[논문]클라우드 기반 랜섬웨어 복구 시스템 설계 및 구현

하상민; 김태훈; 정수환

doi:10.13089/jkiisc.2017.27.3.521

클라우드 기반 랜섬웨어 복구 시스템 설계 및 구현
Design and Implementation of a Cloud-Based Recovery System against Ransomware Attacks 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.3, 2017년, pp.521 - 530

하상민 (숭실대학교) , 김태훈 (숭실대학교) , 정수환 (숭실대학교)

초록
AI-Helper

본 논문에서는 원본 파일뿐 아니라 외부 저장소의 백업파일까지 암호화하는 등 지능화 되어가는 랜섬웨어 공격에 대비하고자, 파일 생성 시점에 자동으로 클라우드 서버에 암호화하여 백업하고 클라이언트에서는 특정 프로세스가 원본 파일에 영향을 주게 되는 경우를 모니터링하여 차단하는 시스템을 설계하였다. 클라이언트에서는 파일 생성 혹은 저장시에 프로세스 식별자, 부모 프로세스 식별자, 실행파일의 해쉬 값을 비교하여 whitelist에서 보호하고자 하는 파일 형식이 다른 프로세스에 의하여 변경이 발생하는 경우를 모니터링하여 차단함으로써 의심되는 행위에 대한 파일 변경을 방지하였다. 본 논문에서 제안하는 시스템을 적용하여 랜섬웨어에 의한 파일의 변경 혹은 삭제 시도로부터 안전하게 보호하여 발생가능 한 피해를 방지할 수 있도록 하였다.

Abstract ▼ AI-Helper

In this paper, we propose a protection solution against intelligent Ransomware attacks by encrypting not only source files but also backup files of external storage. The system is designed to automatically back up to the cloud server at the time of file creation to perform monitoring and blocking in case a specific process affects the original file. When client creates or saves a file, both process identifiers, parent process identifiers, and executable file hash values are compared and protected by the whitelist. The file format that is changed by another process is monitored and blocked to prevent from suspicious behavior. By applying the system proposed in this paper, it is possible to protect against damage caused by the modification or deletion of files by Ransomware.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

랜섬웨어로 인한 금전적인 손실 등의 2차 피해를 예방하기 위해 본 연구에서는 사용자의 데이터를 백업하는 클라우드 서버와 시스템을 모니터링하는 클라 이언트로 구성된 랜섬웨어 복구 시스템을 구축하였 다. 본 논문에서 제안하는 시스템을 이용하면 사용자의 파일들이 생성될 때 자동으로 클라우드 서버에 백업되고, 랜섬웨어가 사용자의 파일에 접근할 때 해당 프로세스를 차단하여 랜섬웨어에 의한 피해를 방지할수 있다.
본 논문에서는 사용자의 파일이 저장되는 시점에 자동으로 클라우드 서버에 해당 파일을 암호화하여 저장함으로써, 랜섬웨어에 의한 피해를 방지하고 랜섬웨어에 감염되었을 때 원본파일을 복구할 수 있는 랜섬웨어 복구 시스템을 제안하였다. 앞선 실험결과와 같이 저장/복원에 약간의 시간이 소요되기는 하지만 암호 알고리즘과 필터 드라이버를 이용한 모니터링 같은 프로그램의 개선을 통해 리소스에 따른 시간을 줄이고자 노력 할 예정이다.

가설 설정

본 논문에서 제안한 랜섬웨어 복구 시스템을 구현하여 레지스트리에 등록된 “c:\program files\hnc\hwp80\hwp.exe”가 아닌 다른 프로세스에 의해 hwp 확장자를 가지는 파일이 쓰기모드로 핸들링 되는 시나리오를 가정하여 1차 실험을 진행하였다.

제안 방법

2차 실험은 구현한 시스템을 통해 암호화 과정과 원격 클라우드에 파일을 저장하는 과정에서 리소스에 따른 소비되는 시간을 측정하는 실험을 진행하였다.
Fig. 10과 같이 “c:\proram files\hnc\hnc80\”의 디렉토리에 “hwp.exe”를 “fake.exe”로 변경한 후 파일 변경을 시도하였을 때, “fake.exe”를 Suspend 상태로 변경한 후 사용 자에게 경고창을 띄워 사용자에게 해당 프로세스의 종료 여부와 프로세스를 계속 진행할 수 있는 선택창을 제공하였다.
시스템에는 여러 프로세스가 동작 중이며, 모니터링 과정에서 정상 프로세스가 파일을 핸들링 하는지 비정상 프로세스가 파일을 핸들링 하는지 여부를 확인하기 위해 각각의 프로세스를 핸들링 하는 과정이 필요하 다. ReadDirectoryChange 함수를 통해 모니터링을 할 경우 어느 프로세스가 어느 파일을 핸들링 하는지 확인이 불가능하기 때문에, CreateProcess와 CreateFile API를 후킹하고 새로 생성되는 프로세 스가 어느 파일을 사용하였는지 확인하였다. 이 과정 에서 발생한 동작에 따라 해당 프로세스를 종료하고 모니터링 하는 디버거를 제작하였다.
따라서 클라우드 서버에 하나의 파일이 같은 디렉 토리 경로에 중복으로 저장되더라도 데이터의 Hash 값으로 파일이름이 저장된다. 다양한 파일의 원본을 저장할 경우, 저장소의 용량 문제 및 효율성 저하로 인한 문제가 발생할 수 있어, 최대 용량 제한 및 최대 저장 횟수를 지정하여 초기 저장 파일부터 순차적 으로 지우고 최근 파일을 저장하는 방식을 적용하였 다. 사용자는 원본파일이 필요한 경우 클라우드 서버에 복원 요청을 하여 저장된 시점을 토대로 원본 파일을 얻게 되는데, 그 절차는 Fig.
이 과정 에서 발생한 동작에 따라 해당 프로세스를 종료하고 모니터링 하는 디버거를 제작하였다. 모니터링 하고자 하는 프로그램을 실행하고 CPU의 Instruction Pointer 레지스터가 모니터링 하고자 하는 함수의 주소를 나타낼 때 해당 프로세스의 제어권을 디버거 에게 넘겨서 스택 메모리 정보와 레지스터 정보를 조작하도록 하였다.
본 논문에서 제안하는 랜섬웨어 복구 시스템은 모니터링을 수행하는 클라이언트와 인증 및 키 관리를 수행하는 인증 서버, 해당 파일들을 암호화하여 백업을 수행하는 클라우드 서버로 구성되어 있다.
본 시스템은 Fig.7.과 같이 후킹된 프로세스가 실행되어 쓰기 모드로 보호되어야 할 확장자를 가진 파일에 접근하고자 할 때, 프로세스 정보를 담은 테이 블을 참조하여 정상인 경우와 비정상인 경우로 나누어 결과를 도출하였다.
의 파이썬 코드는 Windows API 함수 중 CreateFile 함수로 C드 라이브의 핸들을 얻어낸 후 ReadDirectoryChanges 함수로 대상 디스크 드라이브를 모니터링하고 C 드라이브와 하위 폴더 내에서 변화되는 파일의 이벤트(생성, 쓰기, 읽기 등)를 확인할 수 있다. 어떤 프로세스가 어느 파일을 핸들링하는지, 랜섬웨어에 감염되어 파일의 변화가 있는지 모니터링하기 위해 API 후킹 기술을 사용하였다.
ReadDirectoryChange 함수를 통해 모니터링을 할 경우 어느 프로세스가 어느 파일을 핸들링 하는지 확인이 불가능하기 때문에, CreateProcess와 CreateFile API를 후킹하고 새로 생성되는 프로세 스가 어느 파일을 사용하였는지 확인하였다. 이 과정 에서 발생한 동작에 따라 해당 프로세스를 종료하고 모니터링 하는 디버거를 제작하였다. 모니터링 하고자 하는 프로그램을 실행하고 CPU의 Instruction Pointer 레지스터가 모니터링 하고자 하는 함수의 주소를 나타낼 때 해당 프로세스의 제어권을 디버거 에게 넘겨서 스택 메모리 정보와 레지스터 정보를 조작하도록 하였다.
은 모니터링 프로그램을 통해 시스템에서 관리하는 시스템 프로세스을 예외처리하고, 랜섬웨어의 대상이 되는 확장자마다 실행되어야 하는 프로그 램들을 정의한 테이블을 참조하여 프로세스를 후킹하는 과정을 흐름도로 나타낸 것이다. 이후에 Explorer.exe 후킹과 기존에 실행되고 있는 프로그램 정보 획득을 통해 사용자에 의해 실행되는 프로그 램들을 테이블에 등록하여 관리하도록 하였다. Table 1.

성능/효과

528kbytes와 같은 데이터 사이즈가 작은 파일의 암호화 과정과 파일 전송과정은 평균 0.173초가 소비 되었으며, 27,664kbytes와 같은 사이즈가 큰파일에 대해서는 평균 2.286초가 소비되는 것으로 보아 약간의 부하는 발생하지만 사용면에서 크게 문제가 없을 것으로 판단된다.
또한 파일에 접근하는 프로세스의 Hash값과 부모 프로세스를 비교하는 부분을 추가적으로 구현하여 악의적인 프로세스가 관리 테이블에 등록된 프로그램 이름으로 변경하여 파일에 접근하는 경우를 방지하였 다. 예를 들어, hwp 문서는 whitelist 테이블 안에 있는 “c:\program files\hnc\hwp80\hwp.
랜섬웨어로 인한 금전적인 손실 등의 2차 피해를 예방하기 위해 본 연구에서는 사용자의 데이터를 백업하는 클라우드 서버와 시스템을 모니터링하는 클라 이언트로 구성된 랜섬웨어 복구 시스템을 구축하였 다. 본 논문에서 제안하는 시스템을 이용하면 사용자의 파일들이 생성될 때 자동으로 클라우드 서버에 백업되고, 랜섬웨어가 사용자의 파일에 접근할 때 해당 프로세스를 차단하여 랜섬웨어에 의한 피해를 방지할수 있다.

후속연구

2016년 3분기에는 랜섬웨어 피해를 경험한 인터넷 사용자가 전 분기 대비 두 배 이상 늘어난 82만명에 이르며, 미국에서만 2016년 한해 동안 랜섬 웨어에 의한 피해가 10억 달러로 예상되고, 국내 피해도 지속적으로 증가될 전망이다. 또한, PC 외에도 다양한 모바일 단말기가 출시됨에 따라 각각의 플랫 폼을 대상으로 악성행위를 수행할 수 있는 랜섬웨어의 특징 상 그 피해규모는 상당할 것으로 예상된다.
앞선 실험결과와 같이 저장/복원에 약간의 시간이 소요되기는 하지만 암호 알고리즘과 필터 드라이버를 이용한 모니터링 같은 프로그램의 개선을 통해 리소스에 따른 시간을 줄이고자 노력 할 예정이다. 본 논문에서 제안하는 시스템을 적용하여 랜섬웨어에 의해 파일이 오염 되거나 삭제되어도 사용자의 파일을 안전하게 복원하여 랜섬웨어 감염으로 인한 피해를 줄일 수 있을 것이다.
본 논문에서는 사용자의 파일이 저장되는 시점에 자동으로 클라우드 서버에 해당 파일을 암호화하여 저장함으로써, 랜섬웨어에 의한 피해를 방지하고 랜섬웨어에 감염되었을 때 원본파일을 복구할 수 있는 랜섬웨어 복구 시스템을 제안하였다. 앞선 실험결과와 같이 저장/복원에 약간의 시간이 소요되기는 하지만 암호 알고리즘과 필터 드라이버를 이용한 모니터링 같은 프로그램의 개선을 통해 리소스에 따른 시간을 줄이고자 노력 할 예정이다. 본 논문에서 제안하는 시스템을 적용하여 랜섬웨어에 의해 파일이 오염 되거나 삭제되어도 사용자의 파일을 안전하게 복원하여 랜섬웨어 감염으로 인한 피해를 줄일 수 있을 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	랜섬웨어란 무엇인가?	랜섬웨어는 몸값을 의미하는 Ransom 이라는 단어와 제품을 의미하는 Ware 라는 단어의 합성어로써 사용자 동의 없이 전자 기기 매체에 담겨져 있는 사용자 특정 파일들을 암호화 하거나 시스템 제어권 등을 획득한 후, 원래의 상태로 되돌리는 과정에서 금전적 이익을 요구하는 악성코드의 한 종류이다.랜섬웨어가 발견되는 플랫폼은 PC, 모바일 및 IoT 제품이며 Microsoft사의 Windows 운영체제를 대상으로 한 랜섬웨어가 가장 많은 피해를 유발하고 있다.
	다양한 랜섬 웨어 방지 앱들의 출현 배경은 무엇인가?	국내에서 랜섬웨어의 감염으로 인한 금전적인 피해가 증가함에 따라 많은 보안업체에서 다양한 랜섬 웨어 방지 앱들이 출시되고 있다. 하지만 인터넷 브라우저의 취약점인 Drive By Download, 악성코 드가 삽입된 문서 파일을 이메일에 전파 하는 등 여러 가지 감염 경로가 존재하기 때문에 사용자의 데이 터를 백업하는 방법 외에는 완벽하게 랜섬웨어를 차단하기는 어렵다.
	스팸 메일로 인한 랜섬웨어를 예방하기 위해서는 어떻게 해야하는가?	스팸 메일로 인한 랜섬웨어 배포 방식은 이메일에 문서안의 매크로나 JavaScript 파일 또는 실행파일 들을 첨부하여 사용자의 실행을 유도해서 악성코드를 실행하거나 취약점이 포함된 사이트 링크를 이메일 내용에 포함하여 악성코드 감염을 유도하는 방법이 다. 특정 타겟을 대상으로 전파되는 방식이며, 출처가 불분명한 이메일을 수신하였을 때 첨부파일을 바로 실행하지 말고, 해당 이메일을 삭제하는 것을 권고한다.

참고문헌 (10)

"Threat analysis report for the first half of 2016" TrendMicro, 2016.
Ward, Mark. "Cryptolocker victims to get files back for free." BBC News, 2014.
Pathak, P. B., and Yeshwant Mahavidyalaya Nanded, "A dangerous trend of cybercrime: Ransomware growing challenge," International Journal of Advanced Research in Computer Engineering & Technology (IJARCET) 2016
Jaeyeon Moon and Younghyun Chang, "Ransomware Analysis and Method for Minimize the Damage," The Journal of the Convergence on Culture Technology, 2016, p79-85
Oh, Joo-Hyung, Im, Chae-Tae and Jeong, Hyun-Cheol. "Technical Trends and Response Methods of Drive-by Download," Communications of the Korean Institute of Information Scientists and Engineers, 28.
Richet and Jean-Loup, "Extortion on the Internet: the Rise of Crypto-Ransomware." Harvard University. Retrieved October, 2015
Nolen Scaife, Henry Carter, Patrick Traynor and Kevin R.B. Butler, "CryptoLock (and Drop It): Stopping Ransomware Attacks on User Data," International Conference on Distributed Computing Systems, 2016.
Richardson Ronny and Max North, "Ransomware: Evolution, Mitigation and Prevention." International Management Review 13.1, 2017
Miss. Harshada U. Salvi, and Mr. Ravidra V. Kerkar, "Ransomware: A Cyber Extortion," Asian Journal of Cenvergence in Technology, 2015.
Moore, Chris. "Detecting Ransomware with Honeypot Techniques." Cybersecurity and Cyberforensics Conference (CCC), IEEE, 2016, p77-81

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증