http://dx.doi.org/10.14400/jdpm.2013.11.12.381 안드로이드플랫폼에서의 High-Interaction 클라이언트허니팟적용방안연구 정현미 *, 손승완 **, 김광석 **, 이강수 ** 한국과학기술정보연구원 *, 한남대학교컴퓨터공학과 ** A High-Interaction Client Honeypot on Android Platform Hyun-Mi Jung *, Seung-Wan Son **, Kwang-Seok Kim **, Gang-Soo Lee ** Korea Institute of Science and Technology Information * Dept. of Computer Engineering, Hannam University ** 요약안드로이드플랫폼에서의새로운변종악성코드가기하급수적으로증가함에따라보다빠르고능동적인대처방안이필요하다. 본연구에서는안드로이드플랫폼에 High-Interaction 클라이언트허니팟을적용하였다. 시스템적용방안을위하여전체흐름을설계하고각세부모듈의기능을분석하여안드로이드플랫폼에최적화하였다. 제안하는시스템은기존 PC 환경의 High-Interaction 클라이언트허니팟의장점을모두갖추고있으며관리서버와저장서버를분리하여보다유연하고확장된형태로설계되었다. 주제어 : 안드로이드플랫폼, 모바일악성코드분석, 안드로이드악성코드, 클라이언트허니팟, 변종악성코드 Abstract As the new variation malicious codes of android platform are drastically increasing, the preparation plan and response is needed. We proposed a high-interaction client honeypot that applied to the android platform. We designed flow for the system. Application plan and the function was analyze. Each detail module was optimized in the Android platform. The system is equipped with the advantage of the high-interaction client honeypot of PC environment. Because the management and storage server was separated it is more flexible and expanded. Key Words : android platform, mobile malicious code analysis, android malicious code, client honeypot, variation malicious code 1. 서론 다양한스마트폰공격유형중최근사용자에게가장많은피해를주는것은어플리케이션및콘텐츠취약점 을이용한모바일악성코드의유포이다. 이를반영하듯 2013년도정보보호 10대이슈전망에 해커들의공격목표로부상하고있는모바일앱보안중요성증대 와 지능화된피싱 (Phishing) 기법, 스미싱 (Smishing) 을이용한 * 본연구는 2013년한남대학교학술연구조성비지원으로이루어졌음 Received 25 October 2013, Revised 19 November 2013 Accepted 20 December 2013 C The Society of Digital Policy & Management. All rights reserved. This is an open-access article distributed under the Corresponding Author: Gang-Soo Lee(Computer Engineering, terms of the Creative Commons Attribution Non-Commercial Hannam University) License (http://creativecommons.otg/licenses/by-nc/3.0), which Email: gslee@hnu.ac.kr permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is ISSN: 1738-1916 properly cited. The Journal of Digital Policy & Management 381
안드로이드플랫폼에서의 High-Interaction 클라이언트허니팟적용방안연구 개인정보 / 금전탈취확산 이선정되었다 [1]. 모바일악성코드의공격방식대부분은개인의정보를유출하고동시에사용자에게금전적인피해를입힌다. 특히, 안드로이드플랫폼의경우오픈소스정책및다양한기기의보급으로인하여사용자가급속도로증가함과동시에 2011년부터악성코드로인한공격건수가폭발적으로증가하였다. 현재안드로이드악성코드는빠르게생성및변조되어퍼지고있으며, 공격의종류도급격하게증가하고있다. 현재, 안드로이드악성코드의증가와함께이를대응하기위한연구가활발히진행되고있으며각단말제조사및 ISP(Internet Service Provider) 사업자들은모바일백신등을유포하여개인소비자들을보호하고있는추세이다. 그러나대게안드로이드악성코드유포의목적이개인정보및금전탈취이기때문에공격자들은악성코드의빠른진화를통해서자신들의목적을이루려고한다. 따라서이러한악성코드에대처하기위해서는보다악성코드의빠른수집과분석이필요하다. 본논문에서는빠르게변조되는안드로이드악성코드를단시간내에수집하고분석대처할수있는수집시스템을설계하기위하여허니팟 (Honeypot) 개념을이용하였다. 제안시스템은가상환경을기반으로한 High-Interaction 클라이언트허니팟 (Client honeypot) 을이용하여설계되고구현되었으며안드로이드플랫폼에최적화되었다. 본논문의구성은다음과같다. 2장에서는허니팟을이용한악성코드수집및분석기술동향을알아보고 High-Interaction 클라이언트허니팟의장단점을분석한다. 3장에서는 High-Interaction 클라이언트허니팟의안드로이드적용방안을살펴보고시스템을설계한다. 4장에서는 High-Interaction 클라이언트허니팟과제안시스템동일기능별모듈을분석한다. 5장에서는결론을내린다. 2. 관련연구 2.1 허니팟 (Honeypot) 허니팟이란외부의다양한공격을유인해공격동향및유형을파악가능하게구현한가상의시스템을의미한다 [2]. 즉실제사용하고있지않은시스템을사용하고 있는것처럼보이게속여공격자의침입을허용하는시스템이다. 크게 Low-Interaction 허니팟 [3] 과 High- Interaction 허니팟 [3] 으로나뉜다. Interaction 이란허니팟이공격자에게허용하는활동의레벨의정의를의미한다 [3]. Low-Interaction 허니팟은제한된 Interaction, 즉에뮬레이트된서비스나운영체제등을이용하여구현된것이다. 구현이간단하고인프라에대한부담이적은것이장점이지만제한된정보만을수집가능하고알려진공격외에변조된공격의식별이어려운것이단점이다. 가장많이알려진 Low-Interaction 허니팟도구에는 Honeyd[4] 가있다. Honeyd 는사용하지않는 IP space를모니터링하여공격을탐지하는방식이다. High-Interaction 허니팟은실제동작하는시스템및어플리케이션제공한다. 많은양의정보수집가능, 공격자의행위에대한가정이필요없으므로신종변종공격이탐지가능하다는장점이있다. 그러나개발및유지보수가복잡하고, 다른시스템으로의공격전이위험성이있다. 대표적인예로는 Honeynet Project[5] 가있다. 기존허니팟을이용하여악성코드를수집하고분석하는것은한계점이존재한다 [6]. 다음표 1에서는허니팟의장단점비교를통하여허니팟의한계점을보여준다. <Table 1> Compare of Honeypots Advantages - Easiness the collection of malicious data - It can be applied to a variety of systems - New attacks monitoring possible - Burdenless implementation Disadvantages - Limitation of detection - Attacker can avoid it. - Management and operation needed - Risk of expansion attack 2.2 클라이언트허니팟 (Client Honeypot) 2.1장에서보여주듯이허니팟을이용한악성코드수집분석에는이미한계점이존재한다. 또한현재공격기술이발전함에따라기존허니팟기술들은공격자의흥미를유발시키지못한다. 따라서이후보다능동적으로악성코드를수집하고분석하기위하여클라이언트허니팟 [3] 의개념이도입되었다. 이것은웹브라우저를이용하여웹페이지를능동적으로방문하여해당페이지에악성여부를탐지하여악성코드를수집하고분석하는방식이다. 단순히공격을기다려서악성코드를수집하는방식 382 The Journal of Digital Policy & Management 2013 Dec; 11(12): 381-386
A High-Interaction Client Honeypot on Android Platform 보다는악성코드의수집이빠르고제로데이 (Zero-day) 공격에강하다는장점이있다. 클라이언트허니팟또한다음두가지의종류로나눌수있는데첫째는 Low-Interaction 클라이언트허니팟이다. 이것은웹상의악성코드의분석을위하여완벽한기능의운영체제나웹브라우저를이용하지않는다. 단지시뮬레이트된클라이언트를이용한다. 이러한방법의대표적인구현예는 HoneyC[7] 이다. 다음은 HoneyC 의개념도이다. High-Interaction 클라이언트허니팟을이용한악성코드분석도구중가장많이알려진것이 Capture-HPC [8,9] 이다. 이도구는허니넷프로젝트 (Honeyent Project) 의산출물로나온클라이언트공격을탐지분석하는도구이다 [5,10]. 다음그림3은 Capture-HPC 의개념도 [3] 이다. [Fig. 3] Capture-HPC[3] [Fig. 1] HoneyC 이러한방식은악성코드의수집부분에관해서만보다능동적기존 Low-Interaction 허니팟의장 단점을모두승계한다. 두번째는 High-Interaction 클라이언트허니팟이다. 이개념도마찬가지고기존 High-Interaction 허니팟의장 단점을모두승계한다. 다음그림2는일반적인 High-Interaction 클라이언트허니팟의일반적인구성형태 [3] 이다. Capture-HPC 는클라이언트서버구조를기반으로하고있다. 서버는클라이언트를컨트롤하고각각의클라이언트는가상머신상에구현되어독립적으로작동한다. 다음표2는 Low-Interaction 클라이언트허니팟과 High-Interaction 클라이언트허니팟을비교분석한것이다. Advantage <Table 2> Compare Client Honeypot classification Low-Interaction High-Interaction - Emulated operating - Real system and Implement system and application application - All feature implemented on system - New/variation Disadvantages Tools - Low cost - Low risk of infringement of the second - Collecting malicious codes are more fast. - Limited information is collected - Available only detect known attacks HoneyC[7], Monkey-Spider[11] etc malicious behavior can be detected. - A large amount of information can be collected - The complexity of the process of building - High cost of building - High risk of second infringement Capture-HPC, HoneyMonkey[12,13] etc [Fig. 2] High-Interaction Client Honeypot[3] The Journal of Digital Policy & Management 383
안드로이드플랫폼에서의 High-Interaction 클라이언트허니팟적용방안연구 3. 제안시스템설계 3.1 안드로이드플랫폼에서의 High-Interaction 클라이언트허니팟적용방안그림 2의 High-Interaction 클라이언트허니팟의일반적인구성을보면크게악성코드를수집하는 Host 부분과악성코드를분석하는 Data Analysis 시스템으로구분된다. Host의구성프론트엔드는탐색엔진을가지고웹페이지탐색을위한키워드또는다양한파라미터를제공한다. Host 상의 Clienthp.dll은다이얼로그박스의조정, 시스템무결성체크및웹브라우저의네비게이팅기능을하는모듈이다. 모든로그파일은원격으로데이터베이스에저장된다. Data analysis 시스템의분석프론트엔드 (frontend) 는수집된악성코드를실제환경에서분석하는역할을한다. 만일분석프론트엔드가실제네트워크상에위치한다면제 2차침해위험의발생위험이있다. 분석대상인악성코드가네트워크전파특성을가지고있다면동일네트워크상에구현되어있는실제시스템으로의전이가능성이있기때문이다. 이러한단점을극복하기위하여분석시스템은실제네트워크상에서는분리된형태인예를들어가상환경으로구성하는것이바람직하다. 또한가상환경은분석프론트엔드에서악성코드분석후다음파일분석전에시스템재설치를용이하게한다. 따라서제안하는시스템은위의장점을적용되고적은자원으로높은가치의침해공격정보수집이가능하도록가상환경으로구축한다. 제안하는시스템의전체흐름도는다음그림 4와같다. [Fig. 4] System Flowchart 전체시스템은하나의물리적시스템을기반으로가상환경으로구현하였다. 즉하나의물리시스템안에분석을시행하는에뮬레이터의환경을다양하게구성할수있으며적은자원으로많은양의데이터를처리할수있다. 다음그림 5는전체시스템의구성을보여준다. 3.2 제안시스템구조 3.1에서분석한결과를안드로이드플랫폼에적용하여시스템을설계한다. 현재안드로이드악성코드는대부분어플리케이션에의하여전파된다. 이러한이유로안드로이드악성코드수집의효율성을위하여악성어플리케이션유포의근원이되는블랙마켓을중심으로크롤링을수행한다. 수집된 APK( 안드로이드실행파일 ) 가만약기존분석을통하여블랙또는화이트리스트분류가되었다면분석대상에서제외한다. 이후분석을위하여메인모듈의기능을이용하여각에뮬레이터기반의분석엔진으로악성의심파일이전달되며메인모듈에서는정적분석을수행하고에뮬레이터기반의행위분석엔진에서는동적분석을통하여악성여부를빠르게탐지한다. [Fig. 5] Design of system 3.3 제안시스템모듈별기능제안시스템은하나의서버시스템에행위분석엔진을탑재한에뮬레이터, 가상환경에서의호스트자원과게스트운영체제및두모듈간의송 수신제어메커니즘을가지고있는하이퍼바이저, 각종분석결과및정보를수 384 The Journal of Digital Policy & Management 2013 Dec; 11(12): 381-386
A High-Interaction Client Honeypot on Android Platform 집하고가상머신의재복구등을수행하는메인모듈그리고크롤링을이용하여안드로이드악성코드어플리케이션을수집하는어플리케이션수집모듈로나뉜다. 또한관리를위한시스템과저장을위한시스템을별도의서버에구현하여관리및저장에확장성을높였다. 다음표 3 에서는제안시스템의구현을위하여각모듈별기능을분류하였다. <Table 3> Module of System No Classification Main Function - Malicious behavior of an application 1 Emulator module for collecting information with the Android virtual machine 2 Hypervisor - Host resources control - Guest OS, control -Transmitting and receiving transmission control 3 Main module - Collecting of process name, package name, main activity - Collecting information generated in XML format - Analysis results of XML forward to storage. - Analysis results of XML insert to database - Revert to type of emulator 4 Module of Collecting APK - Collecting of URL - Link URL filtering - Link URL filtering insert to database <Table 4> Comparison of function High-Interaction Client Honeypot - Configuration front-end System - Management System - Database - Storage - Analysis front-end - Clienthp.dll - Crawler 4.2 적용결과 - Emulator - Hypervisor - Main module Module of Collecting APK Function Management of information and policy for the collection of malicious code, Save analysis data and results Analysis of collected malware files Physical resources control Analysis control Insert a database of collect information System integrity check, etc. Collecting of Malicious suspected file 제안된시스템을적용하여구현하였을경우분석프론트엔드에해당하는안드로이드에뮬레이터의환경설정을자유로이변경가능하다. 다음그림 6은제안된시스템을이용하여구현한안드로이드에뮬레이터의현황이다. 4. 제안시스템평가 4.1 분석일반적인 High-Interaction 클라이언트허니팟의각모듈과제안된안드로이드플랫폼에적용시스템의각모듈을비교하였다. 다음표4는공통기능에대한모듈비교이다. 비교결과를분석해보면기존환경에서의구성프론트엔드와데이터베이스를각각별도의서버시스템으로설정하여정보및정책관리를유연하게구현할수있다. 또한분석프론트엔드, Clienthp.dll 및크라울러에해당하는모듈을하나의물리머신내에구현하고특히분석프론트엔드를가상머신으로설정함으로써보다적은자원으로다양한분석결과를도출가능하게설계되었다. [Fig. 6] Implementation of System 5. 결론기존 PC 환경에서효율적인악성코드분석방법으로알려진 High-Interaction 클라이언트허니팟을안드로이드환경에적용하여설계하였다. 제안된시스템은일반적인 High-Interaction 클라이언트허니팟의각모듈별기능을살려안드로이드플랫폼에서도적용가능하게설계되었다. 이는기존장점을모두 High-Interaction 클라이 The Journal of Digital Policy & Management 385
안드로이드플랫폼에서의 High-Interaction 클라이언트허니팟적용방안연구 언트허니팟가지게된다. 또한악성코드분석시스템을가상환경으로구축하여적은물리적자원을가지고고성능을기대할수있는시스템구현이가능하며관리서버와저장서버를별도로구축하여보다유연하고확장가능하게설계되었다. 앞으로빠르게진화하는안드로이드악성코드의발생가능성을예상하고즉각적으로대응가능한체계를구축할수있게도와주는시스템이될것이다. ACKNOWLEDGMENTS This paper was supported by the Hannam University Research Fund in 2013. REFERENCES [1] http://www.kisa.or.kr/ [2] Lance Spitznet (2003), Honeypots : Definitions and Value of honeypots. [3] Thorsten Holz, Niels Provos (2008), Virtual Honeypots [4] http://www.honeyd.org/ [5] http://www.honeynet.org/ [6] J Fritz (2011), Hybrid Intrusion detection network monitoring with honeypots. [7] Christian Seifert, Ian Welch, Peter Komisarczuk (2006), HoneyC - The Low-Interaction Client Honeypot. [8] https://projects.honeynet.org/capture-hpc/ [9] Radek Hes,Ramon Steenson,Christian Seifert (2010), The Capture-HPC client architecture [10] Christian Seifert, Ramon Steenson, Ian Welch, Peter Komisarczuk, Thorsten Holz, Bing Yuan, Michael A. Davis (2007),Know your Enemy: Malicious Web Servers. [11] Ali Ikinci, Thorsten Holz, Felix Freiling(2008), Monkey-Spider: Detecting Malicious Websites with Low-Interaction Honeyclients [12] Yi-Min Wang, Doug Beck, Xuxian Jiang, Roussi Roussev, Chad Verbowski, Shuo Chen, and Sam King (2006), Automated Web Patrol with Strider HoneyMonkeys: Finding Web Sites That Exploit Browser Vulnerabilities [13] http://research.microsoft.com/honeymonkey/ 정현미 (Jung, Hyun Mi) 2010 년 8 월 : 한남대학교컴퓨터공학과 ( 공학석사 ) 2010 년 9 월 ~ 현재 : 한남대학교컴퓨터공학과박사수료 2012 년 10 월 ~ 현재 : 한국과학기술정보연구원, 과학기술사이버안전센터선임연구원 관심분야 : 소프트웨어공학, 보안공학, IT 보안시스템개발, 안드로이드악성코드분석 E-Mail: hmjung@kisti.re.kr 손승완 (Son, Seung Wan) 김광석 (Kim, Kwang Seok) 2013 년 2 월 : 한남대학교컴퓨터공학과 ( 공학사 ) 2013 년 3 월 ~ 현재 : 한남대학교컴퓨터공학과석사과정재학중 관심분야 : 컴퓨터보안, 소프트웨어공학 E-Mail : son2898@hnu.ac.kr 2013 년 2 월 : 한남대학교컴퓨터공학과 ( 공학사 ) 2013 년 3 월 ~ 현재 : 한남대학교컴퓨터공학과석사과정재학중 관심분야 : 컴퓨터보안, 소프트웨어공학 E-Mail : kkslove4721@hnu.ac.kr 이강수 (Lee, Gang Soo) 1983년 2월 : 서울대학교전산학 ( 이학석사 ) 1985년 2월 : 서울대학교전산학 ( 이학박사 ) 1987년 3월 ~ 현재 : 한남대학교컴퓨터공학과교수 관심분야 : 보안공학, 소프트웨어공학, 웹공학 E-Mail : gslee@hnu.ac.kr 386 The Journal of Digital Policy & Management 2013 Dec; 11(12): 381-386