검색 상세

리눅스 물리메모리 덤프파일을 이용한 심볼정보 재구성 포렌식 도구 구현

주한익 (Joo, Han Ik, 서강대학교 정보통신대학원)

원문보기

초록/요약moremore
최근 리눅스 운영체제를 사용하는 플랫폼의 점유율이 증가함에 따라 악성코드 제작자들은 리눅스 시스템을 대상으로 하는 악성코드들을 제작하기 시작했다. 또한 분석을 어렵게 하기 위해 악성코드에 대한 심볼정보 은닉, 패킹, 코드 난독화와 같은 기법들을 적용하기 시작했다. 결국 분석가들은 은닉된 정보가 노출될 가능성이 높은 메모리상 프로세스 이미지를 파일로 추출하여 분석하는 경우가 빈번해졌다. 패킹 기술을 사용하는 악성코드의 메모리상 프로세스 덤프 파일은 정상적인 ELF 바이너리 포맷 표준을 참조하여 심볼 정보를 재구성할 수 없어 코드분석 과정에서 많은 어려움을 겪게 된다. 이는 메모리에서 언패킹된 실행파일의 심볼정보 및 함수 호출정보 재구성을 수행하는 자동화 도구가 필요하게 되었음을 의미한다. 본 논문에서는 리눅스 프로세스 메모리상에 언패킹된 실행 파일의 심볼정보 및 함수호출 정보를 어떻게 추적해야 하는지 제안한다. 그리고 제안한 방법을 구현한 도구의 성능을 테스트 하고 분석의 효용성을 입증한다.
최근 리눅스 운영체제를 사용하는 플랫폼의 점유율이 증가함에 따라 악성코드 제작자들은 리눅스 시스템을 대상으로 하는 악성코드들을 제작하기 시작했다. 또한 분석을 어렵게 하기 위해 악성코드에 대한 심볼정보 은닉, 패킹, 코드 난독화와 같은 기법들을 적용하기 시작했다. 결국 분석가들은 은닉된 정보가 노출될 가능성이 높은 메모리상 프로세스 이미지를 파일로 추출하여 분석하는 경우가 빈번해졌다. 패킹 기술을 사용하는 악성코드의 메모리상 프로세스 덤프 파일은 정상적인 ELF 바이너리 포맷 표준을 참조하여 심볼 정보를 재구성할 수 없어 코드분석 과정에서 많은 어려움을 겪게 된다. 이는 메모리에서 언패킹된 실행파일의 심볼정보 및 함수 호출정보 재구성을 수행하는 자동화 도구가 필요하게 되었음을 의미한다. 본 논문에서는 리눅스 프로세스 메모리상에 언패킹된 실행 파일의 심볼정보 및 함수호출 정보를 어떻게 추적해야 하는지 제안한다. 그리고 제안한 방법을 구현한 도구의 성능을 테스트 하고 분석의 효용성을 입증한다.
초록/요약moremore
Recently the market share of the platform using the Linux operating system has been increased. And malware authors targeting Linux platform increased too. They use a variety of techniques such as hiding, packing, code obfuscation that hinder analyst from analyzing their malware. When packing is...
Recently the market share of the platform using the Linux operating system has been increased. And malware authors targeting Linux platform increased too. They use a variety of techniques such as hiding, packing, code obfuscation that hinder analyst from analyzing their malware. When packing is applied for a malware, unpacking it is difficult and takes time because executables on the physical memory dump are different from that on the file system. So analysts use executables on physical memory instead of investigating malware binary itself. By analyzing memory dump analysts try to trace the function call information and the symbol information. But standard binary file format of the malware are distorted during it is unpacked for execution. So a tool that reconstruct those information is needed for analysts. In this paper, I propose a symbol information and the function call information reconstruction method for unpacked executable on a Linux process memory and submit test report of the tool.