• • Dataset ID : KISA_2016_Script.01
  • 이         름 : Script Sample
• • 제 공 자 : KISA R&D기술공유센터
  • 수집기간 : 2014년 5월~2017년 2월
  • 수집방법 : 직접생성

KISA에서 정보보호 R&D과제를 통해 개발된 패턴기반 장비들을 우회할 수 있는 “난독화된 자바 스크립트 해제“ 기술 성능평가에 활용된 공격 원본 스크립트 5종 샘플, 난독화 도구 4종을 사용한 난독화된 스크립트, 난독화 기법 11종에 대한 분석자료이다.

난독화된 자바 스크립트 해제 기술은 난독화된 자바 스크립트에 포함된 JS 실행 함수(Eval, Document.write 등)를 출력 함수로 치환한 다음, 자바 스크립트 엔진 실행을 통해 출력된 평문 스크립트를 통해 난독화를 해제하는 기술로, 11종 난독화 기법들의 패턴을 분류하고, 각 기법에 맞는 해제방법을 찾아내어 난독화된 다양한 스크립트를 우수한 성능으로 해독하는 것을 확인하였다.

본 데이터셋은 스크립트 난독화를 위해 사용되는 난독화 도구 4종과 난독화 기법 11종에 대한 분석자료가 포함되어 있어 난독화된 악성스크립트 대응을 위한 다양한 연구와 기술개발에 활용할 수 있다. 예를 들어 Hidden Iframe 등과 같이 악성코드 감염에 악용되는 악성 스크립트를 4종의 도구로 난독화된 스크립트를 만들어 웹방화벽, IPS 등 보안 장비의 악성 스크립트 탐지 성능검증에 활용할 수 있고, 난독화된 스크립트 패턴 분석을 통해 새로운(Unknown) Packer를 통해 생성된 악성 스크립트 대응 연구에 활용 될 수 있다.

또한, 4종의 난독화 도구가 사용하는 기법은 난독화 기법 분석 자료를 활용해 난독화된 스크립트가 생성되는 방식을 이해하고, 악의적인 목적 난독화된 악성 스크립트에 의한 침해사고 예방을 위한 탐지 패턴 연구 등에도 활용 가능할 것으로 기대된다.

• • 파일크기 : 6.416MB
  • 키 워 드 : 스크립트 기반 사이버공격, 악성 스크립트, 난독화, Packer, HTML5, 컨텐츠 정밀분석
• • 데이터셋을 활용하여 검증된 기술
    - 모바일 악성스크립트 탐지 시스템 [관련 자료 링크]
    - 악성 스크립트 배포 웹 사이트 점검 시스템 [관련 자료 링크]

• • 원본 스크립트 : 공격에 사용된 원본 스크립트
    
  • 난독화된 스크립트 : 스크립트에 Packer를 결합하여 생성된 스크립트
    
  • 난독화기법 자료 :난독화 기법11종에 관한 분석자료