본 논문에서는 네트워킹에 사용되는 send라는 공용 라이브러리 함수를 후킹하여 임의의 악성 코드를 확산시킬 수 있는 새로운 악성코드 전파기법 및 대응기법을 제안한다. 제안하는 악성코드 전파기법은 사용자의 직접 개입 없이, 실행파일이나 문서파일의 전송 과정에서 send 함수의 두 번째 매개변수를 변조(즉, 악성코드 삽입)하여 전파된다. 전송 파일의 기능은 그대로 유지된다. 악성코드 확산을 위해 패킷의 CRC를 계산하거나 네트워크 암호화 프로토콜을 고려할 필요가 없으며, 공격 대상 시스템에 직접 접근하지 않아도 된다. MS 윈도우 NT/XP 상에서 실험한 결과, 웹 브라우저나 메신저 등 send 함수를 사용하는 모든 네트워크 애플리케이션을 통해 악성코드를 전파시킴을 확인하였다. 이 기법에 의한 악성코드 확산의 대응책으로, send() 함수 후킹 여부 감시, 네트워크 프로토콜 계층 간에 전송 데이터 무결성 검증, 응용 수준의 암호화, 안전한 바이너리 패킹 등을 제시한다.
In this paper, we propose a new malware propagation technique which can spread malicious codes by hooking the function send(), and its countermeasure. The send() is one function of a shared library (DLL) used in network communication. The proposed technique propagates malicious codes by modifying the second argument of the send() and inserting the malicious codes whenever the send() is called to transfer executable files or document files. The propagation technique does not require any sort of direct user intervention as well as change the functionality of the files to be sent. In addition, the attacker does not have to calculate the CRC of packets, consider cryptographic protocols, and access directly to the target systems. We have performed some experiments on MS Windows NT/XP and verified that some malicious codes are propagated through all kinds of network applications including web browsers and messengers. As the possible countermeasures against the new mal ware propagation technique, we address the following four methods: the detection of the send function hooking, data integrity verification between network protocol layers, an application-level encryption, and secure binary packing methods.
