정적 분석이 현대 맬웨어에 맞서 어려움을 겪는 이유

링크 표

초록 및 1 소개

2 관련 작업

2.1 맬웨어 분석 및 대책

사이버 보안의 2.2 LLM

3 문제 설정

4 실험 및 데이터 세트 설정

5 실험 결과 및 토론

6 기존 파이프 라인과 통합

7 결론, 인정 및 참고 문헌

2.1 맬웨어 분석 및 대책

맬웨어 분석은 맬웨어가 실행되는지 여부에 따라 정적 및 동적 분석으로 분류 할 수 있습니다. 결과적으로 정적 분석에서 목표는 파일에서 가능한 한 많은 인공물을 추출하여 (양성/악성)를 분류하고, 악성 코드 패밀리 (멀티 클래스 분류)를 결정하고 기능성을 결정하는 것입니다. 이를 달성하기 위해 바이트 스트림, 수입 라이브러리 및 사용 된 기능 또는 바이트 수준 유사성을 사용할 수 있습니다. 반면, 맬웨어 분석가는 샌드 박스, 베어 메탈에서 파일을 실행하거나 에뮬레이션 및 기호 실행을 사용하여 조사중인 파일 (예 : 네트워크 연결, 파일 시스템 및 레지스트리 변경 및 메모리 덤프)을 기록 할 수 있습니다.

위의 내용은 탐지를 피하거나 최소한 맬웨어 분석가의 작업을 방해하는 맬웨어 저자에게 잘 알려져 있습니다. 첫 번째 대책은 자원 측면에서 가장 저렴한 정적 분석을 목표로합니다. 따라서 맬웨어는 기본 기능을 숨기고 바이트 레벨 패턴을 깨려고합니다. 이것은 현재 Packers, Obfuscator 및 Cryptors가 달성합니다.

패커는 실행 파일을 압축하거나 포장하는 소프트웨어 도구입니다. 이 압축은 크기를 줄일뿐만 아니라 코드를 난독 화하는 것입니다. 포장되면 실행 파일의 원래 코드와 데이터는 압축 형식으로 변환 된 다음 압축 압축 스터브로 추가됩니다. 실행 가능성이 실행될 때 메모리에서 실행 파일을 풀거나 압축 해제하는 작은 코드가 있으므로 실행 될 때까지 실제 코드가 공개되지 않습니다. 후자는 정적 분석을 방해하며, 이는 맬웨어를 실행하지 않고 검사하는 것을 수반합니다. 패커는 본질적으로 악의적이지 않습니다. 합법적 인 소프트웨어는 종종이를 사용하여 실행 파일의 크기를 줄이고 지적 재산을 보호합니다. 그러나 맬웨어 컨텍스트에서 Packers는 Antimalware 스캐너의 악성 코드를 숨기는 데 사용되며, 종종 포장 된 콘텐츠를 효과적으로 분석하는 데 어려움을 겪습니다. 일부 패커는 또한 맬웨어 분석가의 작업을 더욱 방해하기 위해 방지 방지, 방출 방지 및 항해 방지와 같은 추가 기능을 제공합니다.

반면에 암호화는 압축 할뿐만 아니라 실행 파일의 컨텐츠를 암호화하여 더 난해를 더합니다. 그들은 맬웨어의 코드와 데이터를 암호화하여 적절한 암호 해독 키 또는 알고리즘없이 인간과 안티 바이러스 소프트웨어에 읽을 수 없습니다. 패커와 마찬가지로 암호화자는 암호화 된 실행 파일에 암호 해독 스터브를 추가합니다. 일단 실행되면,이 스터브는 메모리의 맬웨어를 해독하여 정적 분석 도구에서 감지 할 수없는 상태에서 의도 한대로 실행할 수 있습니다. 암호화는 패커보다 더 정교하며 안티 바이러스 소프트웨어로 탐지를 피하도록 특별히 설계되었습니다. 복잡한 암호화 알고리즘을 사용하고 자주 키를 변경하여 서명 기반 탐지를 피할 수 있습니다. 일부 고급 암호화는 또한 다형성과 같은 기술을 사용합니다. 모든 반복 또는 변성으로 암호화 변경; 각 반복마다 기본 코드를 변경하여 각 반복에 고유 한 맬웨어 변형을 생성하여 더욱 복잡한 탐지 및 분석을 수행합니다. 이론적으로는 패커와 암호화가 다르지만 대부분의 현대 패커에는 일부 암호화 체계가 있습니다.

맬웨어 회피 및 항 분석 방법에 대한 자세한 내용은 관심있는 독자가 [3, 1, 11, 12].