Detailed Information

Cited 0 time in webofscience Cited 0 time in scopus
Metadata Downloads

프로세스 가상 메모리 데이터 유사성을 이용한 프로세스 할로윙 공격 탐지Proposal of Process Hollowing Attack Detection Using Process Virtual Memory Data Similarity

Other Titles
Proposal of Process Hollowing Attack Detection Using Process Virtual Memory Data Similarity
Authors
임수민임을규
Issue Date
Apr-2019
Publisher
한국정보보호학회
Keywords
Fileless malware; malware; Process hollowing; malware detection; Process memory; Memory similarity
Citation
정보보호학회논문지, v.29, no.2, pp 431 - 438
Pages
8
Indexed
KCI
Journal Title
정보보호학회논문지
Volume
29
Number
2
Start Page
431
End Page
438
URI
https://scholarworks.bwise.kr/hanyang/handle/2021.sw.hanyang/147979
DOI
10.13089/JKIISC.2019.29.2.431
ISSN
1598-3986
2288-2715
Abstract
파일리스 악성코드는 악성 행위를 수행할 페이로드의 흔적을 은닉하기 위해 메모리 주입 공격을 이용한다. 메모리주입 공격 중 프로세스 할로윙이라는 이름의 공격은 시스템 프로세스 등을 일시정지 상태로 생성시킨 다음, 해당 프로세스에 악성 페이로드를 주입시켜 정상 프로세스인 것처럼 위장해 악성행위를 수행하는 방법이다. 본 논문은 프로세스 할로윙 공격이 발생했을 경우, 악성 행위 실제 수행 여부와 상관없이 메모리 주입 여부를 검출할 수 있는 방법을 제안한다. 메모리 주입이 의심되는 프로세스와 동일한 실행 조건을 갖는 복제 프로세스를 실행시키고, 각 프로세스 가상 메모리 영역에 속해있는 데이터 집합을 퍼지 해시를 이용해 비교한 다음 유사도를 산출한다.
Fileless malware uses memory injection attacks to hide traces of payloads to perform malicious works. During thememory injection attack, an attack named “process hollowing” is a method of creating paused benign process like systemprocesses. And then injecting a malicious payload into the benign process allows malicious behavior by pretending to be anormal process. In this paper, we propose a method to detect the memory injection regardless of whether or not the malicious action isactually performed when a process hollowing attack occurs. The replication process having same execution condition as theprocess of suspending the memory injection is executed, the data set belonging to each process virtual memory area iscompared using the fuzzy hash, and the similarity is calculated.
Files in This Item
Go to Link
Appears in
Collections
서울 공과대학 > 서울 컴퓨터소프트웨어학부 > 1. Journal Articles

qrcode

Items in ScholarWorks are protected by copyright, with all rights reserved, unless otherwise indicated.

Related Researcher

Researcher Im, Eul Gyu photo

Im, Eul Gyu
COLLEGE OF ENGINEERING (SCHOOL OF COMPUTER SCIENCE)
Read more

Altmetrics

Total Views & Downloads

BROWSE