* 전남대학교 시스템보안연구센터

** 목포대학교 정보보호학과

제1저자(First Author): 김민호, 교신저자(Corresponding Author): 김민수

접수일: 2012년 07월 03일, 수정일: 1차- 2012년 08월 16일, 게재확정일: 2012년 09월 19일

레지스트리관련 통계 정보를 이용한 악성코드 분석 프레임워크

김민호*, 김민수**, 노봉남*

The Framework for Malware Analysis using Statistical

Information of Registry

Min-ho Kim*, Minsoo Kim**, and Bong-nam Noh*

본 논문은 2011학년도 목포대학교 학술(정책)연구비 지원에 의한 연구결과임.

요 약

악성 코드의 위협 증가로 인하여 사이버 범죄가 지속적으로 증가하고 있다. 악성 코드를 탐지하기 위해 네

트워크 패킷, 바이너리 시그니처 비교, 역공학을 통한 코드 분석, 행위 패턴 분석, 레지스트리 시그니처에 대한

많은 연구가 진행되었다. 그러나 시그니처 분석 방법은 알려지지 않거나 변형된 악성코드 탐지에는 한계가 있

다. 따라서 레지스트리에 대한 상세 분석을 통해 악성 코드의 특징을 파악하고 이를 탐지하기 위한 방법이 필

요하다. 본 논문에서는 레지스트리 정보에서 악성코드를 구분하기 위한 통계적 척도를 제시한다. 그리고 이러

한 통계적 척도를 통한 분석 프레임워크를 제안하고 구현함으로써 악성코드 분석에 도움을 줄 것으로 기대

한다.

Abstract

Due to the increase of malware code threats, cyber crime is constantly increasing. For detecting malware codes, the network packet analysis, binary signature comparison, code analysis, analysis of behavior patterns, and registry signature have being studied. But, signature based analysis method meets the limitations in a part of detecting unknown or varied malwares. The methods for analysis of the registry information and feature extraction from malware is required. Therefore, we propose statistical measures to distinguish malware information from registry. And we suggest a malware analysis framework by statistical measures and show the implemented analysis framework.

Keywordsmalware detection, detection framework, registry analysis

98 韓國情報技術學會論文誌 제 10권 제 9호 2012년 09월

Ⅰ. 서 론

윈도우는 레지스트리(registry)에 운영체제에 대한

설정과 설치된 프로그램 및 서비스에 대한 정보를

데이터베이스 형태로 저장하고 있다[1]. 윈도우 시

스템에 대한 정보와 실행된 프로그램에 대한 기록

이 데이터 형태로 저장되기 때문에 악성 코드의 실

행과 행위 여부를 판단하는 자료로 사용될 수 있다. 또한 악성 코드는 자신의 전파와 복제를 목적으로

윈도우 레지스트리를 수정하는 기능을 대부분 탑재

하고 있다. 따라서 악성 코드를 탐지하기 위해서는

레지스트리에 대해 연구할 필요성이 있으며, 효율적

인 분석 방법을 제시할 필요가 있다. 레지스트리를 이용하여 악성 코드를 탐지하기 위

한 대표적인 방법은 레지스트리 키를 이용한 시그

니처 비교를 통해 악성 코드를 판별해 내는 것이다. 그러나 단순 시그니처 비교를 통해 악성 코드를 탐

지하는 방법은 변종 악성 코드나 신규 악성 코드를

탐지하는데 있어서 한계성을 지닌다. 레그리퍼

(Registry Ripper)와 같은 기존 레지스트리 분석 도구

는 레지스트리의 각각 항목과 데이터를 추출하는

등 포렌식적 관점에서 개발된 도구가 대부분이며, 악성 코드를 탐지하기 위해 특정한 항목만을 출력

해주는 경우가 대부분이다. 따라서 레지스트리의 전

체적인 흐름과 통계적인 분석 방법을 통해 악성 코

드를 탐지하기 위한 프레임워크 연구 개발이 필요

하다.본 논문에서는 악성 코드에서 사용하는 레지스트

리 항목을 저장하고 이를 가공하여 통계학적 분석

기법을 통해 악성 코드에 대한 탐지를 수행하기 위

한 방법을 제안한다. 이 방법을 통해서 레지스트리

데이터에서 악성 코드의 행위 패턴을 효율적으로

추출하여 분석할 수 있었다. 논문의 구성은 다음과 같다. 2장에서는 관련 연

구를 통해 기존 도구들에 대한 설명과 한계성을, 3장은 통계적 분석 기법을 통한 레지스트리 분석 기

법을, 4장에서는 레지스트리를 이용한 악성코드 분

석 프레임워크 개발 결과를, 5장에서는 분석 프레임

워크를 활용하여 악성 코드를 탐지하기 위한 방안

을 소개한다.

Ⅱ. 관련 연구

레지스트리는 운영체제에 대한 많은 정보를 포함

하고 있기 때문에 포렌식 및 악성 코드 탐지 분야

에서 활발히 연구가 이루어지고 있다[2]. 또한 레지

스트리를 분석하기 위한 도구가 존재하며 대표적으

로 Registry Ripper 프로젝트를 들 수 있으며, 레지

스트리 수집을 위해서는 RegMon이나 Regshot을 이

용할 수 있다[3]. 포렌식 관점에서 레지스트리를 분

석하기 위한 도구로는 Encase와 Registry Viewer 등이 존재한다.

레그리퍼는 Perl로 제작된 레지스트리 분석 도구

로서 디지털 포렌식을 위한 목적으로 제작되었다

[4]. 이것은 ntuser, software, security, system의 하이

브(hive) 파일에 대한 분석을 수행하며, 각각의 하이

브 파일에 대한 분석 결과를 보고서 형태로 출력한

다. 레지스트리 등록 항목에 대한 시간 및 정보를

확인할 수 있으며, 하이브 파일을 라이브러리로 사

용하지 않기 때문에 별도의 수집 도구를 이용하여

레지스트리 하이브 파일을 수집하는 과정이 필요하

다[5]. 인케이스(Encase)는 Guidance사에서 만든 포렌식

도구로서 수사에 가장 많이 활용되고 있는 도구이

다[6]. 상용 도구인 만큼 레지스트리 분석을 위한

기능이 포함되어있다. 인케이스에서 레지스트리 하

이브 파일을 로드하여 내부의 레지스트리 키 항목

을 확인할 수 있으며 추가적인 스크립트를 통해 레

지스트리를 분석하는 기능을 추가할 수 있다. 그러

나 이는 MRU나 네트워크 설정 등 포렌식 정보를

수집하기 위한 목적으로 설계되었기 때문에 악성

코드를 분석하는데 적합하지 않다. Access Data에서 제공하는 레지스트리 뷰어

(Registry Viewer)는 기존 레지스트리 에디터와 유사

하다[7]. 이 도구는 시간 정보와 같은 추가적인 정

보를 확인할 수 있으며, 레포트 기능이 포함되어있

다[8]. 그러나 입력데이터로 레지스트리 하이브 파

일을 적재하는 과정이 필요하고 실시간 분석은 어

렵다.Paraben의 Registry Analysis는 레지스트리 수집,

분석을 위한 도구이다[9]. 이것은 시스템의 레지스

레지스트리관련 통계 정보를 이용한 악성코드 분석 프레임워크 99

트리를 불러오거나 파일 형태로 저장된 레지스트리

하이브를 파싱하는 것이 가능하다. 또한 UserAssist, StreamMRU, ProgramsCache, SAM 등의 항목은 별도

의 키로 등록되어있어 분석에 수월함이 있다. 그러

나, 등록된 키 외에는 분석자가 직접 해당 키를 직

접 열람하여 분석해야하고, 악성 코드의 행위를 판

별하기 위한 레지스트리 키 패턴을 분석하기 위한

기능이 존재하지 않는 단점이 있다.

Ⅲ. 통계적 기법을 통한 악성 코드 분석

레지스트리 관련 본 논문에서는 방대한 레지스트

리 데이터에서 악성 코드의 행위 패턴을 추출하기

위해서 많은 자원이 소모되는 점을 해결하고자 통

계적 기법을 사용한다. 이 방법을 통하여 윈도우즈

레지스트리의 악성코드를 분석하고 탐지하기 위한

체제를 제시하고자 한다. 통계적 기법을 통한 분석

은 악성 코드에서 사용한 레지스트리에 대한 데이

터를 가공하여 각각의 항목에 따라 효율적인 알고

리즘을 통해 통계를 계산함으로서 이루어진다. 각항목의 통계에 대한 결과는 그래프 형태로 출력할

수 있다.

3.1 요약 시간 통계

요약 시간 통계는 레지스트리 키 데이터에서 접

근 시간을 ms(milli-second) 단위로 그룹화 하여 해

당 시간 내에 레지스트리 키 접근이 얼마나 이루어

졌는지에 대한 통계를 출력한다. 이때, 해당 시간에

데이터 접근이 이루어지지 않은 경우는 통계에서

제외한다. 요약 시간 통계를 계산하기 위한 수식은

다음과 같다.

(1)

식 (1)에서 는 ms단위로 레지스트리에 접근한

항목의 수이며, 는 (ms) 간격 동안의 레지스트리

접근 횟수를 나타낸다. 그림 1은 100ms 간격으로

측정된 레지스트리 접근 횟수를 연속된 그래프로

표현한 것이다.

그림 1. 요약 시간 통계

Fig. 1. Access statistics by time

그림 2. 반복적으로 발생하는 항목

Fig. 2. Repeated article

요약 시간 통계의 경우 그림 2와 같이 반복적인

레지스트리 접근 횟수가 나타나는 것을 확인할 수

있다. 이것은 반복적인 레지스트리 행위에 대한 특

징을 파악하는데 사용할 수 있다. 악성 코드

(win32.launchu3.autorun)는 감염 및 자기 보호를 위

해서 자동 실행 항목 등을 반복해서 저장하게 된다

[10]. 실제로 위와 같은 반복 수행 위치에 레지스트

리 키를 확인하면 표 1과 같이 악성 코드를 서비스

로 등록하기 위한 코드가 호출됨을 확인할 수 있다. 해당 영역에서 자동 실행 외에도 파일을 숨기기 위

한 “Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\” 하위의 Hidden, ShowSuperHidden, MapNet DrvBtn 등의 레지스트리 키에 접근하는 것을 확인

할 수 있다.

100 韓國情報技術學會論文誌 제 10권 제 9호 2012년 09월

Operation Path

RegSetValue

HKLM\SOFTWARE\Microsoft\Wind

ows\CurrentVersion\Explorer\Shell_

Folders\Common_Startup

RegSetValue

HKCU\Software\Microsoft\Windows\

CurrentVersion\Explorer\Shell_Fold

ers\Startup, \CV\Run

표 1. 자동 실행 레지스트리 등록 항목

Table 1. Registry auto-run entries

3.2 호출 프로세스 통계

호출 프로세스에 대한 통계는 데이터에서 레지스

트리 항목에 대한 접근을 프로세스 단위로 구별하

여 출력한다. 레지스트리에 자주 접근하는 정상적인

프로세스인 lsass, explorer, cftmon, svchost, winlogon, csrss, wmiprvse 등의 경우 악성코드와 구분되어져야

하므로 필터링이 필요하다. 그림 3은 단위 시간동안

정상적인 프로세스에서 레지스트리를 호출한 빈도

를 그래프로 표시한 것이다. 이를 이용하여 정상 프

로세스와 동일한 이름을 가진 변조된 프로세스를

구분할 수 있을 것이다.

그림 3. 정상 프로세스의 레지스트리 호출 통계

Fig. 3. Registry statistics of the normal process

악성 코드의 경우 악성 행위에 사용되는 코드의

은닉을 위해 시스템 및 특정 프로세스에 주입(Code Injection)하는 특징을 가지고 있다. 이 경우 호출 프

로세스 통계를 통해 시스템 프로세스에서 비정상적

으로 레지스트리 관련 호출 빈도가 높은 것을 탐지

할 수 있다. 정상 프로세스에 코드 인젝션을 수행하

여 프로세스 내부에서 레지스트리 등록을 수행하는

경우가 있으므로 정상 프로세스의 레지스트리 사용

특성을 분석하는 것이 필요하다. 그림 4는 정상적인

프로세스(explorer.exe, calc.exe)의 레지스트리 호출

통계와 비정상적인 프로세스의 레지스트리 호출 통

계를 비교한 것이다. 브리도랩(bredolab) 악성코드에

의해 감염된 시스템에서 비정상적인 프로세스

(12640004.exe)는 높은 레지스트리 접근 빈도를 보

이는 특징을 가지며, 이는 악성 프로세스(malware. exe)를 통해 감염되어 악성 행위를 수행한 결과이다.

그림 4. 프로세스 별 레지스트리 접근 빈도

Fig. 4. Frequency of registry access by a process

정상적인 상태의 경우 프로세스에서 레지스트리

에 접근하는 빈도가 일정하지만, 악성 코드의 경우

특정 프로세스에서 비정상적으로 많다. 시스템 프로

세스에서 레지스트리 호출 빈도는 수집 환경에 따

라 달라질 수 있으므로 동일한 환경에서 호출 프로

세스 통계를 계산하는 작업이 필요하다.

3.3 함수 통계

함수 통계는 레지스트리를 호출한 함수에 대한

통계로서 레지스트리에 대한 읽기, 쓰기, 삭제, 닫기

등의 작업을 수행하는 함수로 구분되어있다. 또한

추가적으로 프로세스를 생성하고 종료하는 함수에

대한 통계도 확인할 수 있다. 그림 5는 브리도랩의

레지스트리 관련 함수를 호출한 통계 결과를 보여

준다. 함수 통계 결과로 레지스트리 키를 생성하거

나 변경하는 레지스트리 함수의 호출 빈도를 찾아

볼 수 있다.

레지스트리관련 통계 정보를 이용한 악성코드 분석 프레임워크 101

그림 5. 레지스트리 함수 통계

Fig. 5. The statistics of registry related function

레지스트리 함수의 호출 빈도 외에도 몇몇 호출

함수의 연속적인 행위를 분석할 수 있다. 악성 코드

탐지를 위한 자동화된 행위 패턴 분석 방법[11]에따르면 레지스트리 호출 함수가 RegCreateKey, RegSetValue, RegCloseKey의 형태로 반복적으로 수

행된다면 악성 코드로 의심할 수 있다고 한다. 오토런 악성 코드(win32.launchu3.autorun)의 경우 자신을

자동 실행 항목으로 등록하기 위해 그림 6처럼 지

속적으로 RegCreateKey와 RegSetValue, RegCloseKey를 반복 호출한다. 이를 통해 레지스트리 경로를 기

준으로 악성코드로 판단할 수 있다.

그림 6. 연속적인 레지스트리 함수 호출 행위의 탐지

Fig. 6. The detection of registry-call routine

3.4 레지스트리 키 통계

레지스트리 키 통계는 레지스트리 하이브 내에

존재하는 키 항목에 대한 통계를 보여준다. 필터링

을 통해 특정한 하이브에 대한 키 통계를 확인할

수 있으며, 그래프 상에 표시되는 통계는 각 레지스

트리 항목의 호출 빈도이다. 그림 7은 자동 실행 악

성코드(autorun.launchu3)의 프로세스에서 접근한 레

지스트리 키의 통계값을 보여준다. 이러한 키 값은

악성코드를 구분하는 중요한 요소가 될 수 있다

[12]. 따라서 악성 코드를 판단하기 위해서 특정한

레지스트리 항목의 호출 빈도가 비정상적으로 높을

경우 이를 분석에 활용할 수 있다[13].

그림 7. 레지스트리 키 통계

Fig. 7. The statistics of registry keys

3.5 레지스트리 호출 결과 통계

그림 8은 레지스트리 호출 결과에 따른 통계를

나타낸 것이다. 레지스트리 호출에 대한 결과로 정

상적이라면 “Success”가 많이 발생하게 된다. 그러

나 “Buffer Overflow”나 “Name not found”가 많이 발

생하였다면 악성코드로 의심해 볼 수 있다. 따라서

레지스트리 호출 결과도 악성코드를 분석하는데 중

요한 요소이다.

그림 8. 레지스트리 호출 결과 통계

Fig. 8. The statistics of registry-call results

102 韓國情報技術學會論文誌 제 10권 제 9호 2012년 09월

Ⅳ. 악성코드 분석 프레임워크

본 논문에서는 통계적 기법을 통한 악성 코드 분

석 프레임워크를 제안한다. 프레임 워크는 요약 시

간 통계, 호출 프로세스 통계, 함수 통계, 레지스트

리 키 통계, 레지스트리 호출 결과 통계에 대한 기

능을 포함하고 있다.

4.1 악성코드 분석 프레임워크

본 논문에서 제안하는 악성 코드 분석 프레임워

크는 그림 9와 같은 구조로 이루어진다.

그림 9. 악성코드 분석 프레임워크

Fig. 9. The framework of malicious code analysis

데이터 항목 정보

ProcessName 프로세스 명

PID 프로세스 아이디

Operation 호출 레지스트리 함수

Path 레지스트리 키 경로

Result 호출 결과

Detail 세부 정보

Relative Time 호출 시간

표 2. 데이터 추출 항목

Table 2. The extracted data for analysis

악성 코드의 레지스트리 및 프로세스 정보에 대

한 자료 수집은 ProcMon을 통해 이루어진다. ProcMon은 Sysinternals에서 개발한 프로세스 모니터

링 도구로서 레지스트리, 네트워크, 프로세스에 대

한 정보를 수집하는 도구이다[3]. 수집된 데이터는

레지스트리 정보와 프로세스 정보로 나누어 추출된

다. 추출된 데이터 항목은 표 2와 같다.추출된 데이터에는 악성 코드에 대한 데이터 외

에 정상적인 데이터가 포함되어 있기 때문에 이를

제거하기 위한 작업이 필요하다. 데이터 프리프로세

싱 모듈은 기존의 정상적인 데이터와 수집된 데이

터를 비교하여 일치하는 항목을 제거하는 작업을

수행한다. 데이터 비교는 레지스트리 키 경로와 프

로세스를 기준으로 이루어지며, 시스템 프로세스의

경우 기본적으로 호출하는 정상 레지스트리 항목을

제외한다. 이후 분석자에 의해 선정된 필터를 적용

시킨 데이터를 이용하여 요약 시간 통계, 호출 프로

세스 통계, 함수 통계, 레지스트리 키 통계, 레지스

트리 호출 결과 통계를 계산하여 출력한다.

4.2 구현 결과 및 성능 평가

본 논문에서 제안한 레지스트리를 이용한 악성

코드 분석 프레임워크를 구현하여 테스트 하여 보

았다. 구현한 프로그램의 이름은 'MalReg'으로 실행

화면은 그림 10과 같다.

그림 10. 제안 프레임워크 구현 화면

Fig. 10. The GUI display of the framework

레지스트리관련 통계 정보를 이용한 악성코드 분석 프레임워크 103

Registry

RipperEncase

Registry

Viewer

Registry

AnalysisMalReg

Hive

AnalysisO O △ O

Path &

Key ViewO O O O O

Time O O O O O

Filter O O

Process

InformationO

Operation O

MalReg는 기본적인 하이브 파일에 대한 분석

기능을 제공하며, 레지스트리 경로 및 키, 시간 정

보 등을 확인할 수 있는 뷰가 존재한다. 기존 도구

들과는 다르게 레지스트리에 프로세스 정보를 연

계하여 악성 코드를 분석하기 위한 통계적인 정보

들을 그래프를 통해 제공한다. 포렌식이 아닌 악성

코드 분석을 위한 도구로서 행위 패턴을 파악하는

데 중점을 두었기 때문에 악성 행위를 판단하는데

있어서 유용한 도구가 될 것으로 기대된다.

표 3. 악성 코드 분석 방법의 기능 비교

Table 3. The comparative results of analysis tools for

malicious code

표 3에서는 기존에 레지스트리 관련 분석 도구인

레그리퍼(Registry Ripper), 인케이스, 레지스트리 뷰

어, Registry Analysis와 개발한 프레임워크 프로그램

인 MalReg의 기능을 비교한 내용이다. MalReg에서

는 하이브와 키 값 분석뿐만 아니라 필터링, 프로세

스와 함수 정보를 분석할 수 있다.

Ⅴ. 결 론

본 논문에서는 레지스트리 및 프로세스 행위 패

턴에 대한 통계를 통해 악성 코드를 분석하기 위한

프레임워크를 제안하였다. 레지스트리와 프로세스에

대한 정보는 악성 코드를 탐지하는데 있어서 중요

한 정보이나 데이터 크기가 방대하기 때문에 분석

하는데 어려움이 존재하였다. 이에 대한 효율적인

분석을 위해 데이터에서 주요 행위 정보를 추출하

고 이를 요약 시간, 호출 프로세스, 함수, 레지스트

리 키, 호출 결과로 분리하여 통계를 계산함으로써, 분석자가 효율적으로 행위 패턴에 대한 분석을 수

행할 수 있도록 하였다.특히, 악성 코드가 실행됨에 따라 프로세스 별

레지스트리 접근 행위가 특징적이라는 점에 착안하

고, 이러한 악성 코드의 레지스트리 특징과 프로세

스 정보를 연계하는 방법을 연구하였다. 그 결과로

레지스트리의 통계정보를 통하여 악성코드를 분석

할 수 있는 프레임워크를 제안하였다. 이 프레임워

크를 바탕으로 MalReg이라는 도구를 개발하였다. 이를 통하여 레지스트리를 통한 악성코드 분석에

도움을 줄 것이며, 더 나아가 봇넷 탐지 및 사이버

범죄 예방에 기여할 수 있을 것이다.

참 고 문 헌

[1] V. Thomas and P Ramagopal, "The rise of autorun-based malware", McAfee, 2009.

[2] Jolanta Thomassen, "FORENSIC ANALYSIS OF UNALLOCATED SPACE IN WINDOWS REGISTRY HIVE FILES", The University of Liverpool, 2008.

[3] 한경수, 신윤호, 임을규, "스팸메일로 전파되는

악성코드의 분석 및 대응 프레임워크", 보안공

학연구 논문지, 제 7권, 제 4호, pp. 363-384, 2010년 8월.

[4] RegRipper, http://regripper.wordpress.com/regripper/. [5] 김민호, 김민수, "레지스트리 연계항목을 이용

한 악성 코드 탐지 방안", 스마트미디어학회 학

술지, 제 1권, 제 1호, pp. 8-10, 2012년 4월. [6] Encase, http://www.guidancesoftware.com/. [7] Registry Viewer, http://accessdata.com/. [8] Vivienne Mee, Theodore Tryfonas, and Iain

Sutherland, "The Windows Registry as a forensic artefact", Digital Investigation, 2005.

[9] Registry Analysis, http://www.paraben-enterprise. com/index.html/.

[10] Melissa Mendick, "Top 10 XP Registry Hacks", Windows IT Pro, 2002.

[11] Cheng Wang, Jianmin Pang, and Rongcai Zhao, "Malware Detection Based on Suspicious Behavior Identification", 2009ETCS, 2009.

[12] 서희석, 최중섭, 주필환, "윈도우 악성코드 분

104 韓國情報技術學會論文誌 제 10권 제 9호 2012년 09월

류 방법론의 설계", 정보보호학회 논문지, 제 19권, 제 2호, pp. 83-92, 2009년 4월.

[13] 조강유, 장대일, 김민수, 정현철, 노봉남, "트래

픽 프로파일링 방법을 이용한 봇넷 탐지 기법", 한국정보기술학회 논문지, 제 9권, 제 9호, pp. 83-93, 2011년 9월.

저자소개

김 민 호 (Min-ho Kim)

2011년 2월 : 전남대학교

전자컴퓨터공학부(공학사)

2011년 3월 ~ 현재 : 전남대학교

정보보안협동과정 석사과정

관심분야 : 디지털 포렌식, 시스템

보안, 악성코드 탐지, 취약점 분석

김 민 수 (Minsoo Kim)

1993년 : 전남대학교 전산통계학과

(이학사)

1995년 : 전남대학교 전산통계학과

(이학석사)

2000년 : 전남대학교 전산통계학과

(이학박사)

2000년 ~ 2001년 :

한국인터넷진흥원 선임연구원

2001년 ~ 2004년 : 전남대학교 연구교수

2005년 ~ 현재 : 목포대학교 정보보호학과 부교수

관심분야 : 침입탐지, 디지털 포렌식스, 데이터마이닝,

악성코드 분석 등

노 봉 남 (Bong-Nam Noh)

1987년 : 전남대학교 수학교육과

(이학사)

1982년 : KAIST 전산학과

(이학석사)

1994년 : 전북대학교 전산과

(이학박사)

1983년 ~ 현재 : 전남대학교

전자컴퓨터공학부 교수

2000년 ~ 현재 : 시스템보안연구센터 소장

관심분야 : 디지털 포렌식, 시스템 및 네트워크 보안,

정보사회와 사이버 윤리