본문 바로가기

5. 방학 활동/보고서 분석

[2021.02.23] 6회차 - 공격 시나리오별 특성 추출에 따른 분류 및 결론

[KISA 연구보고서] "임베디드 리눅스 기반 IoT 기기 악성코드 분석 기술 연구"

 

- 제 5절 공격 시나리오별 특성 추출에 따른 분류

  1. 시나리오 별 하드웨어 사용량 특성 분석

전체 데이터에서 시나리오에 따른 데이터의 분포를 분석, 주성분 상관 분석을 통해 데이터의 차원 축소를 진행한다. 불필요한 특성 제거, 데이터 구분을 위핸 최소한의 데이터 특성을 파악한다.

      가. 정상 작동
    (1)Sensing : 정상 작동 중 센서를 통한 정보 수집 및 전송에 따른 데이터 분포
           >> 정상적인 동작 시 데이터 센싱 값 전송에 따른 수치가 변화에 영향을 많이 받는다.

    (2)Firmware Upgrade & Update

       나. 비정상 작동

  1. Scanning
    Scanning데이터는 IoT Malware에서 IoT디바이스 공격을 위해 네트워크 스캐닝 과정에서 정상 디바이스에서 변화하는 디바이스 정보에 대한 데이터 이다. 이 단계에서 cpu와 네트워크 사용량, TCP 연결 상태가 크게 변화하는 것을 확인 할 수 있다.


  2. Infection
    감염 단계에서는 네트워크 스캐닝 이후 loader에dmlgks IoT Malware를 다운로드 및 설치하는 과정에서 나타나는 데이터를 수집하였다. 주성분을 분석할 때 screeplot과 proportion of variance에서 전체 데이터의 99%이상을 1개의 주성분으로 분석이 가능하고 pc1의 경우 nice 특성과 tcp 연결 상태 값이 가장 높은 것으로 보아 감염단계에 따른 지수로 감염단계에 따른 지수르 감염 단계를 판별하는데 사용될 수 있다. 


  3. Mirai
    IoT Malware의 대표적인 Malware인 Mirai의 감염에 따른 IoT 디바이스가 공격자의 명령에 따라 DDos 공격 시 나타나는 디바이스 데이터를 수집하였다. 주로 나타나는 데이터 특성은 cpu 사용량과 네트워크 송수신량이 크게 변화하였다. PC1의 경우 네트워크 수신량이 가장 수치가 높아 DDos공격에서는 네트워크 송신량이 증가하며 네트워크 특성에 대해 영향을 많이 미치는 것을 알 수 있다.
  4. Cryptojacking

    (1)ssh : IoT디바이스에서 크립토재킹 ssh통신 멀웨어에 의해 가상화폐를 채굴하고 ssh로 전송하는 과정에서 나타나는 디바이스 변화에 대한 데이터
    (2) ssh + zmap : IoT디바이스에서 크립토재킹을 이용한 통신 멀웨어에 의해 가상화폐를 채굴하고 zmap을 이용한 공격자와의 통신세션연결 및 ssh로 전송하는 과정에서 나타나는 디바이스 변화에 대한 데이터
    (3) mining pool : IoT디바이스에서 트립토재킹을 이용한 통신 멀웨어에 의해 mining pool 연결을 통한 가상화폐를 채굴하는 과정에서 나타나는 디바이스 변화에 대한 데이터 이다.\실험결과

2. 실험결과

IoT 기기를 대상으로 한 Malware에 대해 분석하고 시나리오별로 하드웨어 데이터분석
및 상관관계 분석을 기반으로 특성을 추출했다.

하드웨어 정보의 경우 데이터 전처리 과정에서 사이킷런의 proprocess의 Transform을
이용하여 각각 다른 특성의 수치를 0~1 사이의 값으로 변환한 후 Malware의 증상에
따라 분류하고 하드웨어를 각 특성별로 분류했다.

botnet과 cryptojacking에 대한 공격을 특성 추출하여 선정된 공통 특성은 다음과 같다.
1. user영역 CPU 사용량
2. 사용자 그룹 CPU 변화량
3. 전체 CPU 사용량
4. 시스템 유휴상태
5. CPU 처리 대기시간
6. 메모리 사용량
7. 네트워크 송신량
8. 네트워크 수신량
9. 네트워크 총 사용량

실험 결과를 통해 하드웨어 정보를 기반으로 Malware 분류 실험을 진행했을 때
하드웨어 특성을 선정하고 공격별 특성에 대해 분석했다.

botnet: 시스템 사용량의 경우 메모리와 CPU에 대한 변화가 높았으며 평균 CPU,
memory 사용량이 2~3배 높아지는 것을 확인할 수 있었다.
Cryptojacking: 공격 방법에 따라 CPU, Memory 사용량의 변화가 심한 것을 알 수 있다
poling 기반: 네트워크에 연결되어 채굴이 진행되기 때문에 memory의 사용량 및
네트워크 사용량이 약 3배 증가했다.
mining: CPU 사용량의 변화가 2.5배 정도 차이나는 것을 확인할 수 있다.

 

- 제 5장 결론

  • 요약: 다양한 임베디드 리눅스 기반 IoT 기기 악성 코드 공격을 하드웨어 기반으로 분석하고 인공지능에 사용할 수 있도록 하는 데이터 전처리 방법에 대한 연구
  • 한계점: 하드웨어의 사용량 증대 및 이상 데이터 발생에 의한 보안위험을 탐지하는 데에는 한계를 가진다.
  • 3가지 연구
  1. IoT 환경에서 발생하는 Malware 특성들에 대해서 공격성향을 분석하고 사용되는 임베디드 운영체제의 특성을 조사
  2. 하드웨어 정보를 모니터링하기 위해 하드웨어 특성을 정리하고 기본 busybox 명령어를 기반으로 모니터링 할 수 있는 도구를 개발
  3. 악성코드 감염에 대한 시나리오를 작성하고 가상화 환경을 구축하여 Malware에 의해 변화하는 하드웨어 사용량을 추적하고 분석
  • 향후: 외부에서 접근하여 IoT 디바이스의 시스템 정보를 추출하는 방법과 실제 사용되고 있는 사용장비를 대상으로 한 실험이 필요