표제지
목차
약어표 8
논문요약 9
제1장 서론 11
제2장 이론적 배경 13
제1절 악성코드 13
1. 악성코드의 정의 및 종류 13
2. 주요 악성 행위 14
3. 악성코드 탐지 기법 17
제2절 암호화폐 18
1. 암호화폐의 정의 18
2. 암호화폐 채굴 19
3. 범죄 활용성 21
제3절 암호화폐 관련 보안 위협 동향 22
1. 랜섬웨어 22
2. 암호화폐 거래소 해킹 24
3. 지갑 주소 변경 악성코드 25
4. 채굴 악성코드 26
제3장 제안하는 채굴 악성코드 탐지 및 차단 모델 29
제1절 제안 모델 개요 29
제2절 채굴 악성코드 분석 30
1. 유포 및 동작 유형 30
2. 일반 응용 프로그램 기반 채굴 31
3. 웹 브라우저 기반 채굴 34
제3절 제안 모델 구현 35
1. 도메인 차단 35
2. 패킷 모니터링 36
3. CPU 모니터링 38
4. 프로세스 명령 줄 검사 40
제4장 실험 및 평가 42
제1절 채굴 행위 차단 실험 42
1. 기능별 차단 성능 43
2. 국내 백신과의 비교 45
제2절 평가 및 기대효과 46
제5장 결론 48
참고문헌 50
ABSTRACT 52
[표 2-1] 동작 방식에 따른 악성코드 분류 13
[표 2-2] 제작 목적에 따른 악성코드 분류 14
[표 2-3] 채굴 장비의 종류 및 특징 20
[표 2-4] 그래픽 카드별 모네로 채굴 수익 20
[표 3-1] 채굴 패킷 탐지 규칙 36
[표 3-2] 메모리 탐지를 위한 채굴 관련 문자열 40
[표 3-3] 채굴 악성코드 실행 명령 줄 41
[표 4-1] 실험 대상 채굴 악성코드 일부 42
[표 4-2] 기능별 차단 성능 43
[표 4-3] 국내 백신 및 제안 모델의 채굴 악성코드 차단 여부(일부 샘플) 46
[그림 2-1] 정보 유출 악성코드 네트워크 패킷 예 15
[그림 2-2] 악성코드의 프로세스 추가 동작 16
[그림 2-3] 시그니처 기반 탐지 기법 17
[그림 2-4] 2017년 말 암호화폐 가치의 급상승 그래프 19
[그림 2-5] 워너크라이 랜섬웨어 감염 화면 22
[그림 2-6] 갠드크랩 유포 이메일 23
[그림 2-7] 해킹으로 인한 유빗 파산 공지사항 안내 24
[그림 2-8] 암호화폐 지갑 주소 변경 악성코드 동작 흐름 25
[그림 2-9] 2017년 암호화폐 채굴 악성코드 탐지 수 26
[그림 2-10] 채굴에 필요한 월 전기요금 27
[그림 3-1] 제안 모델 구성도 29
[그림 3-2] xmrig 실행 옵션 31
[그림 3-3] xmrig 악성코드 네트워크 패킷 32
[그림 3-4] cpuminer 악성코드 네트워크 패킷 33
[그림 3-5] 채굴 악성코드로 인한 CPU 사용량 증가 33
[그림 3-6] 웹 페이지에 삽입된 채굴 자바스크립트 34
[그림 3-7] 블랙리스트가 적용된 hosts 파일 36
[그림 3-8] 탐지된 프로세스를 차단하는 소스 코드 37
[그림 3-9] CPU 모니터링 흐름도 38
[그림 3-10] CPU 모니터링 기능을 구현한 소스 코드 39