로 수집 수행
- 수집한 컨텐츠는 NFS(Network File System)을 통해 저장 o 수집 에이전트 매니저
- 수집 에이전트의 상태 관리 및 등록 URL을 유휴 에이전트에 전달하여 수집하도록 요청 - 각 수집 결과는 NFS를 이용하여 수집 에이전트 매니저에 저장됨
☐ 웹 사이트 정보 분석 기술 개발
o 수집된 웹 컨텐츠에서 DOM Tree 생성 및 분석 대상 3개 요소(스크립트, 태 그/속성, URL) 추출 기술
o 스크립트 부분에 대한 난독화, 변조, 패턴 검사
기술
o 태그 부분에 대한 취약 태그/속성 패턴 검사 기술 o URL 부분에 대한 블랙 리스트 URL 검사 기술
(그림 23) 웹 사이트 취약성 분석 개념도 o 스크립트 난독화 검사
- 악성 스크립트 탐지를 우회하기 위해 사용되는 스크립트 난독화를 자동으로 탐 지하기 위한 검사
- 스크립트 코드에 사용된 전체 Character Entropy, Special Character Entropy, 그 리고 Max Word Size를 측정하고 이를 통해 난독화 여부를 판단
o 스크립트 변조 검사
- 스크립트 코드에 대한 해시값 생성 및 저장하고, 재방문을 통해 생성된 해시 값과 저장된 해시값을 비교하여 그 사이에 변조가 발생했는지 여부를 검사 o 스크립트 패턴 검사
- 악성 스크립트의 코드 패턴을 Yara-Rule 기반으로 정의한 시그니처를 이용하여 스 크립트 내에 악성 코드가 포함되어 있는지 여부를 검사
- 텍스트 문자열, Hex 문자열, 정규표현식 등 다양한 형식의 문자열과 문자열간의 조건식을 통해 Rule Set 생성
(그림 24) 악성 스크립트 패턴 예시 o 취약 태그/속성 패턴 검사
- 악성 행위로 활용될 가능성이 높은 취약 HTML 태그와 속성에 대한 패턴을 키워 드 행태로 정의하여 HTML 문서에 대하여 패턴 검사 수행
- HTML5 Security Cheatsheet에서 발표된 내용을 토대로 18개의 취약 태그/속성 패 턴 생성 및 검사 수행
(그림 25) 취약 태그 및 속성 패턴 예시 o 블랙리스트 URL 검사
- 악성 코드 유포에 자주 이용되는 악성 URL 정보가 HTML 문서 내에 포함되어 있 는지를 검사
- 악성 URL 정보는 외부의 블랙리스트 DB와 연동하거나 사용자의 직접 입력을 통해 생성
o 행위 분석을 위한 시스템 연동
- 시그니처를 통한 정적 분석을 보완하기 위하여 HTML5 행위 분석 시스템과의 연동을 통해 검사 수행
- 악성 의심 URL을 행위 분석 시스템에 분석을 요청하고 그 결과를 수신하여 분석 결과에 반영
<웹 사이트 점검 위험도 산출 결과> <웹 사이트 세부 탐지 현황>
☐ 탐지 정보 위험도 및 웹 사이트 위험도 산출 기술 개발 o 탐지 정보에 대한 위험도 점수(RV) 산출 기술
- 탐지에 사용된 검사 유형, 탐지된 웹 페이지의 스크립트 난독화 여부, 탐지된 컨 텐츠의 위치 등 3가지 요소를 통해 위험도 산출
RV(위험도 점수) = (검사 유형 점수) x (난독화 탐지 점수) x (탐지 위치 점수)
<표 2> 위험도 점수 산출식
- 검사 유형 점수는 탐지에 사용된 검사 유형에 따른 점수로 악성 행위 판단에 직 접적인 검사 유형일수록 높은 점수를 부여함
종류 스크립트
변조검사 태그 패턴검사 스크립트
패턴검사 URL 검사
점수 0 5 35 60
<표 3> 검사 유형 점수
- 난독화 탐지 점수는 스크립트가 난독화된 경우, 악성 행위일 가능성이 높기 때 문에 높은 점수를 부여함
탐지 여부 탐지 미탐지
점수 3 1
<표 4> 난독화 탐지 점수
- 탐지 위치 점수는 사용자가 접근하기 쉬운 위치일수록 악성 행위의 파급도가 높 기 때문에 높은 점수를 부여함
위치 Depth1 Depth2 Depth3 Depth4 Depth5 이상
점수 20 10 5 2.5 1.25
<표 5> 탐지 위치 점수
o 웹 사이트 전체에 대한 위험도 점수(SRV) 산출 기술
- 웹 사이트를 구성하는 다수의 하위 페이지에 대한 각각 탐지 위험 요소 중에 탐 지 위험도 점수가 가장 높은 요소를 가진 컨텐츠를 통해 웹 사이트 전체에 대한 위험도 점수 산출
- 웹 사이트를 구성하는 모든 웹 문서에 대한 탐지 정보 중 위험도 점수(RV)가 가 장 높은 탐지 정보를 최대 위험 요소(MRI)로 선정
- MRI에 대한 백분율 점수인 MRV(Max Risk Item Value)를 산출하고, MRV에 과거 탐 지 이력 가중치를 더하여 웹 사이트 위험도 점수(SRV)를 산출
MRV(최대 위험도 점수) = 최대 검사유형점수
최대 난독화점수
최대 탐지위치점수
검사유형점수
난독화점수
탐지위치점수
×
SRV(사이트 위험도 점수) = MRV x (1 + 탐지 이력 가중치)
<표 6> 웹 사이트 위험도 점수 산출식
- 탐지 이력 가중치는 과거 SRV 값이 위험지표 ‘상’에 해당한 누적 횟수를 통해 산정
SRV 0 ~ 30 31 ~ 69 70 ~ 100
위험지표 하 중 상
<표 7> 위험지표 정의
횟수 0 1 ~ 5 6 ~ 15 16 ~ 30 31 이상
가중치 0% 2.5% 5% 7.5% 10%
<표 8> 탐지 이력 가중치
- MRI 검사 유형 : URL 검사 -> 60점 - MRI 난독화 탐지 : 탐지 -> 3점 - MRI 탐지 위치 : Depth2 -> 10점 - 최대 검사유형점수 : 60점 - 최대 난독화점수 : 3점 - 최대 탐지위치점수 : 20점 - MRV =
× = 79.2점 - 과거 위험지표 ‘상’ 탐지 횟수 : 5회 - SRV = 79.2 x (1 + 0.025) = 81.18점
<표 9> SRV 산출 예시
(그림 26) 웹 사이트 위험도 데이터 예시
☐ 개발 시스템 관리 도구 개발 o 시스템 관리 및 장애 모니터링
- 시스템 관리자 계정 정보 표시 및 관리 기능 제공 - 저장소 현황 정보 표시 및 저장 정보 관리 기능 제공 - 수집 에이전트 현황 정보 표시
(그림 27) 시스템 관리 화면 구성 o 점검 대상 사이트 등록 및 점검 결과 관리
- 점검 대상 웹 사이트 개별 등록 및 일괄 등록 인터페이스 제공 - 등록 웹 사이트 현황 및 세부 점검 결과 정보 제공
- 등록 웹 사이트에 대한 행위 분석 요청 인터페이스 제공
(그림 28) 등록 사이트 현황 화면 구성
(그림 29) 등록 사이트 세부 점검 결과 화면 구성 o 분석 설정 및 시그니처 관리 화면 설계
- 분석 알고리즘에 대한 설정 및 행위 분석 대기 시간 설정 기능 제공 - 시그니처 등록, 조회 및 삭제 등 관리 기능 제공
(그림 30) 분석 설정 화면 구성
(그림 31) 시그니처 관리 화면 구성
구분 내용
개발
목표 ☐ 스크립트 기반 사이버 공격 탐지 통합 관제 기술 개발
개발 결과물
☐ 시스템 개요
(그림 32) 통합 관제 시스템 구성도 o 통합 송수신 API 개발
- REST API를 통한 총 4종 시스템으로 정보 송수신 및 시스템 인증 인터페이스 - 고속 데이터 처리를 위한 CEP(Complex Event Processing)엔진 구현
o 대시보드 및 각종 통계 관리
5) 스크립트 기반 사이버 공격 대응 통합 관제 기술 개발
- 인포그래픽 기반의 탐지결과 시각화, 탐지 결과 자동 알람 - 4종 연동 시스템의 탐지 및 통계 상세 현황 제공
(그림 33) 통합 관제 시스템 구성도
o 네트워크 레벨 악성 스크립트 탐지 현황
- 악성 URL별 탐지 현황 및 상세 소스코드 정보 제공
(그림 34) 통합 관제 시스템 구성도 o 웹 사이트 점검 현황 조회
- 점검대상 홈페이지별 탐지현황(변조검사, URL검사 등), 위험도 점수 제공
(그림 35) 대시보드 화면 o 시스템 장애 모니터링
- 시스템별 처리현황, 시스템 로그정보 조회
Ⅱ-2 기술개발 성능 결과
1) 악성 스크립트 탐지율
- 정의 : 분석 URL 대상, 악성 스크립트가 탐지 비율을 의미 - 측정 수식 : 분석 요청수
탐지된 악성스크립트 수
×
- 측정 방법 :
대상 URL 측정 방법 대상 시스템
악성 샘플 사이트 대상
원본코드, 변조코드, 코드분 활 방식 등 소스코드 레벨의 코드변형에 따른 탐지율 측 정*
호스트레벨 악성스크립트 탐 지 S/W
HTML5 기반 악성 스크립트 차단 시스템
악성스크립트 유포 사이트 점검 시스템
안전 웹 사이트 대상**
해당 웹 사이트 대상 점검 레벨을 DEPTH5 기준 모든 .HTML, .JS파일에 대한 취약 점 스캔 진행
악성스크립트 유포 사이트 점검 시스템
* 소스코드 변형 방법
원본 코드 변조코드 코드 분활
<script>
function js_onclick(){
var date_time = “”;
...
}
</script>
1. 함수 명, 변수명의 랜덤 값으로 변경
js_onclick() → A();
var date_time → var B
1. 단일 스크립트 코드 블록
=> 여러 코드블록으로 문 자열 변경
**안전 웹 사이트 : Alexa Top 100의 웹 사이트 중 Google Safe Browsing, Norton Safe Web에서 안전한 사이트로 판단한 50개 웹 사이트 추출
- 성능 목표치 : 85%
- 측정결과 : 원본 샘플(91%), 변조 코드(66%), 코드 분활(77%) - 측정 결과 요약
대상 시스템 악성 샘플 사이트 안전 웹 사이트
원본코드 변조코드 코드 분활 (건수)
호스트레벨 악성 스크립트 탐지 S/W 94% 44% 62% -
HTML5 기반 악성 스크립트 차단 시스템 90% 90% 77% - 악성스크립트 유포 사이트 점검 시스템 91% 44% 93% URL검사 :67건
태그검사: 259건
평균 91.7% 60% 77% 326건
- 시스텝 별 측정결과 세부 내역
2) 난독화 스크립트 탐지율
- 정의 : 난독화 된 악성 스크립트 중 탐지 및 원본 코드를 추출한 비율 - 성능 측정 수식 : 난독화 된 악성스크립트 수
탐지 된 악성스크립트 수
×
- 측정 대상 : 16개 유형의 난독화 5종 샘플 80개를 대상으로 측정
※ 난독화 5종(Base62, Base10, Packed, Hex, JSO) 샘플
- 측정 방법 : 난독화 된 악성 스크립트를 웹 페이지에 삽입 후, 시스템이 탐지 및 원본 스크립트를 추출한 비율 측정
- 측정 결과 : 63%
(그림 36) 난독화 분석 탐지 결과
3) 처리성능
o 최대 동시 처리 URL 건 수
- 정의 : 분석 URL 대상, 악성 스크립트가 탐지 비율을 의미 - 측정 수식 : 분석 요청수
분석완료시간 분석요청시간
×
- 측정 방법 :
- URL을 20개, 40개, 60개, 100개, 150개, 200개, 250개, 300개, 400개, 500개를 묶은 테스트 셋 준비
- 한 번에 입력하여 URL 평균, 중간(Median), 최소, 최대 시간 측정 - 최대 시간이 1분(±5초)인 최다 동시 처리 URL수가 300
- 성능 목표 : 200 UPM(URL/Minute)
- 측정 결과 : 300 UPM(URL/Minute)
(그림 37) HTML5 행위 분석 시스템 처리 성능
(그림 38) 분석 요청 URL 개수 증가에 따른 분석 시간 추이
o 웹 사이트 수집 건수
- 정의 : 분석 URL 대상, 악성 스크립트가 탐지 비율을 의미 - 측정 수식 : 분석완료시간 분석요청시간
점검 도메인
×
- 측정 방법 : HTML5 사이트 10개 및 상용 웹 사이트 1만개 URL 대상 하위 5Depth 까지 수집 처리
- 성능 목표 : 5 UPS(URL/SEC) - 측정 결과 : 2.16 UPS
총합 (URL 수 / 소요시간) 33,698 15,579 초당 수집 URL 개수(URL/SEC) 2.16
1일 수집 URL 개수 (1개 crawler) 188,867 필요 crawler 수(for 100만개 수집) 5.35
- 점검 대상 사이트별 수집 건수 및 총 소요 시간
o 프로그램 호환성 테스트
- 정의 : PC환경에서 각 버전 별 운영체제 및 브라우저(IE, Chrome) 환경에서 모든 탐지 기능들의 정상 동작 여부 의미
- 성능 측정 수식 : 테스트 환경 수 정상 동작 환경 수
×
- 측정 환경 : 운영체제(Windows7+, Mac) 5종, 브라우저(IE, Chrome) 6종 환경을 조합 하여 총 30개 환경 구성
- 측정 방법 : 패킷 수집, 실시간 처리(URL, 스크립트 정적 분석), 메모리 분석, 난독화 분석 등 개발 기능들이 테스트 환경에서 정상 동작 여부를 측정
- 측정 결과 : 75% (총 30개의 호스트 환경, 4가지 기능 동작 여부 확인)
운영체제 프로그램 설치 스크립트 수집 정적분석 메모리 분석
Win7 (32)
IE9 O O O O
IE10 O O O O
IE11 O O O O
Chrome46 O O O O
Chrome47 O O O O
Chrome48 O O O O
Win7 (64)
IE9 O O O O
IE10 O O O O
IE11 O O O O
Chrome46 O O O O
Chrome47 O O O O
Chrome48 O O O O
WIN8 (32)
IE9 O O O O
IE10 O O O O
IE11 O O O O
Chrome46 O O O O
Chrome47 O O O O
Chrome48 O O O O
WIN8 (64)
IE9 O O O O
IE10 O O O O
IE11 O O O O
Chrome46 O O O O
Chrome47 O O O O
Chrome48 O O O O
Mac
IE9 X X X X
IE10 X X X X
IE11 X X X X
Chrome46 X X X X
Chrome47 X X X X
Chrome48 X X X X
번 호 종 류 명 칭 출원일 등록일 국 명 출원/등록번호 발생차수
1 국내특허 등록
코드 패턴을 이용한 정적 분석과 API 흐름을 이용한
동적 분석을 통한 악성 스크립트 탐지
차단 장치, 시스템 및
방법
2014.12.03 2015.08.04 대한민국 10-1543237 2차년도
Ⅱ-3 정량적 실적
1) 주요 실적 요약
성과지표 성과
특허
국내 출원 7건
국내 등록 3건
국제 출원 2건
국제 등록 -
논문
국내 논문 8건
국제 논문 7건
SCI(E) 논문 1.5건
프로그램등록 국내프로그램 등록 20건
기술문서
시스템 요구사항 분석서 3건
시스템 설계서 3건
시스템 테스트 계획서 3건
HTML5를 악용한 공격 및 보안 이슈 1건
신규인력 채용
주관기관 3명
참여기관 9명
2) 구체적 연구 성과 o 특허
- 목표치 : 7건 (2차년도)
- 추진 성과 : 12건 (목표대비 171% 달성)
2 국내특허 등록
실시간 악성 스크립트 탐지를 위한
웹 트래픽 수집 및 지연
최소화 기술
2015.01.21 2015.08.04 대한민국 10-1543238 2차년도
3 국내특허 등록
사용자 브라우저 영역에서 악성 스크립트 탐지 및 실행 방지
장치 및 시스템
2014.12.03 2015.11.20 대한민국 10-1572239 2차년도
4 국내특허
출원
모바일 웹 애플리케이션
환경에서의 취약점 탐지
방법 및 시스템
2015-10-26 - 대한민국 10-2015-014
8744 2차년도
5 국내특허
출원
웹 페이지에 안전성을 제공하기 위한
평판관리 시스템 및
방법
2015-10-26 - 대한민국 10-2015-014
8751 2차년도
6 국내특허
출원
HTML5 기반의 악성 스크립트
행위 정보 수집 시스템
및 방법
2015.11.03 - 대한민국 10-2015-015
3688 2차년도
7 국내특허
출원
HTML5 기반의 악성 스크립트
행위 정보 분석 시스템
및 방법
2015.11.03 - 대한민국 10-2015-015
3691 2차년도
8 국내특허
출원
호스트 레벨 기반 악성 스크립트 탐지
및 실행 방지 장치와 악성 스크립트 탐지
및 실행 방지 방법
2015.11.06 - 대한민국 10-2015-015
5835 2차년도
9 국내특허
출원
웹사이트 점검 장치 및 그
방법
2015.11.06 - 대한민국 10-2015-015
5915 2차년도
10 국내특허 출원
웹사이트 위험도 산출
장치 및 그 방법
2015.11.12 - 대한민국 10-2015-015
8687 2차년도
번 호
구분(논문 게재 or 학회발표)
논문명 저자명 저널명 일시 구분(국내 , 국외)
SCI 등 재 여 부
발생 차수
1 논문 게재
A Novel Approach to
Detect Malware Based on API Call Sequence
Analysis
Youngjoon Ki, Eunjin Kim, and Huy
Kang Kim
International Journal of Distributed Sensor Networks
15.04.04 국외 O 2차년도
2 논문 게재
The Protection Technology Of
Script-Based Cyber attack
Jong-Hun Jung, Hwan-Kuk
Kim, Hyun-lock Choo, Lim ByungUk
JCC 15.02. 국외 2차년도
3 논문 게재
Study on Attack Scenarios with
HTML5
Soojin Yoon, Jonghun
Jung, HwanKuk Kim
the International
Journal of Multimedia and Image Processing
15.06 국외 2차년도
11 국제특허 출원
SYSTEM AND METHOD FOR
COLLECTING MALICIOUS
SCRIPT BEHAVIOR INFORMATION
BASED ON HTML5
2016.01.13 - PCT PCT/KR2016/00
0346 2차년도
12 국제특허 출원
APPARATUS AND METHOD FOR CALCULATING RISK OF WEB
SITE
2016.01.13 - PCT PCT/KR2016/00
0348 2차년도
o 논문
- 목표치 : 15건 (2차년도)
- 추진 성과 : 16.5건 (목표대비 110% 달성)
4 논문 게재
Andro-AutoPsy Anti-malware system based
on similarity matching of malware and
malware creator-centric
information
Jae-wook Jang, Hyunjae
Kang, Jiyoung Woo,
Aziz Mohaisen, Huy Kang
Kim
Digital
Investigation 15.06.27 국외 O 2차년도
5 논문 게재
Mal-Netminer:
Malware Classification
Approach Based on Social Network
Analysis of System Call
Graph
Jae-wook Jang, JiyoungWoo,
Aziz Mohaisen, Jaesung Yun,
Huy Kang Kim
Mathematica l Problems
in Engineering
15.08.03 국외 O 2차년도
6 논문 게재
실시간으로 악성 스크립트를 탐지하는 기술
추현록, 정종훈, 김환국
한국인터넷 정보학회
논문지
15.08 국내 2차년도
7 논문 게재
HTML5를 이용한 자바스크립트
기반 공격 기법 연구
윤수진, 정종훈, 김환국
한국정보보
호학회 15.10 국내 2차년도
8 학술 발표
HTML5 신규 보안취약점 악용 웹 공격
탐지기술
정종훈, 김환국, 추현록, 임병욱
한국인터넷
정보학회 15.05.01 국내 2차년도
9 학술 발표
공공기관 웹 사이트를 위한
하둡 기반 HTML5 태그
및 속성 취약점 분석
김인아, 임형준, 김환국, 이규철
한국정보과
학회 15.06.24 국내 2차년도
10 학술 발표
Hadoop-based Detection of
HTML5 Vulnerabilities
InA Kim, Hyung-Jun Yim, Hwan-Kuk Kim, Kyu-Chul Lee
ICCT 2015 15.06.29 국외 2차년도
11 학술 발표
The Behavior -Based nalysis Techniques for HTML5 Malicious
features
HyunLock Choo , SangHwan Oh, JongHun Jung, HwanKuk Kim
IMIS 2015 15.07.08 국외 2차년도
12 학술 발표
웹 사이트 취약성 분석
및 위험도 평가 기술
연구
배한철, 정종훈, 김환국
한국정보처
리학회 15.10.30 국내 2차년도
13 학술 발표
호스트레벨의 난독화 된 악성 스크립트
대응 기술 연구
오상환, 정종훈, 김환국
한국정보처
리학회 15.10.30 국내 2차년도
14 학술 발표 HTML5를 이용한 봇넷
윤수진, 정종훈, 김환국
한국인터넷
정보학회 15.10.30 국내 2차년도
15 학술 발표
스크립트 기반 사이버공격에
대한 보안 기술 동향 및 대응방안 연구
고은별, 정종훈
한국IT서비
스학회 15.11.11 국내 2차년도
16 학술 발표
OBFUSCATED MALICIOUS
SCRIPT RESPONSE TECHNIQUE DEPLOYED AT HOST LEVEL
Sang-Hwan Oh, Jong-Hun
Jung, Hwan-Kuk
Kim
ADVCIT
2015 15.12.03 국외 2차년도
17 학술 발표
The Attacks on Web Browsers with
HTML5
윤수진 ICITST 2015 15.12.14 국외 2차년도
18 학술 발표
A Study of Web-Site Vulnerability Inspection and Risk Evaluation
Method
HAN-CHUL BAE, JONG-HUN
JUNG , HWANKUK
KIM, SANG-HWAN
OH
WITC2016 16.02.17 국외 2차년도
No 이전기술명 기술료
(백만원)
계약
체결일 실시내용 대상기관명
1
시그니처 기반 악성 스크립트 점검 기술 분야의 악성 스크립트
배포 웹 사이트 점검 기술 사용
14 2015.12.28 개발 결과물 제공 지란지교소프트
2
스크립트 기반 네트워크 공격 탐지·차단 기술 분야의 HTML5 행위 분석
기술 사용
14 2015.12.28 개발 결과물 제공 펜타시큐리티 시스템
o 기술이전
- 목표치 : 2건 (2차년도)
- 추진 성과 : 2건 (목표대비 100% 달성)
