METHOD FOR MALWARE DETECTION AND UNPACK OF MALWARE USING STRING AND CODE SIGNATURE

The present invention relates to a method for detecting a malicious code and releasing a packer using a string and a code signature, capable of acquiring a safely unpacked file, which comprises: as step (1) of extracting at least one of a string and a code signature included in a malicious code and a packer from a sample; a step (2) of generating a module rule set for a remote management tool for each attack group, and a packer rule set for a packer; and a step (3) of determining whether to be packed and whether to be an attack group. 본 발명은 스트링과 코드 시그니처를 이용한 악성코드 탐지 및 패커 해제 방법에 관한 것으로서, 보다 구체적으로는 원격 관리 도구를 대상으로 한 악성코드 탐지 및 패커 해제 방법에 있어서, (1) 샘플로부터 원격 관리 도구에 대한 악성코드와 패커가 가지고 있는 스트링 및 코드 시그니처 중 적어도 어느 하나를 추출하는 단계; (2) 상기 단계 (1)에서 추출한 스트링 및 코드 시그니처 중 적어도 어느 하나를 이용하여 공격 그룹별 원격 관리 도구에 대한 모듈 룰셋 및 패커에 대한 패커 룰셋을 생성하는 단계; 및 (3) 상기 단계 (2)에서 생성한 모듈 룰셋 및 패커 룰셋에 따라 매칭되는 파일을 탐지하고, 어떤 룰셋에 해당하는지 판단하여 패킹 여부와 공격 그룹을 판별하는 단계를 포함하되, 상기 단계 (3)은, 패킹된 파일을 가상 머신에서 실행하여 상기 가상 머신의 메모리에서 패킹이 해제된 실행 파일을 덤프하는 것을 그 구성상의 특징으로 한다. 본 발명에서 제안하고 있는 스트링과 코드 시그니처를 이용한 악성코드 탐지 및 패커 해제 방법에 따르면, 원격 관리 도구를 대상으로 한 악성코드의 스트링과 코드 시그니처를 추출하여 룰셋을 생성하고, 생성한 룰셋을 기반으로 원격 관리 도구를 탐지하여, 원격 관리 도구를 대상으로 한 공격 그룹을 판별할 수 있다. 또한, 본 발명에서 제안하고 있는 스트링과 코드 시그니처를 이용한 악성코드 탐지 및 패커 해제 방법에 따르면, 악성코드가 포함된 파일이 패킹되어 있는 경우에도 패킹 여부를 확인하고, 패커를 특정하여 메모리 포렌식을 통해 가상 머신에서 패킹을 해제함으로써 안전하게 패킹이 해제된 파일을 획득할 수 있고, 패킹된 파일에 포함된 악성코드를 탐지하여 탐지율을 증가시킬 수 있다.