[논문]MacOS에서 파일확장자 관리를 통한 랜섬웨어 탐지 및 차단 방법

윤정무; 류재철

doi:10.13089/jkiisc.2017.27.2.251

MacOS에서 파일확장자 관리를 통한 랜섬웨어 탐지 및 차단 방법
How to Detect and Block Ransomware with File Extension Management in MacOS 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.2, 2017년, pp.251 - 258

초록
AI-Helper

랜섬웨어를 비롯한 대부분의 악성코드들은 Windows 운영체제를 대상으로 제작된다. 점유율이 높은 운영체제를 목표로 삼아야 그만큼 피해가 더 커지기 때문이다. 하지만 최근 몇 년 전부터 MacOS의 운영체제의 점유율이 꾸준히 증가하고 있다. 사람들에게 점점 많이 사용되기 시작하면서 MacOS운영체제에서 동작하는 악성코드의 수도 점점 늘어나고 있는 상황이다. 랜섬웨어는 2015년부터 우리나라에 많이 알려지기 시작했으며 점차 피해사례도 증가하고 있다. 2016년 3월에 MacOS용 랜섬웨어가 발견되는 등 더 이상 MacOS도 랜섬웨어로부터 자유롭지 않은 상황이다. 앞으로 계속 발생 할 랜섬웨어에 대처하기 위해서 본 논문은 랜섬웨어를 탐지하기 위한 방법으로 랜섬웨어가 암호화 한 파일의 확장자를 변경하는 것을 이용하였다. 사용자에 의해 확장자가 변경되는 것과 랜섬웨어 프로세스에 의해 확장자가 변경되는 것을 구분함으로써 랜섬웨어 프로세스를 탐지하고 차단하는 방법을 연구했다.

Abstract ▼ AI-Helper

Most malware, including Ransomware, is built for the Windows operating system. This is because it is more harmful to target an operating system with a high share. But in recent years, MacOS's operating system share has steadily increased. As people become more and more used, the number of malicious code running on the MacOS operating system is increasing. Ransomware has been known to Korea since 2015, and damage cases are gradually increasing. MacOS is no longer free from Ransomware, as Ransomware for MacOS was discovered in March 2016. In order to cope with future Ransomware, this paper used Ransomware's modified file extension to detect Ransomware. We have studied how to detect and block Ransomware processes by distinguishing between extensions changed by the user and extensions changed by the Ransomware process.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 MacOS에서 점점 증가할 랜섬웨어로 인한 피해를 줄이고자 랜섬웨어의 공통적인 특징인 파일 확장자변경을 이용한 랜섬웨어 탐지 방법론을 제시하고자 한다. 커널에서는 파일접근 및 제어가 가능하다.
커널에서는 파일접근 및 제어가 가능하다. 이것을 이용하여 랜섬웨어로 판단된 프로세스를 제어하는 기술을 제시하고자 한다.

제안 방법

이 랜섬웨어는 메일을 송장 및 결제내역으로 교묘하게 위장하여 첨부파일을 확인하도록 유도하며, 첨부파일 확인 시 랜섬웨어 감염파일을 서버에서 다운로드받아서 PC를 감염시킨다. 100여 가지의 확장자를 가진 파일을 대상으로 암호화를 수행하며 암호화가 완료된 폴더에 1개의 파일을 신규생성하며 확장자를 locky로 변경한다.
MacOS에서 기본으로 제공하는 Xcode라는 개발도구를 이용하여 Kernel Extension을 구현하였다. Kernel Extension의 세부기능인 File Operation에서는 기본적으로 파일에 대한 이벤트를 탐지할 수 있는 라이브러리를 제공하고 있기 때문에 이것을 활용하여 파일의 Rename이벤트를 수집했다. 파일의 Rename이벤트는 파일이름과 확장자를 구분하지 않고 파일명이 변경되면 발생하기 때문에 Rename이벤트에서 파싱을 통해 확장자가 변경되었는지 확인한다.
MacOS 가상머신환경에서 제안한 방법을 실험했다. 운영체제 버전은 OS X 10.
MacOS에서 기본으로 제공하는 Xcode라는 개발도구를 이용하여 Kernel Extension을 구현하였다. Kernel Extension의 세부기능인 File Operation에서는 기본적으로 파일에 대한 이벤트를 탐지할 수 있는 라이브러리를 제공하고 있기 때문에 이것을 활용하여 파일의 Rename이벤트를 수집했다.
이 랜섬웨어는 MacOS에서 기본적으로 사용하는 웹 브라우저인 Safari에서 사용되는 자바스크립트의 취약점을 이용했다. Safari의 기본설정을 FBI경고페이지로 시작 페이지를 설정하고, 닫기 버튼을 눌려도 계속 경고창이 발생하도록 코드를 수정했다. 이를 해결하기 위해서는 단순히 Safari의 설정을 초기설정으로 되돌리기만 하면 된다.
또한, MacOS의 특성상 Windows에 비해 확장자에 따른 기능이 더 명확하게 구분되기 때문에 사용자입장에서는 파일의 이름을 바꿀 때 확장자를 변경하는 경우는 드물다. 그러므로 제안하는 방법은 파일의 확장자 변경이 짧은 시간 내에 두 번 이상 발생 할 경우, 바뀐 후 확장자가 동일하다면 랜섬웨어로 간주한다.
사용자가 해당 설치파일을 실행하면 시스템에서 랜섬웨어가 동작한다. 또한, 3일간의 대기시간을 가진 후 제어서버에 연결하고, 특정 문서파일 및 데이터파일을 암호화하기 시작했다. 암호화 한 파일들은 확장자를 “.
지금까지 설명한 랜섬웨어들을 살펴보면 공통적으로 랜섬웨어에 의해 암호화된 파일들은 특정 확장자로 확장자가 변경된다는 것이다[5]. 물론 파일을 암호화 한 후 폴더내에 자신만 식별 할 수 있는 신규파일도 생성하지만 파일의 확장자변경을 통해 자신이 암호화 한 파일이 어떤 것들이 있는지 확인한다. 이는, 파일들을 다시 복구하기 위해 복호화를 시도할 때, 대상파일을 지정하기 위한 것이다.
또한 확장자명을 변경한다는 것은 결국 파일명을 변경하는 것과 마찬가지다. 본 논문에서 제안하는 방법은 기존의 랜섬웨어들이 변경하는 확장자명들을 블랙리스트로 등록하여 랜섬웨어를 탐지하고 차단한다. 또, 커널에서는 파일의 이름이 변경될 때 사용자에 의해서 변경된 것인지 랜섬웨어에 의해 변경된 것인지 구분하여 랜섬웨어를 탐지하고 차단한다.
블랙리스트에 있는 확장자와 동일한 확장자로 파일이 변경된다면 랜섬웨어로 간주하고 해당 프로세스를 차단하는지 실험하기 위해서 실제로 악성행위를 하는 악성스크립트를 제작했다. 파이썬 언어를 이용하여 MacOS의 특정 폴더에서 “.
커널에서의 Rename이벤트 수집뿐만 아니라 유저레벨에서 사용자 입력 이벤트수집도 동시에 진행했다. 사용자입력 이벤트는 커널에서 수집하지 못하기 때문에 유저레벨의 어플리케이션과 소켓통신을 하였다. 사용자가 직접 파일의 확장자를 변경하는 경우 결국 엔터키를 타이핑해야하기 때문에 유저레벨의 어플리케이션에서는 엔터키의 입력이 있는지만 확인했다.
피해자가 백업데이터를 통해 복구하지 못하도록 Time Machine 백업 파일까지 암호화를 시도했다. 서버를 통해 얻은 RSA키를 이용하여 랜덤넘버를 생성하며, 이 랜덤넘버를 이용하여 AES암호화 알고리즘으로 대상 파일들을 암호화 하였다. 실제로 파일들을 암호화하고 서버와 통신하여 키를 생성함으로써 피해자 스스로 파일을 복호화하지 못하도록 하는 MacOS에서의 제대로 만들어진 최초의 랜섬웨어인 것이다.
파일명 끝에서부터 온점이 나올 때 까지 검색하고 온점 이전까지를 확장자명으로 인식하도록 한다. 우선적으로 파일명이 파일이름만 바뀐 것인지 확장자까지 바뀐 것인지를 확인하고, 확장자가 바뀌었을 경우 블랙리스트에 있는 확장자로 바뀐 것인지를 확인한다.
일반적인 경우로 적용하기 위해서 1700개 파일의 암호화 및 확장자변경 소모시간의 평균을 이용했다. 즉, 첫 번째 이벤트와 두 번째 이벤트의 시간차이가 0.1108초 이하일 경우 랜섬웨어 프로세스로 간주하고 차단하도록 했다.
키보드 전체 키의 입력을 기록하고 커널과 소켓 통신을 하기에는 커널에 부담을 주기 때문에 Rename이벤트를 수집한 경우에만 키보드입력이벤트도 수집하도록 했다. 즉, 커널에서 Rename 이벤트가 최초 수집되었을 때 파싱을 통해서 확장자만 변경된 것인지를 먼저 확인한다. 만약 확장자만 변경되었다면 유저레벨의 어플리케이션에 지금부터 0.
커널에서 최초 파일이름변경 이벤트를 수집하고 파일 이름이 아닌 확장자가 변경되었을 경우, 키보드의 엔터 이벤트가 발생되었는지를 확인한다. 만약 키보드의 입력이벤트 없이 확장자 변경이 일어났다면 사용자에 의한 변경이 아니기 때문에 랜섬웨어 프로세스로 간주한다.
커널에서의 Rename이벤트 수집뿐만 아니라 유저레벨에서 사용자 입력 이벤트수집도 동시에 진행했다. 사용자입력 이벤트는 커널에서 수집하지 못하기 때문에 유저레벨의 어플리케이션과 소켓통신을 하였다.
제안한 방법은 유저레벨 어플리케이션에서는 계속 엔터키입력을 확인하고 메시지를 보내서 커널에서 확인하는 것이지만 엔터키만 식별하는 것이 불가능했다. 키보드 전체 키의 입력을 기록하고 커널과 소켓 통신을 하기에는 커널에 부담을 주기 때문에 Rename이벤트를 수집한 경우에만 키보드입력이벤트도 수집하도록 했다. 즉, 커널에서 Rename 이벤트가 최초 수집되었을 때 파싱을 통해서 확장자만 변경된 것인지를 먼저 확인한다.
Kernel Extension의 세부기능인 File Operation에서는 기본적으로 파일에 대한 이벤트를 탐지할 수 있는 라이브러리를 제공하고 있기 때문에 이것을 활용하여 파일의 Rename이벤트를 수집했다. 파일의 Rename이벤트는 파일이름과 확장자를 구분하지 않고 파일명이 변경되면 발생하기 때문에 Rename이벤트에서 파싱을 통해 확장자가 변경되었는지 확인한다. 또한, Table 1의 확장자리스트를 저장할 배열을 생성해서 블랙리스트를 등록했다.
encrypted”로 변경하였으며 암호화 과정이 완료되고 난 후 KeRanger는 피해자에게 특정주소로 가상화폐로 입금할 것을 요구했다. 피해자가 백업데이터를 통해 복구하지 못하도록 Time Machine 백업 파일까지 암호화를 시도했다. 서버를 통해 얻은 RSA키를 이용하여 랜덤넘버를 생성하며, 이 랜덤넘버를 이용하여 AES암호화 알고리즘으로 대상 파일들을 암호화 하였다.

대상 데이터

총 19개의 랜섬웨어를 조사한 결과 Table 1과 같이 확장자를 변경하는 것을 알 수 있다. 31개의 랜섬웨어에 대한 변경확장자는 총 33개로 이를 활용하여 블랙리스트를 만들었다. 하지만 경우에 따라서 아예 확장자를 변경하지 않는 랜섬웨어도 있었고 어떤 랜섬웨어는 랜덤한 문자열로 바꾸는 경우도 있었다.

데이터처리

실제로 문서파일이 100MB가 넘을 경우도 흔하지 않다. 일반적인 경우로 적용하기 위해서 1700개 파일의 암호화 및 확장자변경 소모시간의 평균을 이용했다. 즉, 첫 번째 이벤트와 두 번째 이벤트의 시간차이가 0.

이론/모형

pdf”확장자를 가진 파일만 검색해서 AES암호화 알고리즘으로 암호화하였다.
1108초 이하면서 키보드입력이 없으면 랜섬웨어로 간주하고 해당 프로세스의 파일 접근권한을 차단했다. 프로세스의 파일접근권한을 차단하는 것은 Kernel Extension의 Vnode를 이용했다.

성능/효과

비교적 안전하다고 생각했고, 제조사인 Apple사 또한 안전하다고 주장해왔던 MacOS에서의 랜섬웨어의 등장으로 인해 더 이상 MacOS도 랜섬웨어로부터 안전하지 않다는 것을 알 수 있다. 이러한 상황에서 본 논문에서 제안하는 방법을 이용한다면 앞으로 발생할 랜섬웨어에 대한 위협으로부터 능동적으로 대처가능하다.
이렇듯 악성코드는 점차 목표가 명확해지고, 단순히 재미가 아닌 체계적이고 더 심각한 악영향을 미치도록 진화하고 있다. 악성코드는 최대한 많은 피해를 입히기 위해서 현재 가장 많이 사용 중인 Windows운영체제의 PC를 대상으로 악성코드가 가장 많이 제작되었고 유포되었다. 두 번째로 높았던 Linux계열의 운영체제 또한 많은 악성코드가 존재한다.
제안한 방법은 유저레벨 어플리케이션에서는 계속 엔터키입력을 확인하고 메시지를 보내서 커널에서 확인하는 것이지만 엔터키만 식별하는 것이 불가능했다. 키보드 전체 키의 입력을 기록하고 커널과 소켓 통신을 하기에는 커널에 부담을 주기 때문에 Rename이벤트를 수집한 경우에만 키보드입력이벤트도 수집하도록 했다.
커널에서 확장자관리를 통해서 충분히 랜섬웨어를 탐지하고 차단 할 수 있음을 확인했다. 하지만 이 방법은 랜섬웨어가 파일을 암호화 한 후 파일의 확장자를 변경한다는 전제하에 가능하다.
이러한 이유로 2015년 11월까지만 해도 Apple사에서는 MacOS용 랜섬웨어/암호화 바이러스는 절대 없을 것이라고 주장했다. 하지만 주장한 지 몇 달이 채 안돼서 브라질의 보안 전문가 Rafael Salema Marques가 공개한 시연 비디오에는 MacOS에서도 충분히 랜섬웨어가 제작 될 수 있음을 확인 할 수 있었다. 실제로, 2016년 3월에 MacOS를 대상으로 하는 랜섬웨어인 KeRanger가 발견되었다.

후속연구

비교적 안전하다고 생각했고, 제조사인 Apple사 또한 안전하다고 주장해왔던 MacOS에서의 랜섬웨어의 등장으로 인해 더 이상 MacOS도 랜섬웨어로부터 안전하지 않다는 것을 알 수 있다. 이러한 상황에서 본 논문에서 제안하는 방법을 이용한다면 앞으로 발생할 랜섬웨어에 대한 위협으로부터 능동적으로 대처가능하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	KeRanger의 능력은?	실제로, 2016년 3월에 MacOS를 대상으로 하는 랜섬웨어인 KeRanger가 발견되었다. 이 랜섬웨어는 개발자서명을 훔쳐서 사용했으며 정상적인 개발자의 서명을 통해 보안 매커니즘을 우회했다. 사용자끼리 파일을 공유하는 프로그램의 설치파일에 악성 스크립트를 포함시키고, 설치 시 지정한 서버에서 랜섬웨어 다운로드 및 실행하도록 한 것이다. MacOS에서는 Application을 최초 설치 할 때 관리자 로그인을 하므로 랜섬웨어는 쉽게 관리자 권한을 얻어 파일들을 암호화 할 수 있었다.
	KeRanger는 무엇을 대상으로 하는가?	하지만 주장한 지 몇 달이 채 안돼서 브라질의 보안 전문가 Rafael Salema Marques가 공개한 시연 비디오에는 MacOS에서도 충분히 랜섬웨어가 제작 될 수 있음을 확인 할 수 있었다. 실제로, 2016년 3월에 MacOS를 대상으로 하는 랜섬웨어인 KeRanger가 발견되었다. 이 랜섬웨어는 개발자서명을 훔쳐서 사용했으며 정상적인 개발자의 서명을 통해 보안 매커니즘을 우회했다.
	랜섬웨어가 타인의 컴퓨터에 무단으로 침입하고 사용자 몰래 중요한 파일들을 암호화하는 이유는?	랜섬웨어는 타인의 컴퓨터에 무단으로 침입하고 사용자 몰래 중요한 파일들을 암호화 한다. 암호화 된 파일들은 사용자가 정상적으로 사용 할 수 없게 되므로 해커는 암호화된 파일들을 인질로 삼고 돈을 요구한다[2]. 이렇듯 악성코드는 점차 목표가 명확해지고, 단순히 재미가 아닌 체계적이고 더 심각한 악영향을 미치도록 진화하고 있다.

참고문헌 (9)

Jae-yeon Moon, Young-hyun Chang, "Ransomware Analysis and Method for Minimize the Damage", The Journal of the Convergence on Culture Technology pp.79-85, February, 2016
Hyo-mi Nam, Jung-sook Jang, Yong-hee Jeon,, "A Study on the Attack Mechanism Analysis and Countermeasure of Ransomware", Korean Society For Internet Information pp. 283-284, April, 2016
Cabaj, Krzysztof, Piotr, Grochowski, Konrad, Osojca, Dawid, "Network activity analysis of CryptoWall ransomware", PRZEGLAD ELEKTROTECHNICZNY pp.201-204, November, 2015
Ji-yo Park, "A Study on Malicious Behavior Detection of Ransomware in Windows", Department of Information Security, Graduate School of Infromation and Communications, Konkuk University, 2016
Gyeong-sin Kim, Moon-sik Kang, "Next Generation Cyber Security Issues, Threats and Countermeasures," The institute of electronics engineers of korea pp. 69-77, April, 2014
Byng-tae Park, "Security Threat and Response Measures by Ransomware", Department of Electronics and Computer Engineering, Graduate School of Industry, Chonnam National University, 2016
Ji-young Lee, "A Study on Extraction of Ransomware Evidence by Using Forensic Method", Department of Information Security, Graduate School of Dongguk University, 2016
"New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer", http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
"A study on the behavior monitoring ",http://www.riss.kr/search/detail/DetailView.do?p_mat_typebe54d9b8bc7cdb09&control_no4c2519a94d07172bffe0bdc3ef48d419

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증