표제지
목차
약어표 8
논문요약 9
제1장 서론 11
제2장 이론적 배경 13
제1절 한글 문서 구조 13
1. 한글 문서 종류 13
2. HWP 5.0 구조 15
제2절 악성 한글 문서의 공격 동향 18
1. 유포 현황 18
2. 유포 과정 20
3. 공격 기법 21
제3장 기존의 악성 한글 문서파일 탐지 방법 26
제1절 동적 탐지 방법과 단점 26
1. 동적 탐지 방법 26
2. HncAppShield 보안모듈 28
3. 동적 탐지 방법의 단점 30
제2절 현재의 정적 탐지 방법 31
제4장 제안하는 악성 한글 문서파일 탐지 방안 34
제1절 탐지 방안 개요 34
1. 문서파일 구조와 스트림 확인 35
2. zlib 데이터 압축 해제 36
3. 쉘 코드 탐지 37
4. 반복 수행 및 결과 출력 38
제2절 탐지 프로그램 구현 38
1. OLE 파서 38
2. zlib 압축 라이브러리 40
3. 쉘 코드 탐지 구현 41
제3절 제안하는 방안의 효율성 44
1. 실험 방법 및 결과 44
2. 쉘 코드 탐지의 효율성 47
제5장 결론 49
참고문헌 51
ABSTRACT 53
[표 2-1] HWP 5.0 전체 파일 구조 16
[표 2-2] 악성 이메일 수신자 통계 19
[표 2-3] 고스트 스크립트 명령 24
[표 3-1] HncAppShield.dll 파일의 Export Table 28
[표 3-2] 본문 데이터 레코드 31
[표 4-1] FileHeader 스트림 인식 정보 36
[표 4-2] 쉘 코드 탐지 패턴 37
[표 4-3] 쉘 코드 탐지 결과 45
[표 4-4] NOP Slide 코드 추가 탐지 결과 46
[표 4-5] 정상 문서파일을 대상으로 수행한 오탐지율 47
[그림 2-1] 레코드 구조 18
[그림 2-2] 악성 한글 문서파일 유포 건수 19
[그림 2-3] 악성 한글 문서파일 유포 사례 21
[그림 2-4] 악성 한글 문서파일 실행 화면 22
[그림 2-5] 악성 한글 문서파일 구조 23
[그림 2-6] 압축 해제된 BIN0001.eps 스트림 24
[그림 2-7] 파일 다운로드 25
[그림 3-1] 악성 한글 문서파일 탐지 솔루션의 동작 방식 26
[그림 3-2] HncAppShield 보안모듈에 의해 차단 29
[그림 3-3] 가상 데스크톱 여부 확인 30
[그림 3-4] 정상적인 레코드 헤더 32
[그림 3-5] 비정상 레코드 헤더 32
[그림 3-6] 한글 문서파일에 포함된 PE 파일 33
[그림 4-1] 탐지 프로그램 순서도 34
[그림 4-2] 문서 구조 테이블 35
[그림 4-3] 상수 값 추가 39
[그림 4-4] 저장소 구분 함수 39
[그림 4-5] 문서 구조 확인 40
[그림 4-6] zlib 압축 해제 소스코드 41
[그림 4-7] 쉘 코드 탐지 패턴 추가 42
[그림 4-8] 쉘 코드 탐지 소스코드 일부 43
[그림 4-9] NOP Slide 코드 탐지 43
[그림 4-10] 쉘 코드 탐지 결과 44