초록 열기/닫기 버튼
비실행형 파일 중에서 이미지 파일에 악성코드를 은닉시키는 다양한 우회 기법 연구가 진행되어 왔다. 알려지지 않은 악성코드가 은닉되어 있는 경우 평판이나 시그니처 기반의 안티바이러스 방법에 의해 탐지하기 어렵다. 본 논문에서는 악성코드의 시그니처나 특징에 대한 어떠한 사전 정보가 없더라도 원본 이미지 파일 포맷의 구조를 분석하고 이미지 데이터 영역 변환 통해 이미지 파일에 숨겨진 악성코드를 무력화시키는 방안을 제안하였다. 제안한 방법은 이미지 파일 추출 단계, 이미지 파일 포맷 분석 단계, 이미지 파일 변환단계, 변환 이미지 파일 관리 단계로 구성되어 있다. 이미지 파일 변환 단계에서는 원본 이미지의 각 영역별로 헤더 정보 변환, 부가 정보에 대한 특정 스트링 필터링 변환, 비선형 전달함수를 사용한 이미지 픽셀 데이터 변환이 이루어진다. 제안된 방법의 효과성을 증명하기 위하여 바이러스토탈(Virus total)사로부터 구매한 최신 악성코드(유료API) 48,220개 중 악성코드가 은닉된 이미지 파일 10개를 실험에 사용하였다. 무력화 기법을 위한 파일 추출단계와 포맷분석단계, 이미지 파일 변환단계를 적용 후, 실험한 결과는 정량적으로 바이러스 검출량이 현저히 줄어듬을 보임으로서 제안한 방법의 효과성을 검증하였다. 또한, 비선형 전달함수를 이용하여, 변환된 이미지 파일은 육안으로 구분하지 못할 정도의 원본 이미지 같은 품질을 유지하면서도 악성코드를 무력화시킬 수 있었다.
Various bypass techniques have been developed to hide malicious code in image files among non-executable files. It is difficult to detect by reputation or signature-based antivirus methods when unknown malware is hidden. In this paper, we proposed a neutralizing method of hidden malicious code to analyze the structure of the original image file format and disable the malicious code through image data area conversion even if there is no prior information about the signatures or characteristics of malicious codes. The proposed method consists of image file extraction phase, file format analysis phase, file transformation phase, and management phase of transformation image file. In the image file transformation phase, header information transformation, specific string filtering transformation for additional information, and image pixel data transformation using nonlinear transfer function are performed. In order to prove the effectiveness of the proposed method, 10 malicious code - hidden image files among 48,220 of the latest malicious code (paid API) purchased from Virus Total Company were used in the experiment. After the file extraction phase, the format analysis phase, and the image file conversion phase for the neutralizing method, the experimental results show that the virus detection amount is reduced quantitatively and thus the effectiveness of the proposed method is verified. In addition, by using the non-linear transfer function, the converted image file was able to neutralize the malicious code while maintaining the same quality as the original image, which could not be distinguished by the naked eye.
