악성코드의 DGA DNS 유사도 분석을 통한 APT 공격 탐지
APT Attack Detection based on DGA DNS Similarity Analysis of Malware
- 주제(키워드) APT , malicious code , DGA DNS , n-gram , Data Analysis
- 발행기관 아주대학교
- 지도교수 김강석
- 발행년도 2018
- 학위수여년월 2018. 8
- 학위명 석사
- 학과 및 전공 정보통신대학원 사이버보안
- 실제URI http://www.dcollection.net/handler/ajou/000000027816
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
최근 해킹은 특정대상을 목표로 은밀하고 지속적으로 공격하는 것이 특징이다. 이러한 공격 형태를 지능형 지속 위협 (APT, Advanced Persistent Threat)이라 한다. APT 공격은 다양한 공격기법을 활용하여 기존 보안 솔루션을 우회하여 대응하기가 점점 더 어려워지고 있다. APT 공격은 특정목표의 보안을 우회하기 위해 지속적으로 취약점 찾기를 시도하는데, 이때 가장 중요한 특징은 공격 시도가 마치 네트워크 정상 행위로 인식되도록 가장하는 것이다. 즉, 공격자는 보안 솔루션의 임계점(Threshold)을 넘지 않으면서 은밀하게 공격을 시도한다. 그러므로 기존 보안 솔루션의 탐지 기법으로는 APT 공격을 탐지하기 매우 어려우며 탐지되더라도 피해를 입고 나서 뒤늦게 발견되는 경우가 많다. 이러한 공격 특징에 대응하기 위해서는 APT 공격 단계의 특징을 고려한 탐지 기법을 설계해야 한다. 본 논문에서는 APT 공격 단계 중 감염 host와 C&C Server 간 통신 단계의 특징을 통해 공격 징후를 탐지하는 것을 목표로 한다. APT 공격에서 감염 host와 C&C(Command and Control) Server 간 통신단계는 공격 목표의 내부로 침입하기 위한 사전단계에 해당한다. 공격자는 감염 host를 최대 다수 확보 후 이들을 제어할 C&C Server를 구성하는데 이 과정에서 감염 host와 C&C Server 간 간헐적인 통신이 이루어진다. 이때 C&C Server의 IP 또는 DNS가 1개로 고정된 채 통신이 이뤄지면, 보안 솔루션에 의해 차단될 가능성이 매우 높다. 때문에 이를 은폐하기 위한 다양한 시도가 이루어졌다. 기존에 는 IP Flux 및 DNS Flux를 활용하여 C&C Server의 위치를 숨기기 위해 가상의 dummy IP/DNS를 다수 노출시키는 방식 으로 추적을 지연시켰으나, 최근의 은폐 방식은 DGA(Domain Generation Algorithm)을 적용한 동적 DNS 생성을 통해 C&C Server를 탐지로부터 은폐시킨다. 본 논문에서는 DGA DNS 탐지를 위해 텍스트 마이닝 알고리즘인 n-gram을 활용하여 100만개의 정상 DNS 리스트 (Alexa Top 1 million site)와 실제 악성코드의 DGA가 생성한 DNS 리스트의 유사도를 비교한다. 이를 통해 DGA DNS 를 활용한 C&C Server 은폐를 확인하고, 이를 APT 공격 징후로 판별하는 것을 목표로 한다.
more목차
제 1 장 서론 1
1.1 연구 배경 및 목적 1
1.2 논문 구성 3
제 2 장 APT 공격 형태 및 사례 분석 4
2.1 APT 공격 특성 4
2.1.1 APT 공격의 정의 5
2.1.2 APT 공격 단계 8
2.2 APT 공격의 시작 - Stuxnet (2010.7) 10
2.3 3.20 사이버테러 (2013.3) 14
2.4 사이버범죄 집단(Carbanak) 금융사 해킹 (2013 ~ 지속) 17
2.5 APT 공격의 진화 랜섬웨어(Locky) 협박 (2015 ~ 지속) 20
제 3 장 APT 공격 탐지 연구 동향 23
3.1 Sandbox 기반 APT 탐지 23
3.2 DNS 레코드 기반 APT 탐지 26
3.2.1 DNS Fast Flux 개념 27
3.2.2 모니터링을 통한 DNS Fast Flux 공격 탐지 30
3.2.3 Passive DNS를 이용한 DNS Fast Flux 탐지 33
3.2.4 TTL을 이용한 DNS Fast Flux 탐지 35
3.3 로그 상관관계 분석 기반 공격 탐지 36
3.4 빅 데이터 기술을 활용한 공격 탐지 37
제 4 장 DGA DNS 유사도 분석을 통한 APT 공격 탐지 39
4.1 DNS 변경을 통한 APT 공격 징후 탐지 42
4.2 DGA DNS로 은폐된 C&C Server 탐지 설계 47
4.2.1 n-gram 분석방법 47
4.2.2 n-gram을 적용한 DGA DNS 탐지 설계모델 50
4.3 DGA DNS 탐지 실험 결과 56
제 5 장 결론 64
참고문헌 65
Abstract 71
