프로세스 가상 메모리 데이터 유사성을 이용한 프로세스 할로윙 공격 탐지

Abstract

파일리스 악성코드는 악성 행위를 수행할 페이로드의 흔적을 은닉하기 위해 메모리 주입 공격을 이용한다. 메모리주입 공격 중 프로세스 할로윙이라는 이름의 공격은 시스템 프로세스 등을 일시정지 상태로 생성시킨 다음, 해당 프로세스에 악성 페이로드를 주입시켜 정상 프로세스인 것처럼 위장해 악성행위를 수행하는 방법이다. 본 논문은 프로세스 할로윙 공격이 발생했을 경우, 악성 행위 실제 수행 여부와 상관없이 메모리 주입 여부를 검출할 수 있는 방법을 제안한다. 메모리 주입이 의심되는 프로세스와 동일한 실행 조건을 갖는 복제 프로세스를 실행시키고, 각 프로세스 가상 메모리 영역에 속해있는 데이터 집합을 퍼지 해시를 이용해 비교한 다음 유사도를 산출한다. Fileless malware uses memory injection attacks to hide traces of payloads to perform malicious works. During thememory injection attack, an attack named “process hollowing” is a method of creating paused benign process like systemprocesses. And then injecting a malicious payload into the benign process allows malicious behavior by pretending to be anormal process. In this paper, we propose a method to detect the memory injection regardless of whether or not the malicious action isactually performed when a process hollowing attack occurs. The replication process having same execution condition as theprocess of suspending the memory injection is executed, the data set belonging to each process virtual memory area iscompared using the fuzzy hash, and the similarity is calculated.