KR101246623B1 - 악성 애플리케이션 진단 장치 및 방법 - Google Patents

악성 애플리케이션 진단 장치 및 방법 Download PDF

Info

Publication number
KR101246623B1
KR101246623B1 KR20120097262A KR20120097262A KR101246623B1 KR 101246623 B1 KR101246623 B1 KR 101246623B1 KR 20120097262 A KR20120097262 A KR 20120097262A KR 20120097262 A KR20120097262 A KR 20120097262A KR 101246623 B1 KR101246623 B1 KR 101246623B1
Authority
KR
South Korea
Prior art keywords
file
information
malicious
unit
application
Prior art date
Application number
KR20120097262A
Other languages
English (en)
Inventor
이승원
강동현
주설우
김용구
황창연
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR20120097262A priority Critical patent/KR101246623B1/ko
Application granted granted Critical
Publication of KR101246623B1 publication Critical patent/KR101246623B1/ko
Priority to JP2015529660A priority patent/JP5992622B2/ja
Priority to US14/425,358 priority patent/US9525706B2/en
Priority to PCT/KR2013/006095 priority patent/WO2014035043A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 악성 애플리케이션 진단 장치 및 방법에 관한 것이다. 이를 위한 악성 애플리케이션 진단 장치는 모바일 운영체제 환경에서 구동될 수 있는 악성 애플리케이션 실행 파일과 그 악성 애플리케이션 실행 파일로부터의 변종 파일의 공통적인 특징 정보를 악성 여부의 진단을 위한 시그니처 데이터로 저장하는 시그니처 저장부와, 악성 여부를 진단할 진단 대상 애플리케이션 실행 파일로부터 공통적인 특징 정보에 대응하는 정보를 수집하는 정보 수집부와, 정보 수집부에 의해 수집된 대응하는 정보와 시그니처 저장부에 저장된 공통적인 특징 정보를 비교하여 애플리케이션 실행 파일의 악성 여부를 판단하는 진단 판별부와, 진단 판별부에 의한 애플리케이션 실행 파일의 악성 여부 판별 결과를 제공하는 결과 제공부를 포함한다. 따라서, 외형적으로 다르지만 본질적으로는 같은 종류의 변종 악성 파일 또는 신종 악성 파일에 대해서도 기 확보된 진단 데이터를 활용하여 악성 여부를 진단 및 판별할 수 있다.

Description

악성 애플리케이션 진단 장치 및 방법{APPARATUS AND METHOD FOR DETECTING MALICIOUS APPLICATIONS}
본 발명은 악성 애플리케이션 진단 장치 및 방법에 관한 것이다. 더 구체적으로, 모바일 운영체제에서 애플리케이션 실행 파일을 대상으로 하여 악성 여부를 진단하는 악성 애플리케이션 진단 장치 및 방법에 관한 것이다.
근래에 들어 유무선 인터넷뿐만 아니라 이동통신 기술의 발달로 인하여 단순한 전화통화 기능뿐만이 아닌 무선 인터넷 기능 등의 다양한 기능을 갖춘 휴대폰이 보급되고 있다. 특히 최근에 보급이 확산되고 있는 스마트폰(smartphone)은 모바일 운영체제에서 동작하는 다양한 애플리케이션 프로그램(이하, 애플리케이션이라 약칭함)을 설치할 수 있으며, 이러한 이유로 사용자들은 스마트폰을 여러 가지의 용도로 이용하고 있다.
이러한 스마트폰에는 안드로이드(Android), i-OS(Operating System), 윈도우 모바일(windows mobile) 등과 같은 모바일 운영체제가 탑재되며, 각종 모바일 운영체제에서 실행 가능한 애플리케이션의 개발이 활발히 이루어지고 있다.
위와 같은 모바일 운영체제 중에서 안드로이드 플랫폼은 구글(Google) 사가 주도하는 OHA(Open Handset Alliance)에서 공개한 오픈 소스 플랫폼이며, 리눅스(Linux) 커널, 가상머신(VM : Virtual Machine), 프레임워크(Framework) 및 애플리케이션을 모두 포함하는 소프트웨어 패키지를 의미한다.
현재 안드로이드 플랫폼에 대한 사용자들의 기대가 상승하고, 단말 제조사와 이동 통신 서비스 제공사의 높은 호응으로 안드로이드 플랫폼을 탑재하는 스마트폰 등의 휴대용 단말기가 점점 늘어남에 따라 안드로이드 애플리케이션 시장이 활성화되었고, 양질의 안드로이드 애플리케이션 공급에 대한 요구가 높아지고 있다.
그런데, 위와 같이 안드로이드 플랫폼을 탑재한 스마트폰 사용자가 늘어남에 따라 안드로이드 운영체제를 타킷으로 하는 악성코드 또한 급격히 증가하고 있으며, 안드로이드 악성코드 제작자들은 기존의 PC환경에서 익혔던 다양한 기술을 안드로이드 악성 애플리케이션의 제작에 반영하여 PC에서의 것보다 빠르게 발전시켜 나가고 있다.
도 1은 안드로이드 플랫폼에서 구동되는 애플리케이션의 설치 및 동작을 위한 실행 파일인 안드로이드 패키지(APK) 파일의 일 예를 보인 트리 구조도이다.
도 1에 나타낸 바와 같이 안드로이드 패키지 파일은 루트(root)에 복수의 폴더 및 파일을 포함하고 있으며, 이 중에서 META-INF 폴더(20)와 AndroidManifest.xml 파일(10), classes.dex 파일(30) 및 resources.arsc 파일(40)은 필수 구성 요소이다. 이러한 필수 구성 요소는 어느 하나라도 없으면 애플리케이션이 정상적으로 설치되거나 실행되지 않는다. META-INF 폴더(20)는 그 하위에 RSA 파일(21), SF 파일(22) 및 MANIFEST.MF 파일(23)을 필수적으로 포함한다.
한편, 안드로이드 악성 애플리케이션을 제작하는 방식으로는 AndroidManifest.xml 파일(10) 또는 classes.dex 파일(30)을 수정하여 제작하는 것이 대표적으로 알려져 있다.
따라서, 종래 기술에 따라 모바일 운영체제 환경에서 악성 애플리케이션을 진단할 때에는 악성으로 판정된 AndroidManifest.xml 파일(10) 및 classes.dex 파일(30)의 해시(hash)값을 시그니처(signature) 데이터베이스에 미리 저장하고, 진단 대상인 애플리케이션으로부터 추출한 AndroidManifest.xml 파일(10) 또는 classes.dex 파일(30)의 해시값을 시그니처 데이터베이스와 비교하여 악성 애플리케이션을 진단 및 판별하였다.
이러한 종래 기술에 의하면, 하나의 악성 파일에 대해서는 정확히 진단을 할 수 있지만 자동화 도구 등을 이용하여 생성된 대량의 변종 파일에 대해서는 악성 여부를 진단할 수 없는 문제점이 있었다.
대한민국 등록특허공보 제1161493호, 공고일자 2012년 6월 29일.
본 발명의 실시예는, 모바일 운영체제 환경에서 구동될 수 있는 악성 애플리케이션의 실행 파일을 대상으로 하여 변종 파일에서도 불변하거나 변형이 어려운 공통적인 특징 정보를 악성 애플리케이션의 진단에 활용하는 악성 애플리케이션 진단 장치 및 방법을 제공한다.
본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 관점에 따른 악성 애플리케이션 진단 장치는, 모바일 운영체제 환경에서 구동될 수 있는 악성 애플리케이션 실행 파일과 그 악성 애플리케이션 실행 파일로부터의 변종 파일과의 공통적인 특징 정보를 악성 여부의 진단을 위한 시그니처 데이터로 저장하는 시그니처 저장부와, 진단 대상 애플리케이션 실행 파일로부터 상기 공통적인 특징 정보에 대응하는 정보를 수집하는 정보 수집부와, 수집된 상기 대응하는 정보와 상기 시그니처 저장부에 저장된 상기 공통적인 특징 정보를 비교하여 상기 진단 대상 애플리케이션 실행 파일의 악성 여부를 판단하는 진단 판별부와, 상기 진단 대상 애플리케이션 실행 파일의 악성 여부 판별 결과를 제공하는 결과 제공부를 포함할 수 있다.
여기서, 상기 악성 애플리케이션 진단 장치는, 복수의 공통적인 특징 정보를 조합하여 상기 진단 대상 애플리케이션 실행 파일의 악성 여부를 판별하기 위한 진단 규칙을 저장하는 진단 규칙 저장부를 더 포함하고, 상기 정보 수집부는 상기 진단 규칙에 따라 상기 공통적인 특징 정보를 수집할 수 있다.
상기 악성 애플리케이션 진단 장치는 상기 진단 규칙의 설정을 요청할 수 있는 설정부를 더 포함하며, 상기 설정부에 의한 요청에 따라 설정된 상기 진단 규칙은 상기 진단 규칙 저장부에 저장될 수 있다.
상기 진단 대상 애플리케이션 실행 파일은 APK(android package) 파일이며, 상기 정보 수집부는 상기 APK 파일 내의 파일 경로 정보 또는 인증서 정보를 수집하는 APK 정보 수집부를 포함할 수 있다.
상기 APK 정보 수집부는 상기 APK 파일을 구성하는 파일들의 트리 구조를 추출하여 파일들의 경로에 해당하는 해시값을 추출하는 파일 트리 구조 추출부를 포함할 수 있다.
상기 APK 정보 수집부는 상기 APK 파일 내에 존재하는 특정 파일의 경로를 추출하여 해당 파일의 경로에 해당하는 해시값을 추출하는 파일 경로 추출부를 포함할 수 있다.
상기 APK 정보 수집부는 상기 APK 파일 내의 META-INF 폴더에 존재하는 RSA 파일의 자가 서명 정보를 추출하는 인증서 정보 추출부를 포함할 수 있다.
상기 인증서 정보 추출부는 상기 자가 서명 정보 중에서 Serial Number, Issure DN 또는 Validity 중 적어도 하나를 추출할 수 있다.
상기 정보 수집부는 상기 진단 대상 애플리케이션 실행 파일 내의 DEX 파일을 분석하여 JAVA 클래스 파일들의 특징을 추출하는 DEX 정보 수집부를 포함할 수 있다.
상기 DEX 정보 수집부는 상기 DEX 파일에서 포함하는 JAVA 파일들이 임포트하는 외부 클래스 정보의 목록을 이용하여 CRC를 구하는 임포트 클래스 추출부를 포함할 수 있다.
상기 DEX 정보 수집부는 상기 DEX 파일에 정의된 프로토 타입 목록을 취합하여 CRC를 구하는 프로토 타입 추출부를 포함할 수 있다.
상기 DEX 정보 수집부는 상기 DEX 파일에 포함된 JAVA 클래스 파일들의 이름을 나열하여 CRC를 구하는 클래스 리스트 추출부를 포함할 수 있다.
상기 DEX 정보 수집부는 상기 DEX 파일에 포함된 클래스들에 대해 클래스 내부의 속성 값 또는 JAVA 코드 명령어 구문을 추출하는 클래스 해시 추출부를 포함할 수 있다.
상기 정보 수집부는 상기 진단 대상 애플리케이션 실행 파일 내의 androidManifest.xml 파일에서 내부 정보를 수집하는 메니페스트 정보 수집부를 포함할 수 있다.
상기 메니페스트 정보 수집부는 상기 androidManifest.xml 파일에서 애플리케이션에 관한 정보를 추출하는 애플리케이션 정보 추출부를 포함할 수있다.
상기 메니페스트 정보 수집부는 상기 androidManifest.xml 파일의 XML 트리 구조 정보를 해시값으로 추출하는 XML 트리 구조 추출부를 포함할 수 있다.
상기 정보 수집부는 resources.arsc 파일 내의 리소스 구조체들의 형태적인 구성 정보를 해시값으로 추출하는 리소스 정보 수집부를 포함할 수 있다.
본 발명의 다른 관점에 따른 악성 애플리케이션 진단 방법은, 모바일 운영체제 환경에서 구동될 수 있는 악성 애플리케이션 실행 파일과 그 악성 애플리케이션 실행 파일로부터의 변종 파일과의 공통적인 특징 정보를 악성 여부의 진단을 위한 시그니처 데이터로 저장하는 단계와, 진단 대상 애플리케이션 실행 파일로부터 상기 공통적인 특징 정보에 대응하는 정보를 수집하는 단계와, 수집된 상기 대응하는 정보와 상기 시그니처 데이터로 저장된 상기 공통적인 특징 정보를 비교하여 상기 진단 대상 애플리케이션 실행 파일의 악성 여부를 판단하는 단계와, 상기 진단 대상 애플리케이션 실행 파일의 악성 여부 판별 결과를 제공하는 단계를 포함할 수 있다.
여기서, 상기 악성 애플리케이션 진단 방법은 복수의 공통적인 특징 정보를 조합하여 상기 진단 대상 애플리케이션 실행 파일의 악성 여부를 판별하기 위한 진단 규칙을 저장하는 단계를 더 포함하고, 상기 수집하는 단계는 상기 진단 규칙에 따라 상기 공통적인 특징 정보를 수집할 수 있다.
상기 악성 애플리케이션 진단 방법은 상기 진단 규칙의 설정을 요청 받는 단계를 더 포함하며, 상기 설정의 요청에 따라 상기 진단 규칙을 저장할 수 있다.
본 발명의 또 다른 관점에 따르면, 상기 악성 애플리케이션 진단 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체를 제공할 수 있다.
본 발명의 실시예에 따르면, 모바일 운영체제 환경에서 구동될 수 있는 악성 애플리케이션의 실행 파일을 대상으로 하여 변종 파일에서도 불변하거나 변형이 어려운 공통적인 특징 정보를 악성 애플리케이션의 진단에 활용한다.
따라서, 외형적으로 다르지만 본질적으로는 같은 종류의 변종 악성 파일 또는 신종 악성 파일에 대해서도 기 확보된 진단 데이터를 활용하여 악성 여부를 진단 및 판별할 수 있다. 아울러, 정상적인 애플리케이션의 공통적인 특징 정보를 진단 데이터로 확보하여 화이트리스트(white list)를 별도로 관리하면 정상 애플리케이션을 악성으로 오진할 가능성을 크게 낮출 수 있다.
도 1은 안드로이드 플랫폼에서 구동되는 애플리케이션의 설치 및 동작을 위한 실행 파일인 안드로이드 패키지(APK) 파일의 일 예를 보인 트리 구조도이다.
도 2는 본 발명의 실시예에 따른 악성 애플리케이션 진단 장치의 블록도이다.
도 3은 본 발명의 실시예에 따른 정보 수집부의 세부적인 구성도이다.
도 4는 본 발명의 실시예에 따른 APK 정보 수집부의 세부적인 구성도이다.
도 5는 본 발명의 실시예에 따른 DEX 정보 수집부의 세부적인 구성도이다.
도 6은 본 발명의 실시예에 따른 메니페스트 정보 수집부의 세부적인 구성도이다.
도 7은 본 발명의 실시예에 따른 악성 애플리케이션 진단 방법을 설명하기 위한 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 2는 본 발명의 실시예에 따른 악성 애플리케이션 진단 장치의 블록도이다.
이에 나타낸 바와 같이 악성 애플리케이션 진단 장치(100)는 정보 수집부(110), 진단 판별부(120), 설정부(130), 시그니처 저장부(140), 진단 규칙 저장부(150), 결과 제공부(160) 등을 포함한다.
시그니처 저장부(140)는 모바일 운영체제 환경에서 구동될 수 있는 악성 애플리케이션 실행 파일과 그 악성 애플리케이션 실행 파일로부터의 변종 파일과의 공통적인 특징 정보를 진단 대상 애플리케이션 실행 파일에 대한 악성 여부의 진단을 위한 시그니처 데이터로 저장한다. 이러한 시그니처 저장부(140)는 하나의 애플리케이션 실행 파일에 관련된 복수의 공통적인 특징 정보를 저장할 수 있다.
정보 수집부(110)는 악성 여부를 진단하는 대상인 진단 대상 애플리케이션 실행 파일로부터 시그니처 저장부(140)에 저장된 공통적인 특징 정보에 대응하는 정보를 수집한다. 이러한 정보 수집부(110)는 진단 규칙 저장부(150)에 저장된 진단 규칙에 따라 애플리케이션 실행 파일로부터 공통적인 특징 정보에 대응하는 정보를 수집할 수 있다. 즉 정보 수집부(110)는 진단 대상 애플리케이션 실행 파일로부터 악성 애플리케이션 실행 파일과의 공통적인 특징 정보를 수집한다고 말할 수도 있다.
진단 판별부(120)는 정보 수집부(110)에 의해 수집된 공통적인 특징 정보의 대응 정보와 시그니처 저장부(140)에 저장된 공통적인 특징 정보를 비교하여 애플리케이션 실행 파일의 악성 여부를 진단 및 판별한다.
결과 제공부(160)는 진단 판별부(120)에 의한 애플리케이션 실행 파일의 악성 여부 판별 결과를 외부에 제공한다.
진단 규칙 저장부(150)는 복수의 공통적인 특징 정보를 조합하여 애플리케이션 실행 파일의 악성 여부를 판별하기 위한 진단 규칙을 저장한다.
설정부(130)는 악성 애플리케이션 진단 장치(100)에게 각종 명령을 입력할 수 있는 인터페이스를 제공하며, 이러한 설정부(130)를 통해 진단 규칙의 설정을 요청할 수 있다. 이러한 설정부(130)에 의한 요청에 따라 진단 판별부(120)는 진단 규칙을 설정하여 진단 규칙 저장부(150)에 저장되게 할 수 있다.
도 3은 본 발명의 실시예에 따른 정보 수집부(110)의 세부적인 구성도이다.
이에 나타낸 바와 같이 정보 수집부(110)는 APK 정보 수집부(111), DEX 정보 수집부(112), 메니페스트 정보 수집부(113), 리소스 정보 수집부(114) 등을 포함한다.
APK 정보 수집부(111)는 APK 압축 파일 내의 파일 경로 정보 또는 인증서 정보를 수집할 수 있다.
DEX 정보 수집부(112)는 DEX 파일을 분석하여 JAVA 클래스 파일들의 특징을 추출할 수 있다.
메니페스트 정보 수집부(113)는 androidManifest.xml 파일의 내부 정보를 수집할 수 있다.
리소스 정보 수집부(114)는 resources.arsc 파일 내의 리소스 구조체들의 형태적인 구성 정보를 해시값으로 추출할 수 있다.
도 4는 본 발명의 실시예에 따른 APK 정보 수집부(111)의 세부적인 구성도이다.
이에 나타낸 바와 같이 APK 정보 수집부(111)는 파일 트리 구조 추출부(111a), 파일 경로 추출부(111b), 인증서 정보 추출부(111c) 등을 포함한다.
파일 트리 구조 추출부(111a)는 APK 압축 파일을 구성하는 파일들의 트리 구조를 추출하여 파일들의 경로에 해당하는 해시값을 추출할 수 있다.
파일 경로 추출부(111b)는 APK 압축 파일 내에 존재하는 특정 파일의 경로를 추출하여 해당 파일의 경로에 해당하는 해시값을 추출할 수 있다.
인증서 정보 추출부(111c)는 APK 압축 파일 내의 META-INF 폴더에 존재하는 RSA 파일의 자가 서명 정보를 추출할 수 있다. 이러한 인증서 정보 추출부(111c)는 자가 서명 정보 중에서 Serial Number, Issure DN 또는 Validity를 추출할 수 있다.
도 5는 본 발명의 실시예에 따른 DEX 정보 수집부(112)의 세부적인 구성도이다.
이에 나타낸 바와 같이 DEX 정보 수집부(112)는 임포트 클래스 추출부(112a), 프로토 타입 추출부(112b), 클래스 리스트 추출부(112c), 클래스 해시 추출부(112d)를 포함한다.
임포트 클래스 추출부(112a)는 DEX 파일에서 포함하는 JAVA 파일들이 임포트하는 외부 클래스 정보의 목록을 이용하여 CRC(Cyclic Redundancy Check)를 구할 수 있다.
프로토 타입 추출부(112b)는 DEX 파일에 정의된 프로토 타입 목록을 취합하여 CRC를 구할 수 있다.
클래스 리스트 추출부(112c)는 DEX 파일에 포함된 JAVA 클래스 파일들의 이름을 나열하여 CRC를 구할 수 있다.
클래스 해시 추출부(112d)는 DEX 파일에 포함된 클래스들에 대해 클래스 내부의 속성 값 또는 JAVA 코드 명령어 구문을 추출할 수 있다.
도 6은 본 발명의 실시예에 따른 메니페스트 정보 수집부(113)의 세부적인 구성도이다.
이에 나타낸 바와 같이 메니페스트 정보 수집부(113)는 애플리케이션 정보 추출부(113a), XML 트리 구조 추출부(113b)를 포함한다.
애플리케이션 정보 추출부(113a)는 androidManifest.xml 파일에서 애플리케이션에 관한 정보를 추출할 수 있다.
XML 트리 구조 추출부(113b)는 androidManifest.xml 파일의 XML 트리 구조 정보를 해시값으로 추출할 수 있다.
도 7은 본 발명의 실시예에 따른 악성 애플리케이션 진단 방법을 설명하기 위한 흐름도이다.
이에 나타낸 바와 같이 본 발명의 실시예에 따른 악성 애플리케이션 진단 장치(100)에 의한 악성 애플리케이션 진단 방법은, 모바일 운영체제 환경에서 구동될 수 있는 악성 애플리케이션 실행 파일과 그 악성 애플리케이션 실행 파일로부터의 변종 파일을 대상으로 하여 복수의 공통적인 특징 정보를 악성 여부의 진단을 위한 시그니처 데이터로 저장하고 복수의 공통적인 특징 정보를 조합하여 애플리케이션 실행 파일의 악성 여부를 판별하기 위한 진단 규칙을 저장한 상태에서 파일 진단 모드에 진입하는 단계(S201)와, 파일 진단 모드의 진입에 따라 기 저장된 진단 규칙을 확인하는 단계(S202)와, 모바일 운영체제 환경에서 파일을 탐색하여 모바일 운영체제 실행 파일을 판별하는 단계(S203 및 S204)와, 판별된 모바일 운영체제 실행 파일로부터 기 저장된 진단 규칙에 따라 공통적인 특징 정보에 대응하는 정보를 수집하는 단계(S205)와, 수집된 공통적인 특징 정보에 대응하는 정봐와 기 저장된 시그니처 데이터를 비교하여 애플리케이션 실행 파일의 악성 여부를 판단하는 단계(S207)와, 판단에 의해 애플리케이션 실행 파일의 악성 여부 판별 결과를 외부에 제공하는 것 등과 같은 악성애플리케이션 처리를 수행하는 단계(S208)를 포함한다. 예컨대, 단계 S201에서 진단 대상 애플리케이션 실행 파일의 악성 여부를 판별하기 위한 진단 규칙을 저장할 때에 외부로부터 진단 규칙의 설정이 요청되면 해당 요청에 따라 진단 규칙을 설정할 수 있다.
이하, 도 1 내지 도 7를 참조하여 본 발명의 실시 에에 따른 악성 애플리케이션 진단 장치에 의한 악성 애플리케이션 진단 방법을 좀 더 자세히 살펴보기로 한다.
먼저, 악성 애플리케이션 진단 장치(100)의 시그니처 저장부(140)는 모바일 운영체제 환경에서 구동될 수 있는 악성 애플리케이션 실행 파일과 그 악성 애플리케이션 실행 파일로부터의 변종 파일을 대상으로 하여 복수의 공통적인 특징 정보를 악성 여부의 진단을 위한 시그니처 데이터로 저장한다.
여기서, 시그니처 저장부(140)가 시그니처 데이터로 저장하는 복수의 공통적인 특징 정보는 애플리케이션 실행 파일에 필수적으로 포함되는 폴더 또는 파일로부터 추출한다. 예컨대, 안드로이드 패키지(APK) 파일의 META-INF 폴더(20)와 AndroidManifest.xml 파일(10), classes.dex 파일(30) 또는 resources.arsc 파일(40)로부터 복수의 공통적인 특징 정보를 추출할 수 있다.
이러한 시그니처 저장부(140)에 저장되는 시그니처 데이터는 모바일 운영체제 환경에서 구동되는 진단 대상 애플리케이션 실행 파일로부터 정보 수집부(110)가 수집하는 정보와 동일한 종류의 정보이다. 이러한 시그니처 데이터의 세부적인 설명은 단계 S205에서 정보 수집부(110)에 의한 정보 수집 과정에서 설명하기로 한다.
이처럼 시그니처 저장부(140)에 의한 시그니처 데이터의 저장 과정이 수행되면 악성 애플리케이션 진단 장치(100)는 단계 S201을 통해 파일 진단 모드를 수행할 수 있지만 그 전에 악성 애플리케이션을 진단하기 위한 진단 규칙을 설정하는 과정을 먼저 수행할 수 있다.
이를 위해, 설정부(130)는 악성 애플리케이션 진단 장치(100)에게 각종 명령을 입력할 수 있는 사용자 인터페이스를 제공하며, 사용자 인터페이스를 통해 진단 규칙의 설정이 요청되면 진단 규칙 저장부(150)에 악성 애플리케이션을 진단하기 위한 진단 규칙을 저장한다. 여기서, 진단 규칙이라 함은 시그니처 저장부(140)에 저장된 시그니처 데이터들 중에서 어떤 데이터(들)를 악성 애플리케이션의 진단에 이용할 것이냐를 지정하는 것을 의미한다. 즉, 시그니처 저장부(140)에 저장된 복수의 공통적인 특징 정보를 조합하여 애플리케이션 실행 파일의 악성 여부를 판별하기 위한 진단 규칙을 지정 및 저장할 수 있다.
다음으로, 악성 애플리케이션 진단 장치(100)는 진단 규칙을 저장한 상태에서 파일 진단 모드에 진입한다(S201).
파일 진단 모드에 진입하면 진단 판별부(120)는 진단 규칙 저장부(150)에 기 저장된 진단 규칙을 확인하며, 확인된 진단 규칙에 따라 정보 수집부(110)에게 파일 탐색 및 정보 수집을 요청한다(S202).
정보 수집부(110)는 모바일 운영체제 환경에서 파일을 탐색하며(S203), 탐색된 파일이 모바일 운영체제 실행 파일인지를 판별한다(S204). 예컨대, 안드로이드 플랫폼의 경우 안드로이드 패키지(APK) 파일인지를 판별하는 것이다.
여기서, 정보 수집부(110)는 모바일 운영체제 실행 파일을 대상으로 하여 기 저장된 진단 규칙에 따라 공통적인 특징 정보에 대응하는 정보를 수집한다(S205).
정보 수집부(110)는 구성하는 APK 정보 수집부(111), DEX 정보 수집부(112), 메니페스트 정보 수집부(113), 리소스 정보 수집부(114)는 진단 규칙 저장부(150)에 기 저장된 진단 규칙에 따라 어느 하나 또는 복수가 동작할 수 있다.
APK 정보 수집부(111)는 APK 압축 파일 내의 파일 경로 정보 또는 인증서 정보를 수집한다. 이러한 APK 정보 수집부(111)를 구성하는 파일 트리 구조 추출부(111a), 파일 경로 추출부(111b), 인증서 정보 추출부(111c)는 진단 규칙 저장부(150)에 기 저장된 진단 규칙에 따라 어느 하나 또는 복수가 동작할 수 있다.
파일 트리 구조 추출부(111a)는 APK 압축 파일을 구성하는 파일들의 트리 구조를 추출하여 파일들의 경로에 해당하는 해시값을 추출한다. APK 압축 파일은 반드시 존재해야 하는 파일을 제외하면 제작자가 자율적으로 파일명과 저장경로를 지정할 수 있다. APK 압축 파일에서 파일들의 트리 구조를 추출하여 파일들의 모든 경로명을 해시값으로 추출하며, 추출한 파일들의 모든 경로명에 대응하는 해시값을 동일 유형의 파일을 구분할 수 있는 시그니처로 사용할 수 있다. 대부분의 악성 파일은 한번 만들어지면 이후 변종이 생성되어도 내부 파일 구성이 변경되지 않기 때문에 이 방법의 진단율은 효과적이다
파일 경로 추출부(111b)는 APK 압축 파일 내에 존재하는 특정 파일의 경로를 추출하여 해당 파일의 경로에 해당하는 해시값을 추출한다. 이렇게 APK 압축 파일에 존재하는 특정 파일의 경로와 그 파일의 해시값을 추출하여 동일 유형의 파일을 구분하는 시그니처로 사용할 수 있다. 이는 파일 트리 구조 추출부(111a)를 이용한 것에 비해 더 넓은 범위의 변종 파일을 효과적으로 진단할 수 있다.
인증서 정보 추출부(111c)는 APK 압축 파일 내의 META-INF 폴더(20)에 존재하는 RSA 파일(21)의 자가 서명 정보를 추출한다. 이러한 인증서 정보 추출부(111c)는 자가 서명 정보 중에서 Serial Number, Issure DN 또는 Validity를 추출할 수 있다. 인증서 파일은 APK 압축 파일 내부의 META-INF 폴더(20)에 MANIFEST.MF 파일(23), 사용자지정 파일명.SF 파일(22) 및 SF확장자의 파일과 동일한 파일명.RSA 파일(21)로 존재한다. 이 중 RSA 파일(21)은 X.509 형식의 자가 서명을 포함하고 있으며, X.509 인증서 내용 중 Serial Number, Issure DN, Validity(Not Before, Not After)을 추출 및 조합하여 동일 유형의 파일을 구분하는 시그니처로 사용한다.
DEX 정보 수집부(112)는 classes.dex 파일(30)을 분석하여 JAVA 클래스 파일들의 특징을 추출한다. 이러한 classes.dex 파일(30)는 애플리케이션 제작자가JAVA 프로그래밍 언어로 작성한 코드가 바이너리 형태로 들어있다. classes.dex 파일(30)을 분석하여 JAVA 클래스 파일들의 특징을 추출하여 진단 포인트로 활용한다.
이러한 DEX 정보 수집부(112)를 구성하는 임포트 클래스 추출부(112a), 프로토 타입 추출부(112b), 클래스 리스트 추출부(112c), 클래스 해시 추출부(112d)는 진단 규칙 저장부(150)에 기 저장된 진단 규칙에 따라 어느 하나 또는 복수가 동작할 수 있다.
임포트 클래스 추출부(112a)는 classes.dex 파일(30)에서 포함하는 JAVA 파일들이 임포트하는 외부 클래스 정보의 목록을 이용하여 CRC(Cyclic Redundancy Check)를 구하여 진단 포인트로 활용한다.
프로토 타입 추출부(112b)는 classes.dex 파일(30)에 정의된 프로토 타입 목록을 취합하여 CRC를 구하여 진단 포인트로 활용한다. 이때 사용자 정의 클래스, 함수, 변수는 그 형식만 포함시킬 수 있다.
클래스 리스트 추출부(112c)는 classes.dex 파일(30)에 포함된 JAVA 클래스 파일들의 이름을 나열하여 CRC를 구해 진단 포인트로 활용한다. 두 가지의 CRC를 추출하는데 하나는 클래스의 이름만 나열한 CRC이고, 다른 하나는 클래스의 이름과 경로의 정보도 포함한다. 실제 악성 행위는 JAVA 코드 상에서 발생하게 되는데 해당 클래스에서 추출된 정보를 사용하여 정확하게 악성코드를 탐지할 수 있다. 또한 그 특징을 추출할 때 4개의 레벨로 추출하는 정보에 차등을 두기 때문에 코드의 변형도 탐지해낼 수 있다.
클래스 해시 추출부(112d)는 classes.dex 파일(30)에 포함된 클래스들에 대해 클래스 내부의 속성 값 또는 JAVA 코드 명령어 구문을 추출한다. 첫 번째 추출 대상 정보인 클래스 내부의 속성 값은 static fields size, instance fields size, direct methods size, virtual methods size, static fields name & type, instance fields name & type, method name & type, method registers count, method in-out arguments, method tries length, method instruction size 등이며, 두 번째 해시 추출 대상 정보인 JAVA 코드 명령어 구문은 all opcodes, const value, all const*, return, if, goto, const-string 등이다. 위 항목들 중의 하나 또는 여러 개 값의 조합이 진단 규칙 저장부(150)에 저장된 진단 규칙에 의해 악성 애플리케이션을 판별하기 위해 이용될 수 있다.
메니페이트 정보 수집부(113)는 androidManifest.xml 파일(10)의 내부 정보를 수집한다.
이러한 메니페이트 정보 수집부(113)를 구성하는 애플리케이션 정보 추출부(113a), XML 트리 구조 추출부(113b)는 진단 규칙 저장부(150)에 기 저장된 진단 규칙에 따라 어느 하나 또는 복수가 동작할 수 있다.
애플리케이션 정보 추출부(113a)는 androidManifest.xml 파일(10)에서 애플리케이션에 관한 정보를 추출한다. androidMainfest.xml 파일(10)에는 애플리케이션을 실행하기 위해 시스템이 알아야 하는 기본적인 정보들이 기술되어있다. 이러한 정보들에는 Package Name을 포함하여 Permission, Version(제품, SDK), Receiver, Activity, Service 등이 있으며, 애플리케이션이 업데이트가 될 때 동일한 값 또는 구조로 유지가 되는 경우가 많다. 애플리케이션 정보 추출부(113a)는 애플리케이션이 업데이트 되더라도 쉽게 바뀌지 않는 androidManifest.xml 파일(10)의 내부 정보들을 악성 애플리케이션의 진단을 위해 이용한다. androidManifest.xml 파일(10)은 애플리케이션에 관한 정보들을 문자열의 형태로 표현하고 있다. 애플리케이션의 Package Name이나 Permission 등의 위에서 언급한 모든 정보들을 직접적으로 추출이 가능하기 때문에 고유한 정보를 문자열 기반의 진단 시그니처로 활용이 가능하다.
XML 트리 구조 추출부(113b)는 androidManifest.xml 파일(10)의 XML 트리 구조 정보를 해시값으로 추출한다. androidManifest.xml 파일(10)은 XML의 표준 규격을 따르고 있다. 모든 정보들은 각각의 노드들의 트리 구조 안에 포함이 된다. XML에서의 트리 구조는 생명체의 뼈대와 동일한 것으로 비슷한 기능의 애플리케이션은 이 구조가 동일하다. 이 구조를 해시 형태로 추출하여 진단 시그니처로 이용할 수 있다.
리소스 정보 수집부(114)는 resources.arsc 파일(40) 내의 리소스 구조체들의 형태적인 구성 정보를 해시값으로 추출한다.
예컨대, 한 종류의 악성 모바일 트로이 목마 파일은 작업 성격상 내부적으로 거의 같은 리소스(그림, 문자열)를 가지고 있다. 따라서 이렇게 자주 변경되지 않는 리소스의 특징을 진단 규칙으로 삼으면 한번에 다수의 변종 파일을 진단할 수 있다. 안드로이드 실행 파일은 다양한 리소스(이미지, 문자열, 아이콘, 사운드, 레이아웃, 음악, 동영상, 기타)를 지원한다. 이처럼 다양한 리소스 파일을 지원하기 위해 resources.arsc 파일(40)의 내부는 다양한 형태의 구조체들의 모음으로 되어 있다. 예컨대, BASIC_HEADER, RESOURCE_HEADER, STRING_BLOCK, PACKAGE_BLOCK, TYPE_BLOCK, CONFIG_BLOCK, CONFIG_FLAGS, ENTRY_BLOCK 등이 있다.
리소스 정보 수집부(114)는 resources.arsc 파일(40) 내의 리소스 구조체들의 형태적인 구성을 해시 형태로 추출하여 진단 데이터로 사용한다.
첫째, BASIC_HEADER 개수, resources.arsc 파일(40) 내에 존재하는 각 BASIC_HEADER 구조체의 시작 위치 배열의 해시값을 추출하여 진단 데이터로 사용할 수 있다.
둘째, STRING_BLOCK 구조체에 존재하는 문자열 개수, 전체 문자열 크기, 문자열 위치 배열의 해시값, 전체 문자열 해시값을 추출하여 진단 데이터로 사용할 수 있다.
셋째, PACKAGE_BLOCK 구조체에 존재하는 TYPE_BLOCK 구조체 개수, TYPE_BLOCK 구조체의 TypeId 멤버 배열의 해시값을 추출하여 진단 데이터로 사용할 수 있다.
넷째, CONFIG_BLOCK 구조체 내부의 Entry 개수, SpecNameId 배열의 해시값, Entry 버퍼 시작 위치 배열의 해시값을 추출하여 진단 데이터로 사용할 수 있다.
이러한 리소스 정보 수집부(114)에 의해 수집된 정보를 이용하는 리소스 진단 방식은 같은 그래픽유저인터페이스(GUI : Graphical User Interface)를 사용하는 변종 악성 파일들에게 효과가 좋다.
지금까지 설명한 바와 같이 정보 수집부(110)가 진단 규칙에 따라 정보를 수집하여 진단 판별부(120)에게 제공하며, 진단 판별부(120)는 시그니처 저장부(140)에 기 저장된 시그니처 데이터와 정보 수집부(110)에 의해 수집된 정보를 비교하고(S206), 그 비교 결과에 따라 애플리케이션 실행 파일의 악성 여부를 진단 및 판별한다(S207).
그리고, 진단 판별부(120)에 의해 검사 대상 애플리케이션이 악성으로 판별되면 결과 제공부(160)는 진단 및 판별에 의해 애플리케이션 실행 파일의 악성 여부 판별 결과를 외부에 제공하는 것 등과 같은 악성애플리케이션 처리를 수행한다(S208).
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 악성 애플리케이션 진단 장치 110 : 정보 수집부
111 : APK 정보 수집부 112 : DEX 정보 수집부
113 : 메니페스트 정보 수집부 114 : 리소스 정보 수집부
120 : 진단 판별부 130 : 설정부
140 : 시그니처 저장부 150 : 진단 규칙 저장부
160 : 결과 제공부

Claims (21)

  1. 삭제
  2. 모바일 운영체제 환경에서 구동될 수 있는 악성 애플리케이션 실행 파일과 그 악성 애플리케이션 실행 파일로부터의 변종 파일과의 공통적인 특징 정보를 악성 여부의 진단을 위한 시그니처 데이터로 저장하는 시그니처 저장부와,
    복수의 공통적인 특징 정보를 조합하여 진단 대상 애플리케이션 실행 파일의 악성 여부를 판별하기 위한 진단 규칙이 저장된 진단 규칙 저장부와,
    상기 진단 대상 애플리케이션 실행 파일로부터 상기 진단 규칙에 따라 상기 공통적인 특징 정보에 대응하는 정보를 수집하는 정보 수집부와,
    수집된 상기 대응하는 정보와 상기 시그니처 저장부에 저장된 상기 공통적인 특징 정보를 비교하여 상기 진단 대상 애플리케이션 실행 파일의 악성 여부를 판단하는 진단 판별부와,
    상기 진단 대상 애플리케이션 실행 파일의 악성 여부 판별 결과를 제공하는 결과 제공부를 포함하는
    악성 애플리케이션 진단 장치.
  3. 제 2 항에 있어서,
    상기 악성 애플리케이션 진단 장치는 상기 진단 규칙의 설정을 요청할 수 있는 설정부를 더 포함하며,
    상기 설정부에 의한 요청에 따라 설정된 상기 진단 규칙은 상기 진단 규칙 저장부에 저장되는
    악성 애플리케이션 진단 장치.
  4. 제 2 항에 있어서,
    상기 진단 대상 애플리케이션 실행 파일은 APK(android package) 파일이며,
    상기 정보 수집부는 상기 APK 파일 내의 파일 경로 정보 또는 인증서 정보를 수집하는 APK 정보 수집부를 포함하는
    악성 애플리케이션 진단 장치.
  5. 제 4 항에 있어서,
    상기 APK 정보 수집부는 상기 APK 파일을 구성하는 파일들의 트리 구조를 추출하여 파일들의 경로에 해당하는 해시값을 추출하는 파일 트리 구조 추출부를 포함하는
    악성 애플리케이션 진단 장치.
  6. 제 4 항에 있어서,
    상기 APK 정보 수집부는 상기 APK 파일 내에 존재하는 특정 파일의 경로를 추출하여 해당 파일의 경로에 해당하는 해시값을 추출하는 파일 경로 추출부를 포함하는
    악성 애플리케이션 진단 장치.
  7. 제 4 항에 있어서,
    상기 APK 정보 수집부는 상기 APK 파일 내의 META-INF 폴더에 존재하는 RSA 파일의 자가 서명 정보를 추출하는 인증서 정보 추출부를 포함하는
    악성 애플리케이션 진단 장치.
  8. 제 7 항에 있어서,
    상기 인증서 정보 추출부는 상기 자가 서명 정보 중에서 Serial Number, Issure DN 또는 Validity 중 적어도 하나를 추출하는
    악성 애플리케이션 진단 장치.
  9. 제 2 항에 있어서,
    상기 정보 수집부는 상기 진단 대상 애플리케이션 실행 파일 내의 DEX 파일을 분석하여 JAVA 클래스 파일들의 특징을 추출하는 DEX 정보 수집부를 포함하는
    악성 애플리케이션 진단 장치.
  10. 제 9 항에 있어서,
    상기 DEX 정보 수집부는 상기 DEX 파일에서 포함하는 JAVA 파일들이 임포트하는 외부 클래스 정보의 목록을 이용하여 CRC를 구하는 임포트 클래스 추출부를 포함하는
    악성 애플리케이션 진단 장치.
  11. 제 9 항에 있어서,
    상기 DEX 정보 수집부는 상기 DEX 파일에 정의된 프로토 타입 목록을 취합하여 CRC를 구하는 프로토 타입 추출부를 포함하는
    악성 애플리케이션 진단 장치.
  12. 제 9 항에 있어서,
    상기 DEX 정보 수집부는 상기 DEX 파일에 포함된 JAVA 클래스 파일들의 이름을 나열하여 CRC를 구하는 클래스 리스트 추출부를 포함하는
    악성 애플리케이션 진단 장치.
  13. 제 9 항에 있어서,
    상기 DEX 정보 수집부는 상기 DEX 파일에 포함된 클래스들에 대해 클래스 내부의 속성 값 또는 JAVA 코드 명령어 구문을 추출하는 클래스 해시 추출부를 포함하는
    악성 애플리케이션 진단 장치.
  14. 제 2 항에 있어서,
    상기 정보 수집부는 상기 진단 대상 애플리케이션 실행 파일 내의 androidManifest.xml 파일에서 내부 정보를 수집하는 메니페스트 정보 수집부를 포함하는
    악성 애플리케이션 진단 장치.
  15. 제 14 항에 있어서,
    상기 메니페스트 정보 수집부는 상기 androidManifest.xml 파일에서 애플리케이션에 관한 정보를 추출하는 애플리케이션 정보 추출부를 포함하는
    악성 애플리케이션 진단 장치.
  16. 제 14 항에 있어서,
    상기 메니페스트 정보 수집부는 상기 androidManifest.xml 파일의 XML 트리 구조 정보를 해시값으로 추출하는 XML 트리 구조 추출부를 포함하는
    악성 애플리케이션 진단 장치.
  17. 제 2 항에 있어서,
    상기 정보 수집부는 resources.arsc 파일 내의 리소스 구조체들의 형태적인 구성 정보를 해시값으로 추출하는 리소스 정보 수집부를 포함하는
    악성 애플리케이션 진단 장치.
  18. 삭제
  19. 모바일 운영체제 환경에서 구동될 수 있는 악성 애플리케이션 실행 파일과 그 악성 애플리케이션 실행 파일로부터의 변종 파일과의 공통적인 특징 정보를 악성 여부의 진단을 위한 시그니처 데이터로 저장하는 단계와,
    복수의 공통적인 특징 정보를 조합하여 진단 대상 애플리케이션 실행 파일의 악성 여부를 판별하기 위한 진단 규칙을 저장하는 단계와,
    상기 진단 대상 애플리케이션 실행 파일로부터 상기 진단 규칙에 따라 상기 공통적인 특징 정보에 대응하는 정보를 수집하는 단계와,
    수집된 상기 대응하는 정보와 상기 시그니처 데이터로 저장된 상기 공통적인 특징 정보를 비교하여 상기 진단 대상 애플리케이션 실행 파일의 악성 여부를 판단하는 단계와,
    상기 진단 대상 애플리케이션 실행 파일의 악성 여부 판별 결과를 제공하는 단계를 포함하는
    악성 애플리케이션 진단 방법.
  20. 제 19 항에 있어서,
    상기 악성 애플리케이션 진단 방법은 상기 진단 규칙의 설정을 요청 받는 단계를 더 포함하며,
    상기 설정의 요청에 따라 상기 진단 규칙을 저장하는
    악성 애플리케이션 진단 방법.
  21. 제 19 항 또는 제 20 항의 상기 악성 애플리케이션 진단 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.
KR20120097262A 2012-09-03 2012-09-03 악성 애플리케이션 진단 장치 및 방법 KR101246623B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR20120097262A KR101246623B1 (ko) 2012-09-03 2012-09-03 악성 애플리케이션 진단 장치 및 방법
JP2015529660A JP5992622B2 (ja) 2012-09-03 2013-07-09 悪意あるアプリケーション診断装置及び方法
US14/425,358 US9525706B2 (en) 2012-09-03 2013-07-09 Apparatus and method for diagnosing malicious applications
PCT/KR2013/006095 WO2014035043A1 (ko) 2012-09-03 2013-07-09 악성 애플리케이션 진단 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20120097262A KR101246623B1 (ko) 2012-09-03 2012-09-03 악성 애플리케이션 진단 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101246623B1 true KR101246623B1 (ko) 2013-03-25

Family

ID=48182424

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20120097262A KR101246623B1 (ko) 2012-09-03 2012-09-03 악성 애플리케이션 진단 장치 및 방법

Country Status (4)

Country Link
US (1) US9525706B2 (ko)
JP (1) JP5992622B2 (ko)
KR (1) KR101246623B1 (ko)
WO (1) WO2014035043A1 (ko)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014157826A1 (ko) * 2013-03-28 2014-10-02 (주)엠더블유스토리 스마트 기기 기반 악성코드의 침입을 차단하기 위한 시스템 및 그 방법
KR20150008033A (ko) * 2014-12-30 2015-01-21 주식회사 안랩 모바일 단말기의 악성 코드 검사 방법 및 장치
WO2015056885A1 (ko) * 2013-10-16 2015-04-23 (주)이스트소프트 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법
KR101564999B1 (ko) 2015-01-26 2015-11-03 주식회사 안랩 스크립트진단장치 및 스크립트 진단 방법
KR101628837B1 (ko) * 2014-12-10 2016-06-10 고려대학교 산학협력단 악성 어플리케이션 또는 악성 웹사이트 탐지 방법 및 시스템
KR20170016709A (ko) 2015-08-04 2017-02-14 주식회사 안랩 다중 코어 프로세서에 기반한 악성 코드 탐지 장치 및 방법
KR101842263B1 (ko) 2016-08-26 2018-05-14 단국대학교 산학협력단 어플리케이션에 대한 역공학 차단 방법 및 장치
KR20190080445A (ko) 2017-12-28 2019-07-08 숭실대학교산학협력단 악성코드 검출을 위한 화이트리스트 구축 방법 및 이를 수행하기 위한 기록매체 및 장치
KR20210108811A (ko) * 2020-02-26 2021-09-03 아주대학교산학협력단 랜섬웨어 감지 방법 및 장치

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9313219B1 (en) * 2014-09-03 2016-04-12 Trend Micro Incorporated Detection of repackaged mobile applications
US9519780B1 (en) * 2014-12-15 2016-12-13 Symantec Corporation Systems and methods for identifying malware
TWI541669B (zh) * 2015-01-05 2016-07-11 Rangecloud Information Technology Co Ltd Detection systems and methods for static detection applications, and computer program products
RU2624552C2 (ru) * 2015-06-30 2017-07-04 Закрытое акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины
US10505982B2 (en) * 2015-10-23 2019-12-10 Oracle International Corporation Managing security agents in a distributed environment
GB2555859B (en) * 2016-11-15 2020-08-05 F Secure Corp Remote malware scanning
KR101857001B1 (ko) * 2017-03-03 2018-05-14 숭실대학교산학협력단 안드로이드 동적 로딩 파일 추출 방법, 이를 수행하기 위한 기록 매체 및 시스템
KR101992698B1 (ko) * 2017-06-16 2019-06-25 라인 가부시키가이샤 치팅 어플리케이션 식별 방법 및 시스템
CN109558732A (zh) * 2017-09-27 2019-04-02 武汉斗鱼网络科技有限公司 一种防止应用程序文件被篡改的方法及服务器
US10671370B2 (en) * 2018-05-30 2020-06-02 Red Hat, Inc. Distributing file system states
WO2020046463A1 (en) * 2018-08-28 2020-03-05 Symantec Corporation Software supply chain hardening via two-factor application integrity certification and monitoring
CN111045686B (zh) * 2019-12-16 2023-05-30 北京智游网安科技有限公司 一种提高应用反编译速度的方法、智能终端及存储介质
US11436331B2 (en) 2020-01-16 2022-09-06 AVAST Software s.r.o. Similarity hash for android executables
WO2022025650A1 (ko) * 2020-07-29 2022-02-03 시큐차트 비.브이. 어플리케이션 검증 시스템 및 검증방법
EP4095727A1 (en) * 2021-05-28 2022-11-30 AO Kaspersky Lab System and method for detecting potentially malicious changes in applications
US11886584B2 (en) 2021-05-28 2024-01-30 AO Kaspersky Lab System and method for detecting potentially malicious changes in applications

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101161493B1 (ko) * 2010-01-18 2012-06-29 (주)쉬프트웍스 안드로이드 단말 플랫폼에서의 악성 코드와 위험 파일의 진단 방법

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7210168B2 (en) * 2001-10-15 2007-04-24 Mcafee, Inc. Updating malware definition data for mobile data processing devices
JP3992136B2 (ja) * 2001-12-17 2007-10-17 学校法人金沢工業大学 ウイルス検出方法および装置
JP2008192122A (ja) * 2007-01-09 2008-08-21 Nec Corp 悪意メール検出装置、検出方法およびプログラム
KR100878895B1 (ko) * 2007-02-08 2009-01-15 삼성전자주식회사 휴대단말 악성코드 처리장치 및 그 처리 방법
KR100992434B1 (ko) 2008-07-07 2010-11-05 주식회사 안철수연구소 확장자를 위장한 파일을 탐지하는 방법 및 그 장치
US9781148B2 (en) * 2008-10-21 2017-10-03 Lookout, Inc. Methods and systems for sharing risk responses between collections of mobile communications devices
US9235704B2 (en) * 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US20110154495A1 (en) * 2009-12-21 2011-06-23 Stranne Odd Wandenor Malware identification and scanning
KR101228899B1 (ko) 2011-02-15 2013-02-06 주식회사 안랩 벡터량 산출을 이용한 악성코드의 분류 및 진단 방법과 장치
GB2531514B (en) * 2014-10-17 2019-10-30 F Secure Corp Malware detection method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101161493B1 (ko) * 2010-01-18 2012-06-29 (주)쉬프트웍스 안드로이드 단말 플랫폼에서의 악성 코드와 위험 파일의 진단 방법

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014157826A1 (ko) * 2013-03-28 2014-10-02 (주)엠더블유스토리 스마트 기기 기반 악성코드의 침입을 차단하기 위한 시스템 및 그 방법
US9875356B2 (en) 2013-03-28 2018-01-23 Mwstory Co., Ltd. System for preventing malicious intrusion based on smart device and method thereof
WO2015056885A1 (ko) * 2013-10-16 2015-04-23 (주)이스트소프트 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법
KR101628837B1 (ko) * 2014-12-10 2016-06-10 고려대학교 산학협력단 악성 어플리케이션 또는 악성 웹사이트 탐지 방법 및 시스템
KR20150008033A (ko) * 2014-12-30 2015-01-21 주식회사 안랩 모바일 단말기의 악성 코드 검사 방법 및 장치
KR101581262B1 (ko) * 2014-12-30 2016-01-04 주식회사 안랩 모바일 단말기의 악성 코드 검사 방법 및 장치
KR101564999B1 (ko) 2015-01-26 2015-11-03 주식회사 안랩 스크립트진단장치 및 스크립트 진단 방법
KR20170016709A (ko) 2015-08-04 2017-02-14 주식회사 안랩 다중 코어 프로세서에 기반한 악성 코드 탐지 장치 및 방법
KR101842263B1 (ko) 2016-08-26 2018-05-14 단국대학교 산학협력단 어플리케이션에 대한 역공학 차단 방법 및 장치
KR20190080445A (ko) 2017-12-28 2019-07-08 숭실대학교산학협력단 악성코드 검출을 위한 화이트리스트 구축 방법 및 이를 수행하기 위한 기록매체 및 장치
KR20210108811A (ko) * 2020-02-26 2021-09-03 아주대학교산학협력단 랜섬웨어 감지 방법 및 장치
KR102345016B1 (ko) * 2020-02-26 2021-12-29 아주대학교 산학협력단 랜섬웨어 감지 방법 및 장치

Also Published As

Publication number Publication date
US9525706B2 (en) 2016-12-20
JP5992622B2 (ja) 2016-09-14
WO2014035043A1 (ko) 2014-03-06
JP2015526824A (ja) 2015-09-10
US20150229673A1 (en) 2015-08-13

Similar Documents

Publication Publication Date Title
KR101246623B1 (ko) 악성 애플리케이션 진단 장치 및 방법
Li et al. Libd: Scalable and precise third-party library detection in android markets
US8850581B2 (en) Identification of malware detection signature candidate code
US8978141B2 (en) System and method for detecting malicious software using malware trigger scenarios
KR102415971B1 (ko) 악성 모바일 앱 감지 장치 및 방법
CN108536451B (zh) 应用程序的埋点注入方法和装置
CN104834859A (zh) 一种Android应用中恶意行为的动态检测方法
CN103778373A (zh) 病毒检测方法及装置
CN108090360B (zh) 一种基于行为特征的安卓恶意应用分类方法及***
US9405906B1 (en) System and method for enhancing static analysis of software applications
KR101256468B1 (ko) 악성 파일 진단 장치 및 방법
CN111931185A (zh) 一种Java反序列化漏洞检测方法及组件
US10229273B2 (en) Identifying components for static analysis of software applications
CN106933642B (zh) 应用程序的处理方法及处理装置
CN105760761A (zh) 软件行为分析方法和装置
Li Mining androzoo: A retrospect
CN114328168A (zh) 异常检测方法、装置、计算机设备和存储介质
WO2019134771A1 (en) Binary image stack cookie protection
Shahzad Android malware detection using feature fusion and artificial data
EP2819055B1 (en) System and method for detecting malicious software using malware trigger scenarios
KR101530530B1 (ko) 모바일단말의 악성 프로세스 실행 탐지 시스템 및 방법
KR101369254B1 (ko) 악성 애플리케이션 진단장치 및 방법
CN116775040B (zh) 实现代码疫苗的插桩方法及基于代码疫苗的应用测试方法
KR102202923B1 (ko) 공유 모듈 환경 내의 모듈 특정 트레이싱 기법
US11886589B2 (en) Process wrapping method for evading anti-analysis of native codes, recording medium and device for performing the method

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160318

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170320

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180319

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190318

Year of fee payment: 7