강력한 패스워드 상호인증 프로토콜 취약점 분석

이경률 ( Kyung Roul Lee ),임강빈 ( Kang Bin Yim ) 한국항행학회 2011 韓國航行學會論文誌 Vol.15 No.5

네트워크 환경에서 사용자에 대한 인증은 반드시 필요한 요소이며, 이를 위하여 많은 사용자 인증기술이 연구되고 발전되어 왔다. 그 중 SPMA, I-SPMA 프로토콜은 과거 프로토콜이 가지는 상호인증 결여, 재전송 공격 등 취약점에 대하여 지적하고, 이를 보완한 안전한 사용자 인증 프로토콜을 제안하였다. 하지만 이들 프로토콜은 서버와 사용자가 공유한 비밀정보가 동기화되지 않을 경우 심각한 문제를 발생하며, 이를 복구할 수 있는 대안이 없어 그 실효성을 입증하지 못한다. 따라서 본 논문은 상기 프로토콜이 비동기 문제로 인한 서비스 거부 공격에 대하여 고려하고 있지 않음을 증명함으로써 제안된 프로토콜의 안전성을 분석하였다. Most services need to have authentication protocols to verify users` eligibility in the network environment. For this, a lot of user authentication protocols have been researched and developed. Two of them, SPMA and I-SPMA protocols, introduced the lack of mutual authentication and vulnerability to the reply attack of the prior protocols and suggested revised protocols. Nevertheless, these protocols did not mention about the critical problem caused when the server and the client lose synchronization on the secret information between them. Therefore, in this paper, we analyze the security characteristics of the existing protocols and prove the vulnerability to the synchronization of the protocols.

PS/2 키보드에서의 RESEND 명령을 이용한 패스워드 유출 취약점 분석

이경률(Kyung-roul Lee),임강빈(Kang-bin Yim) 한국정보보호학회 2011 정보보호학회논문지 Vol.21 No.3

본 논문은 현재 컴퓨팅 플랫폼 상의 기본 입력장치인 PS/2 기반 키보드에서, 키보드 내부에 정의된 명령코드 중 RESEND 명령을 이용한 키보드 스캔코드의 수집 가능성을 제시하였다. 또한 제시한 방식을 활용한 키보드 감시 소프트웨어를 실제로 구현한 후 상용 보안 소프트웨어 환경에서 실험하여 사용자 인증 시에 패스워드가 유출될 수 있음을 확인함으로써 제시한 취약점의 위험성을 검증하였다. 이는 현재 플랫폼 상에 존재하는 하드웨어 취약점 중의 하나로써 설계 당시 하드웨어적인 보안 대책을 마련하지 않았기 때문에 발생하는 문제점이라 할 수 있어 해당 취약점을 해결하기 위해서 근본적으로 하드웨어적인 보안 대책이 필요할 것으로 사료된다. This paper introduces a possibility for attackers to acquire the keyboard scan codes through using the RESEND command provided by the keyboard hardware itself, based on the PS/2 interface that is a dominant interface for input devices. Accordingly, a keyboard sniffing program using the introduced vulnerability is implemented to prove the severeness of the vulnerability, which shows that user passwords can be easily exposed. As one of the intrinsic vulnerabilities found on the existing platforms, for which there were little considerations on the security problems when they were designed, it is required to consider a hardware approach to countermeasure the introduced vulnerability.

공개 소프트웨어를 활용한 네트워크/시스템 통합 로그 분석기 구현

이경률(Kyung-Roul Lee),배광진(Kwang-Jin Bae),정태영(Tae-Yung Jung),임강빈(Kang-Bin Yim) 한국통신학회 2008 한국통신학회 학술대회논문집 Vol.2008 No.7

소프트웨어 보안을 위한 난독화 기술 동향

이경률(Kyung Roul Lee),육형준(Hyeung Jun Yeuk),임강빈(Kang Bin Yim),유일선(Ilsun You) 한국정보과학회 2016 정보과학회지 Vol.34 No.1

코드은닉을 이용한 역공학 방지 악성코드 분석방법 연구

이경률 ( Kyung Roul Lee ),임강빈 ( Kang Bin Yim ) 한국항행학회 2012 韓國航行學會論文誌 Vol.16 No.3

본 논문은 악성코드가 사용하는 자기방어기법을 방식에 따라 분류하고, 악의적인 코드를 보호하는 방법의 일종인 패킹에 대해 소개하였으며, 패킹을 이용하는 악성코드를 보다 빠르게 분석할 수 있는 방안을 제시하였다. 패킹기법은 악의적인 코드를 은닉하고 실행 시에 복원하는 기술로서 패킹된 악성코드를 분석하기 위해서는 복원 후의 진입점을 찾는 것이 필요하다. 기존에는 진입점 수집을 위하여 악성코드의 패킹 관련 코드를 자세히 분석하여야만 했다. 그러나 본 논문에서는 이를 대신하여 악성코드를 생성한 표준 라이브러리 코드 일부를 탐색하는 방법을 제시하였다. 제시한 방안을 실제로 구현하여 보다 신속히 분석할 수 있음을 증명하였다. This paper classifies the self-defense techniques used by the malicious software based on their approaches, introduces the packing technique as one of the code protection methods and proposes a way to quickly analyze the packed malicious codes. Packing technique hides a malicious code and restore it at runtime. To analyze a packed code, it is initially required to find the entry point after restoration. To find the entry point, it has been used reversing the packing routine in which a jump instruction branches to the entry point. However, the reversing takes too much time because the packing routine is usually obfuscated. Instead of reversing the routine, this paper proposes an idea to search some features of the startup code in the standard library used to generate the malicious code. Through an implementation and a consequent empirical study, it is proved that the proposed approach is able to analyze malicious codes faster.

Rustock B형과 C형의 감염절차 분석 및 은닉파일 추출

이경률 ( Kyung Roul Lee ),임강빈 ( Kang Bin Yim ) 한국항행학회 2012 韓國航行學會論文誌 Vol.16 No.1

최근 악성코드에 의한 피해가 개인이나 기업으로부터 기관이나 국가 차원으로 진화하고 있고 악성코드가 사용하는 기술 역시 점점 고도화되고 다양한 기법들을 흡수하여 매우 지능적으로 발전하고 있다. 한편, 보안전문가들은 시그니쳐 탐색 등의 정적 분석과 역공학 등의 동적 분석으로 이에 대응하고 있지만 이는 새로이 출현하는 지능적인 악성코드에 긴급히 대처하기에는 부족함이 있다. 따라서, 악성코드들의 행위 분석에 앞서 대개의 악성코드들이 가지는 감염절차 및 파일 은닉기법에 대한 분석을 우선적으로 수행하고 이를 토대로 재빠른 초동분석이 이루어진 후 그 무력화 방법을 포함한 제반 상세분석이 이루어질 것이 요구된다. 따라서 본 논문에서는 악성코드의 초기 진압을 위하여 요구되는 감염 절차의 분석과 파일 은닉기법의 분석 방안을 연구하였으며 그 과정에서 스팸메일을 발송하는 것으로 가장 널리 알려진 Rustock을 대상으로 실험하였다. 실험 결과를 통하여, 향후 새로이 출현하는 악성코드에 대한 재빠른 대처가 가능할 것으로 판단된다. The technologies used by the malicious codes have been being advanced and complicated through a merge of the existing techniques, while the damages by the malicious codes are moving from individuals and industries to organizations and countries. In this situation, the security experts are corresponding with the static analysis and the dynamic analysis such as signature searching and reverse engineering, respectively. However, they have had a hard time to respond against the obfuscated intelligent new zero day malicious codes. Therefore, it is required to prepare a process for a preliminary investigation and consequent detailed investigation on the infection sequence and the hiding mechanism to neutralize the malicious code. In this paper, we studied the formalization of the process against the infection sequence and the file hiding techniques with an empirical application to the Rustock malicious code that is most notorious as a spammer. Using the result, it is expected to promptly respond to newly released malicious codes.

항공 통신 기술 분야 : 개인 영상 및 음성 정보의 임의수집에 대한 대응방안

이경률 ( Kyung Roul Lee ),임강빈 ( Kang Bin Yim ) 한국항행학회 2011 韓國航行學會論文誌 Vol.15 No.3

본 논문은 개인용 컴퓨터에서 발생할 수 있는 프라이버시 영상 및 음성 정보 수집의 기술적 문제를 지적하고 이에 대응하기 위한 방안을 제시한다. 개인용 컴퓨터와 노트북의 사용이 보편화되면서 주변 기기들의 보급 또한 늘어나고 있으며 특히 카메라와 마이크의 경우 개인 프라이버시에 대한 침해가 일어날 수 있어 각별한 주의가 필요하다. 현재 카메라의 경우 사용 여부를 표시하기 위해 점멸등이 장착되어 있으나 그렇지 않은 경우가 대부분이며, 마이크의 경우에는 사용 여부를 표시하기 위한 수단이 전혀 준비되어 있지 않다. 이러한 허점은 장치 사용에는 아무런 문제가 되지 않으나, 사용자가 인지하지 못하는 시점에 악의적인 공격자에 의해 장치가 동작하여 영상이나 음성 같은 정보가 노출되어 개인 프라이버시의 침해를 일으킬 수 있다. 따라서 본 논문은 이를 대응하기 위하여 개인용 컴퓨터에 연결된 카메라와 마이크에 대한 접근을 시도하는 경우 이를 감지하여 사용자에게 통보하기 위한 방안을 제시하고 실제의 도청감시 소프트웨어 및 대응 소프트웨어를 구현하여 실험하였다. 제안한 방안을 실제 환경에 적용하면 프라이버시 노출문제를 효과적으로 해결할 수 있을 것으로 사료된다. This paper introduces technical aspects of the privacy exposure problem of the video and the audio information on the personal computer and proposes a countermeasure to them. According to the increased number of peripherals for computers, especially including the cameras and the mikes, it is required to be careful on the privacy exposure. Currently, some incorporated or standalone cameras have a pilot lamp to indicate their usage. However, many other cameras and all mikes have not equipped with the pilot lamp or other dedicated indicator. Even though this problem doesn`t obstruct their assigned functionalities, it should make the devices susceptible to be exposed with the information they are gathering without any notice to the owners. As a countermeasure to the problem, this paper proposes a reasonable solution that alarms the access trials to the devices and implements programs for the practical sniffing and its counterpart.

항공 통신 기술 분야 : Stuxnet의 파일 은닉 기법 분석 및 무력화 방법 연구

임강빈 ( Kang Bin Yim ),이경률 ( Kyung Roul Lee ) 한국항행학회 2010 韓國航行學會論文誌 Vol.14 No.6

본 논문은 현재 전 세계적으로 사이버전의 심각성을 자극하고 있는 악성코드인 Stuxnet에 대해 소개하고, Stuxnet이 전파되는 방법 및 감염 증상에 대해 분석하며 그 구조에 따른 치료 방안을 제안한다. Stuxnet과 같은 악성코드는 시스템 내에서 은닉되어 전파되기 때문에 이를 탐지하거나 치료하기 위해서는 이들이 사용하는 파일 은닉 기법을 분석해야 한다. 본 논문의 분석 결과, Stuxnet은 자신을 구성하는 파일들의 은닉을 위하여 유저레벨에서 라이브러리 후킹을 활용한 기법과 커널레벨에서 파일시스템 드라이버의 필터 드라이버를 활용한 기법을 사용하고 있다. 따라서 본 논문에서는 Stuxnet이 활용하는 파일 은닉 기법에 대한 분석 결과를 소개하고, 이를 무력화하기 위한 방안을 제시하며, 실험을 통해 실제 무력화가 가능함을 확인하였다. This paper introduces Stuxnet, a malicious ware that presently stimulates severity of the cyber warfare worldwide, analyses how it propagates and what it affects if infected and proposes a process to cure infected systems according to its organization. Malicious wares such as Stuxnet secretes themselves within the system during propagation and it is required to analyze file hiding techniques they use to detect and remove them. According to the result of the analysis in this paper, Stuxnet uses the library hooking technique and the file system filter driver technique on both user level and kernel level, respectively, to hide its files. Therefore, this paper shows the results of the Stuxnet`s file hiding approach and proposes an idea for countermeasure to neutralize it. A pilot implementation of the idea afterward shows that the stealthing techniques of Stuxnet are removed by the implementation.