ETRI-Knowledge Sharing Plaform

KOREAN
기술이전 검색
Year ~ Transaction Count Keyword

Detail

Technology of collection and reconstruction for Cyber Blackbox's portable executable files

Manager
Kim Jonghyun
Participants
Kim Ik Kyun, Kim Jeong Nyeo, Kim Jonghyun, Moon Dae Sung, Jong-Hoon Lee, Jooyoung Lee, Cho Hyun Sook, Choi Sunoh, Choi Yangseo
Transaction Count
2
Year
2014
Project Code
14MS9500, The Development of Cyber Blackbox and Integrated Security Analysis Technology for Proactive and Reactive Cyber Incident Response, Kim Jonghyun
본 기술은 리눅스 플랫폼 상에서 동장하며 네트워크상에서 전송되는 실행파일인 PE(Portable Executable) 파일을 탐지하고, 이를 재구성하여 원본 실행파일을 도출하는 기술에 관한 것이다.
- 최근 10년 간 PC 기반의 악성코드는 꾸준히 증가하고 있으며 2013년에는 약 1.9억 개의 악성코드가 유포되고 있는 현황이다. 또한 과거 3.20, 6.25 사이버테러 등과 같이 사이버 침해의 대상이 특정 기업, 기관 및 주요 시설을 겨냥하고 있어 그 피해 규모가 사회, 국가적으로 확대되고 있음.
- 이에 고도화된 침해공격에 대한 증거보존, 신속한 원인 분석을 하기 위한 사이버 블랙박스 시스템은 네트워크 트래픽을 수집하여 내부 유입 실행파일의 재구성과 메타정보의 추출을 통해 악성패턴을 탐지하는 기능을 제공함.
- 또한, 악성파일을 탐지함에 있어서 최근에는 알려지지 않은 형태의 악성프로그램을 이용하여 공격이 시도되고 있는바, 알려지지 않은 악성프로그램에 대한 탐지 기술이 매우 중요한 상황임
- 본 기술이전이 포함하고 있는 기술은 네트워크상에서 실행파일을 탐지하고 재구성하여 재구성된 실행파일의 악성여부를 판별할 수 있는 메타정보를 제공하는 기술임.
- 본 기술은 과거의 기술에 비하여 네트워크 프로토콜의 분석 없이 실행파일을 재구성할 수 있다는 점이 타 기술에 비해 비교 우위에 있다는 장점을 가지고 있음
- 본 기술은 네트워크상에서 송수신되는 네트워크 패킷을 분석하여 PE파일의 존재여부를 판단하고, PE파일이 포함되어 있는 경우, 해당 세션에 속하는 네트워크 패킷을 수집함
- 네트워크 패킷으로부터 PE파일에 포함되는 데이터만을 추출하여 PE파일을 재구성함
- 이때, PE파일 자체에는 PE파일의 전체 크기에 대한 정보가 들어있지 않기 때문에 이에 대한 정보를 계산하여 전체 파일크기를 결정하고 해당 크기만큼 파일을 재구성함
- 본 파일 재구성기술은 네트워크 패킷으로부터 직접 PE파일이 존재하고 있음을 확인하여 재구성함으로써 네트워크 응용이나 프로토콜에 대한 해석과정이 필요 없어서 재구성 성능이 매우 높다는 장점을 가지고 있음
가. 기술이전의 내용
- 네트워크상에서 전송되는 실행파일인 PE(Portable Executable) 파일을 탐지하고, 이를 재구성하여 원본 실행파일을 도출하는 기술

A. 기술명: 사이버블랙박스의 실행파일 수집 및 재구성 기술
- 네트워크 트래픽 모니터링 및 PE파일이 포함된 세션 데이터 수집 기술
- PE파일에 포함되는 데이터만을 추출하여 실행파일 재구성 기술
- 악성여부 판단 기술과의 연동 기능


나. 기술이전의 범위

A. 기술명 : 사이버블랙박스의 실행파일 수집 및 재구성 기술
- 소스코드: 실행파일 수집 및 재구성 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서
- 본 기술은 네트워크 보안관제 서비스 업체에서 해당 관리대상 서버의 보안성 강화를 목적으로 활용될 수 있음.
- 고도화된 사이버 침해공격에 대한 조기 탐지/대응하고, 증거보존 및 신속한 원인 분석의 기술적 기반을 제공할 것으로 예상됨.
- 기존 장시간이 소요되었던 PC 기반의 디지털 포렌식 기술의 한계를 보완하여 침해사고 분석시간 단축, 침해사고 증거 선별 및 효율적인 관리를 위해 사이버 수사에 활용될 수 있음.