[논문 리뷰] Automated Behavioral Analysis of Malware A Case Study of WannaCry Ransomware
이 논문은 시스템 로그에서 악성코드 특징을 자동으로 추출하는 행동 분석 방법을 제안한다—일반 로그와 악성코드 주입 로그를 모두 활용하여 워너크라이와 같은 랜섬웨어의 조기 탐지를 가능하게 한다. 쿠크로 샌드박스 로그를 분석함으로써, 다형성 변종조차도 일관된 행동 패턴을 유지하는 특징을 식별하며, 상용 백신이 탐지하지 못한 63개의 샘플을 모두 성공적으로 탐지함으로써 수동 분석에 비해 더 강력하고 확장 가능한 대안을 제공한다.
Ransomware, a class of self-propagating malware that uses encryption to hold the victims' data ransom, has emerged in recent years as one of the most dangerous cyber threats, with widespread damage; e.g., zero-day ransomware WannaCry has caused world-wide catastrophe, from knocking U.K. National Health Service hospitals offline to shutting down a Honda Motor Company in Japan[1]. Our close collaboration with security operations of large enterprises reveals that defense against ransomware relies on tedious analysis from high-volume systems logs of the first few infections. Sandbox analysis of freshly captured malware is also commonplace in operation. We introduce a method to identify and rank the most discriminating ransomware features from a set of ambient (non-attack) system logs and at least one log stream containing both ambient and ransomware behavior. These ranked features reveal a set of malware actions that are produced automatically from system logs, and can help automate tedious manual analysis. We test our approach using WannaCry and two polymorphic samples by producing logs with Cuckoo Sandbox during both ambient, and ambient plus ransomware executions. Our goal is to extract the features of the malware from the logs with only knowledge that malware was present. We compare outputs with a detailed analysis of WannaCry allowing validation of the algorithm's feature extraction and provide analysis of the method's robustness to variations of input data extemdash changing quality/quantity of ambient data and testing polymorphic ransomware. Most notably, our patterns are accurate and unwavering when generated from polymorphic WannaCry copies, on which 63 (of 63 tested) anti-virus (AV) products fail.
연구 동기 및 목표
- 시스템 로그에서 악성코드를 지시하는 행동 특징을 자동으로 추출하여 수작업 분석에 의존도를 낮추는 것.
- 악성코드 시그니처에 대한 사전 지식 없이도 로그 데이터만을 사용하여 랜섬웨어의 암호화 이전 행동 흔적을 식별하는 것.
- 다형성에 강건한 방법을 개발하여 전통적인 백신 도구를 회피하는 악성코드를 탐지하는 것.
- 실제 랜섬웨어(워너크라이)와 다형성 변종을 사용하여 방법의 정확성과 일관성을 검증하는 것.
- 두 가지 핵심 사용 사례를 지원하는 것: 정밀 분석의 가속화와 샌드박스 로그에서 새로운 악성코드 샘플의 자동 행동 프로파일링
제안 방법
- 이 방법은 시스템 로그 집합을 처리한다: 하나는 일반 활동만 포함하고, 다른 하나는 일반 활동과 악성코드 실행을 모두 포함한다.
- 통계적 기법과 패턴 매칭 기법을 적용하여, 악성코드 실행 중에 상당히 빈번하게 발생하는 시스템 호출, 파일 작업, 네트워크 활동의 시퀀스를 식별한다.
- 악성 및 정상 실행 단계 동안 로그 활동 빈도를 비교하는 메트릭을 사용하여 특징의 분류 능력을 평가하고 순위를 매긴다.
- 알고리즘은 워너크라이와 두 개의 다형성 변종으로부터 생성된 쿠크로 샌드박스 로그를 기반으로 훈련되며, JSON 및 HTML 보고서를 입력으로 사용한다.
- 시스템 이벤트의 시간적 순서를 활용하여 행동 흔적을 재구성하며, 파일 스캔, 레지스트리 수정, C2 서버와의 네트워크 통신과 같은 행동에 집중한다.
- 워너크라이의 알려진 행동(파일 생성, 암호화 루틴, C2 통신 포함)에 대한 기준 분석과 비교하여 방법을 검증한다.
실험 결과
연구 질문
- RQ1시스템 로그에서의 자동 특징 추출이 암호화 발생 이전에 랜섬웨어 행동을 신뢰성 있게 식별할 수 있는가?
- RQ2기존 백신 탐지 기준을 회피하는 다형성 랜섬웨어 변종에 대해 이 방법은 얼마나 효과적인가?
- RQ3주변 로그 데이터의 품질이나 양이 변할 경우 이 방법의 강건성은 어느 정도 유지되는가?
- RQ4추출된 행동 패턴을 사용하여 정밀 분석 및 탐지 목적을 위한 정확하고 재사용 가능한 위협 지능을 생성할 수 있는가?
- RQ5시간 효율성과 탐지 정확도 측면에서 수작업 분석에 비해 이 방법은 어떻게 비교되는가?
주요 결과
- 이 방법은 테스트한 63개의 다형성 워너크라이 변종 중 100%를 성공적으로 식별하였으며, 이들 모두가 상용 백신 제품에 의해 탐지되지 않았다.
- 알고리즘은 워너크라이의 기준 분석과 일치하는 일관된 행동 특징 집합을 로그에서 추출하였으며, 이는 파일 스캔, 레지스트리 수정, C2 통신을 포함한다.
- 주변 로그 품질과 양의 변화에 대해 강건성을 보였으며, 다양한 입력 조건에서도 높은 탐지 정확도를 유지하였다.
- 다중 샌드박스 실행에서 추출된 행동 패턴은 안정적이고 재현 가능했으며, 실제 운영 환경에서의 신뢰성을 시사하였다.
- 이 방법은 수작업 로그 분석의 필요성을 크게 줄였으며, 위협 지능 생성과 조기 악성코드 탐지에 대해 확장 가능한 솔루션을 제공한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.