Malware Characterization using Windows API Call Sequences

 위 문서는 시스템 호출을 모니터링하여 Malware 의 run time 행동을 추출하여, 알려지지 않은 Malware 를 분류시키는 데 있었다.

 악의적인 행동에 사용되는 대표적인 API Pattern 들을 분석한뒤 534 개의 Window API 호출 함수를 26개로 분류 하였다. 그리고, 각각 Code 를 부여하여 나타냈다. 함수에 대한 접근이 아니라 함수들을 특성에 따라 분류하여 접근하였다는 것이 멋있었다.그렇게 40 일에 걸쳐 2600 개 의 Sample 을 분석한 결과 악성코드마다의 특정한 패턴을 발견하였다.

 그 뒤, 파일의 유사도를 체크할 때 사용하는 툴인 ssdeep 를 활용하여 Fuzzy Hash 값을 도출한 뒤 2000 개의 sample 을 대상으로 해당 파일이 어느 악성코드에 해당되는지 판별하도록 하였다.

나아가야할 방향에는 좀 더 많은 sample 과 루트킷과 봇넷 등의 다양한 악성코드 분류, 그리고 다른 OS 에서의 악성코드 검출이라고 적혀있었다. 

 악성코드에 자주 사용되는 API 들을 그 행동에 따라 분류한 뒤 유사도를 측정하여 악성코드를 판별하고 더 나아가 종류까지 판별할 수 있는 기술이 있다는 것을 접할 수 있어서 좋았다. 또 한편으로는 이러한 검출방식에도 불구하고 여전히 발견되지 않는 악성코드들이 있다는 것에 대해서도 내가 아직 부족하다는 것을 많이 느낀다. 아직 보기에는 수준이 높은 보고서였던 것 같지만, 보고서를 보고 해석하는 과정과 몰랐던 용어를 풀어가며 이해하려고 노력했던 과정이 재밌었고, 자극이 되었던 것 같다. 

내 위치에서 차근차근 나아가는 게 제일 중요한 것 같다 ~~

위 자료들은 http://www-users.math.umn.edu/~math-sa-sara0050/space16/slides/space2016121708-06.pdf 의 보고서의 내용을 바탕으로 정리하였습니다.