악성 코드 내 난독화 된 윈도우즈 SDK API 호출에 대한 자동 분석

Abstract

API 난독화 기술은 악성코드 내에서 사용되는 API 호출의 정적 분석을 방해하여 특정 API 호출 유무를 숨기고 API간의 연관성 분석을 방해한다. 본 논문에서는 API 난독화 호출 기술 중 API 리디렉트 호출 기술을 동적 오염 분석 기술을 이용하여 자동으로 분석하는 방법을 제안한다. 제안 방법은 먼저 난독화 된 악성코드의 명령어, 메모리 엑세스, API 호출과 같은 동적 실행 정보를 추출하고 이를 기반으로 후위 오염 분석을 통해 실행되는 API와 의존성을 지닌 명령어를 찾고 이를 통해 난독화 되기 이전의 API가 호출되는 주소를 찾는다. API 리디텍트 호출 기술을 포함하고 있는 VMProtect의 "Import protection" 기능을 악성코드에 적용하고 이를 제안 방법을 통해 분석한 결과 난독화된 악성코드 내 API 호출 위치를 80~100%(평균 91.6%) 복구하는 것을 확인할 수 있다. 난독화 되기 이전의 API의 위치의 복구를 통해 API간의 연관성 및 코드 패턴등을 쉽게 파악하여 악성코드를 빠르게 분석하는 데에 기여를 하리라 예상한다.API call obfuscation techniques hide dependency between Windows SDK API calls and whether or not to using the API for disturbing static analysis. In this paper, We propose automatic analysis method to find API redirect calls technique using dynamic taint analysis. First, we extract dynamic trace information such as instructions, memory access, API call from obfuscated malicious codes. Then we find instructions to depend on API using backward taint analysis. Using the information, we can recover addresses of original calling instructions. For experiment, we obfuscated malicious codes using "Import protection" technique in VMProtect. Then, we analyzed obfuscated malicious code using proposed method. The experiment results with the proposed method show a recovery rate of about 80~100% (average 91.6%) to find original API call addresses. We hope that proposed method will help finding code pattern and API dependency for analysis obfuscated malicious codes.