빅데이터
악성코드 분석 대응 솔루션

MINOSS 가 KISA 주관
2021년 우수 정보보호 기술로 선정되었습니다.

더욱 정교해지고,
점점 더 증가되는 사이버 위협

샌드박스(sandbox) 우회기술 증가

샌드박스를 우회하는 기술이 증가됨에 따라 샌드박스만으로는 지능화된 위협에 대응하는데 한계를 나타내고 있습니다.

문서기반의 사이버위협 증가

EXE와 같은 실행파일이 아니라 문서안에 악성코드를 숨기는 문서기반의 악성코드가 증가하는 추세입니다.

미노스는
사이버 위협을 차단하기 위하여
사이버 위협 DNA를 수집하고 학습하여
보안사고를 사전예방하는 분석 대응 솔루션 입니다.

MINOSS 개요

제품명

MINOSS V2.0

인증

GS 1등급 [20-0362]

관련 특허

제 10-2081867호

[역 색인 구성방법, 역 색인을 이용한 유사 데이터 검색 방법 및 장치]

개요

특정 형식 파일을 대상으로 분석 DB를 이용하여 악성 파일 여부를 분석하는 솔루션

MINOSS 구성도

minoss_구성도

MINOSS 특장점

IDA 기반의 함수 코드블럭 정보 생성기능 지원

  • 악성코드 샘플에 대한 함수 단위 코드블럭 정보생성
  • 악성코드 분석도구인 IDA에서 생성된 IDB를 이용하여 코드블럭 생성
  • 재명명한 함수명을 반영하여 구현
  • 생성된 코드블럭 정보는 샘플 및 사고정보를 연계할 수 있도록 구성
  • ※ IDA는 침해사고 분석단에서 활용중인 소프트웨어로 해당 소프트웨어 지원 필요

함수 코드블럭 정보 분석 기능 지원

  • (1:1) : 1:1 비교를 구현하며 비교 결과는 유사도 퍼센트 등을 표시
  • (1:N) : 생성된 코드블럭과 전체 함수 코드블럭 비교를 통해 샘플 및 사고 탐색
  • (N:N) 업로드된 샘플의 전체함수 코드블럭과 저장된 코드블럭 정보 전체와의 비교 및 탐색
  • 악성코드의 코드블럭 정보 어셈블리 언어수준으로 비교 기능 지원

정보 추출 기능

  • 파일내 일반 문자열, http 주소 등 문자열 추출정보 제공
  • 압축 파일 내부 악성코드 추적 기능
    (ALZ, EGG, ZIP, CAB, RAR, TAR 등)

태그를 이용한 악성코드 검색 기능

  • DB에 등록된 연관정보와 유사한 정보를 순위별 검색

MS-Office 파일 정적 분석 기능

  • 워드(doc/docx), 엑셀(xls/xlsx), 파워포인트(ppt/pptx) 메타 정보 및 본문 정보 출력
  • 문서파일내에 첨부된 매크로 소스 보기 지원

실행(PE) 파일 정적 분석 정보 제공

  • 실행(PE) 파일 메타 정보 출력 및 추적 기능
  • Import/Export API, 섹션 정보, 디지털 서명 정보 제공
  • PE 파일 디스어셈블 보기 기능

HWP 파일 정적 분석 기능

  • 문서 내부 OLE 파일 구조(Storage, Stream 등) 분석
  • 압축된 한글 OLE stream에 대한 압축 해제 지원
  • 한글 문서 본문, 이미지, 내부 스크팁트 Viewer 기능
  • 한글 3.x/5.x 포맷 문서에 대한 취약점 정보 확인
  • 문서 메타 정보 출력 및 추적 기능 지원

파일 정보 출력 및 검색 유형 지원

  • 유사 악성코드, 해시값(MD5, SHA1, SHA256), 태그정보 등
  • 코드내 블록 별 HASH 정보를 확인하여 코드의 무결성 확보
  • 코드 및 파일의 상세정보 확인
  • PE 파일의 경우는 함수 단위로 유사도 측정 결과 확인

인공지능을 이용한 악성코드 탐지

  • VDCNN 알고리즘을 이용하여 힘수 OPCode에 대해 악성/정상 여부 학습
    (윈도우 실행 파일, 리눅스 실행 파일에 대해 적용)
  • LIME를 이용하여 악성 OPCode 위치 제공
  • 지속적인 학습 결과물 적용

미노스의 컨셉

범죄발생 시 범인이 외양은 바꿀수 있어도 DNA는 바꾸지 못하는것처럼 사이버 위협도 고유의 DNA를 가지고 있습니다. 미노스는 사이버 위협의 DNA를 분석하고 학습하여 사전 예방하는 기술입니다.

미노스 기술의 컨셉

미노스의 핵심 경쟁력

1) 많은 양의 데이터를 수집 (국내, 국외 일일 20만건이상)
2) 데이터 분류 기술 및 DB 구축(다년간의 R&D와 프로젝트 수행경험)
3) 빠르게 유사도를 분석하여 차단하는 기술 (특허)

미노스의 핵심 경쟁력

미노스의 사이버 위협 데이터
수집 및 학습, 탐지 과정

미노스의 사이버 위협 수집 및 학습 탐지 과정

국내, 국외에서 수많은 샘플을 수집
(1일 약 20만개)

국내, 국외에서 수많은 샘플을 수집

유사도 분석 기술

대부분의 신·변종 악성코드는 과거 만들어진 소스코드를 살짝 수정하는 정도.
코드의 유사도를 측정하면 신 · 변종 악성코드를 쉽게 판별해 낼 수 있음

분류 및 정렬 기술

2번 블록의 정보가 조금이라도 다르면 해시값은 2번 블록만 바뀜.
즉, 10개 블록 중 1개의 블록만 다르다면 90% 유사도가 일치함

빠른 유사도 검사

DB의 모든 해시를 비교해봐야 제일 유사한 해시를 찾을 수 있어요. 하지만, 저희는 방법을 찾았습니다.

빠른 유사도 검색

특정 파일이 DB에 존재하는 파일과 얼마나 유사한지 빠르게 측정하는 방법을 고안

역 색인 구성방법, 역 색인 을 이용한 유사 데이터 검색 방법 및 장치
[특허 제 10-2081867호]

2021년 우수 정보보호 기술 선정

MINOSS가 KISA 주관 2021년 우수 정보보호 기술로 선정되었습니다.

2021년 우수 정보보호 기술 선정 누리랩

리버싱 기술을 이용한 악성코드 분석도구

악성코드 분석가를 위하여 미노스 웹(Web)을 통한 악성코드 분석정보를 제공하고, IDA Pro와 연동(플러그인)하여 함수 유사도 비교를 통한 악성코드에 사용된 함수정보를 제공합니다.

리버싱 기술을 이용한 악성코드 분석도구

※ 리버싱 기술은 악성 프로그램의 구조와 핵심 알고리즘을 분석하고 이를 대처하기 위한 방안을 고안하는데 사용합니다.

미노스에서 파생된 기술과 제품들

컨텐츠 무해화 (CDR)

  • 문서 기반 공격 대응, Non-pe 파일 위·변조 탐지 및 무결성 검증
  • 컨텐츠 무해화 (CDR: Contents Disarm & Reconstruction)

사회공학을 이용한 사기메일 차단

  • 유사 도메인 탐지, 사칭 메일 등 사회공학기법을 이용한 메일 탐지 및 차단

문서 내 텍스트 추출 및 검색, 손상파일 복구

  • 국내외에서 사용되는 다양한 문서 포맷 지원
  • 개인정보, 내부문서 유출방지, 검색엔진에 활용

바이러스, 랜섬웨어 차단, 윈도우 파일시스템 드라이버

  • 오픈 소스 백신엔진 Kicom 개발 및 배포
  • 랜섬웨어 행위 차단 및 방어, 복원
  • Windows 파일 및 폴더 추적, 감사, 보고, 모니터링

아래아 한글 취약점 점검

  • 리버싱 기술을 이용하여 한글문서의 구조 파악
  • 한글 문서에 포함된 취약점 탐지

AI 학습 기반 유해 이미지/키워드 분석

AI Image/Keyword Filter

  • 이미지/키워드 프로세싱 기술
  • 커뮤니티, BBS 욕설 및 비속어, 금칙어 우회 키워드 유해도 판별