As the web-based malware distribution threat continues to expand, the security research on combating malware distribution networks is becoming increasingly important. On the other hand, attackers use various strategies to evade detection such as polymorphic malware and frequently changing the structure of malware distribution networks. For this reason, various detection and analysis approaches in response to emerging malicious web pages and malware were proposed. Since malware distribution networks are temporal networks that spread malware to unspecified general public through the drive-by download attack and malware is polymorphic, it is difficult to cope with the attack with the existing methods that simply classify malicious web page or analyze each malware. To solve the problem, this paper proposes an efficient analysis system for web-based malware collection that uses a virtual machine based interactive client honeypot. This system achieves efficient collection of malware by splitting the occurrence of a drive-by download attack into malware collection and analysis steps. In turn, the need to restore the virtual machine for each analysis of drive-by download attacks is eliminated; all malware samples from multiple malicious web pages can be collected for later analysis. To evaluate the system, web-based malware distributed from 320 distinct malicious web pages in South Korea were collected for 3 months using the system. The collected data was analyzed to identify malware distribution strategies. The evaluation showed that the system’s download and execution splitting technique improves the performance of malware collection by about 14.29% compared to a system without the technique. Also the analysis results indicated that the proposed system collected 138 undetected malware in advance and found out the frequent and continuous updates of malware. Furthermore, the result showed that actively and periodically collecting web-based malware can be assistive method to support the existing solutions.

웹을 통한 대규모 악성코드 유포에 대한 위협이 지속적으로 증가함에 따라, 이러한 악성코드 유포 네트워크의 위협에 대응하기 위한 노력들이 더욱 중요해 지고 있다. 공격자들은 악성코드 유포 네트워크의 구조를 빈번하게 변경함으로써 탐지와 차단을 우회하고 있으며, 보다 다양한 전략들을 사용하고 있다. 이러한 이유로, 점차 늘어나는 악성 웹 페이지 및 악성코드에 대응하기 위한 다양한 방법들이 제시되고 있다. 악성코드 유포 네트워크는 Drive-by download 공격을 활용하여 불특정 다수의 사용자들을 대상으로 악성코드를 대규모로 유포하기 위해 사용되며 필요에 따라 임시로 구성되기 때문에, 단순히 악성 웹 페이지를 구분하고 개별 악성코드를 분석하는 기존의 방식으로는 공격자들의 전략에 능동적으로 대응하기 어렵다는 문제가 있다. 이러한 문제를 해결하기 위해 본 논문에서는 가상 머신 기반의 고 상호작용 클라이언트 허니팟을 이용하여, 웹을 통해 유포되는 악성코드를 효율적으로 수집하고 분석하기 위한 시스템을 제안한다. 제안하는 시스템은 Drive-by download 공격이 일어나는 과정을 바탕으로 악성코드의 수집과 분석 과정을 구분하였으며, 이를 통해 악성코드 수집 과정에서의 불필요한 감염을 줄여 가상 머신의 이미지 복원 횟수를 줄였다. 또한 여러 개의 악성 웹 페이지들을 병렬로 분석하여 연속적으로 악성코드를 수집하는 과정에서, 동일한 Exploit tool kit에 의해 생성된 유포 페이지들에 대한 미탐을 줄였고, 가상 머신의 사용빈도를 줄임으로써 전체적인 악성코드 수집 성능을 향상시킬 수 있음을 보였다. 한편, 제안하는 시스템의 필요성과 효과를 증명하기 위해 실제 국내에서 웹을 통한 악성코드 유포에 활용되었던 320개의 악성 웹 페이지를 대상으로 약 3개월 동안 악성코드를 수집하였으며, 수집 데이터를 바탕으로 악성코드의 변화를 추적하고 악성코드 유포 네트워크의 특징을 분석하여 공격자들의 악성코드 유포 전략을 구체적으로 확인하였다. 그리고 제안하는 시스템을 활용한 능동적, 주기적인 악성코드 수집을 통해 기존 악성 웹 페이지 기반의 차단 기술을 보완할 수 있는 2차적인 대응 방안의 가능성을 확인하였다.