正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法
【課題】正常プロセスに仮装された悪性コードを検出する。
【解決手段】悪性コード検出システム200は、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別して前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュール211と、前記抽出されたコードを仮想環境で実行し、行為を分析した結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュール212と、を含み、コンピュータシステム上で実行中のプロセスから生成されたスレッドが悪性コードによって生成されたスレッドであるか否かを1次的に判断し、悪性と疑われれば、仮想環境での悪性コード行為を追加的に分析する。
【解決手段】悪性コード検出システム200は、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別して前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュール211と、前記抽出されたコードを仮想環境で実行し、行為を分析した結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュール212と、を含み、コンピュータシステム上で実行中のプロセスから生成されたスレッドが悪性コードによって生成されたスレッドであるか否かを1次的に判断し、悪性と疑われれば、仮想環境での悪性コード行為を追加的に分析する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、正常プロセスに偽装挿入された悪性コードを検出するための装置、システム及び方法に関し、さらに詳細には、コンピュータシステム上で実行中のプロセスのスレッド情報を抽出し、悪性コードによって生成されたスレッドであるか否かを識別し、仮想環境での悪性コード行為を分析し、正常プロセスに偽装挿入された悪性コードを検出するシステム及び方法に関する。
【背景技術】
【0002】
最近、インターネットサービスが多様化されるにつれ、インターネット使用率が増加していて、これによって、コンピュータウイルスやインターネットワームなどのような悪性コードがインターネットを介して広く拡散され、ユーザに多くの被害をもたらしている。特に、2009年77大乱を誘発したボット(bot)のような悪性コードによる被害が続出している。このような悪性コードは、自分がサーバーの役目をするために、正常プロセスにスレッドを挿入し、C&C(Command and Control)によって統制を受けながら、ユーザPCで悪性行為を行う。このような悪性コードは、自分の存在を隠すために、DLLインジェクションまたはコードインジェクション技法を用いて正常プロセスに仮装し、自分を隠す。
【0003】
従来の悪性コード検出方法は、バイナリーハッシュ値または特定領域の連続されたバイトシーケンス(byte sequence)をシグネチュアに生成比較し、悪性可否を判断し、当該プロセスを強制終了させ、ファイルを削除する。しかし、バイナリーパターン比較方式に依存するので、既に知られており、悪性コードのバイナリーパターンデータベースに登録されている悪性コードに対しては、確実な診断率を期待することができるが、まだ知られていない悪性コードに対しては、診断自体が不可能であるという短所がある。
【0004】
また、悪性コードの検出及び処理のために、特定のAPIをフッキング(hooking)するか、または、カーネル階層でのフッキングを利用する方法があるが、前者の場合は、特定のAPIのみを対象にフッキングして悪性コードの行為を中間でモニタリングし、ユーザの判断によって悪性可否を判断し、遮断可否を決定しなければならないし、また、後者の場合は、システムの誤動作による深刻な障害を誘発することがあり得るという問題がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】韓国特許登録第10−0786725号
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、前述のような問題点を解決するためになされたもので、その目的は、コンピュータシステム上で実行中のプロセスから生成されたスレッドが悪性コードによって生成されたスレッドであるか否かを1次的に判断し、悪性と疑われれば、仮想環境での悪性コード行為を追加的に分析することによって、正常プロセスに仮装された悪性コードを検出するシステム及び方法を提供することにある。
【課題を解決するための手段】
【0007】
本発明の一実施例による悪性コード検出装置は、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、前記抽出されたコードを仮想環境で実行し、行為を分析した結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールと、を含む。
【0008】
本発明の他の実施例による悪性コード検出システムは、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、前記抽出されたコードの仮想環境行為の分析結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールとを備える悪性コード検出装置と、前記悪性コード検出モジュールによって抽出されたコードを仮想環境で実行し、前記コードの行為に対するログを生成するログ生成モジュールと、前記ログを利用して前記コードの行為が運営体制防火壁及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成または変更行為のうち1つに該当するか否かを分析し、前記分析結果を前記悪性コード強制終了モジュールに伝達する悪性行為識別モジュールとを備える仮想環境悪性コード行為分析装置と、を含む。
【0009】
さらに、本発明の他の実施例による悪性コード検出方法は、コンピュータシステム上で実行中のプロセスリスト及び各プロセスに属するスレッド情報を抽出する段階と、前記スレッドと関連されたコードを識別し、前記プロセスの仮想メモリ、前記コードのPE属性、前記コードとサービスプロセスとの連関性及びスレッドスタックのうち少なくとも1つを検査することによって、前記識別されたコードの悪性可否を推定する段階と、前記悪性と推定されたコードの悪性脅威度を算出する段階と、前記算出された悪性脅威度がしきい値以上のコードを抽出して仮想環境悪性コード行為分析装置に分析要請する段階と、前記仮想環境悪性コード行為分析装置から受信された分析結果に基づいて前記コードを悪性コードとして最終判断する段階と、前記悪性コードとして最終判断されたコードの実行を強制終了する段階と、を含む。
【発明の効果】
【0010】
本発明による悪性コード検出システム及び方法を利用すれば、既に発見された悪性コードだけでなく、まだ発見されていない悪性コードや既に発見された悪性コードの変形されたコードをも検出することができるようになり、悪意的行為の可能性がある未知の悪性コードにも効果的に対応することができると共に、事故調査用として活用することができる。
【0011】
また、コンピュータシステム上で実行中のプロセスから生成されたスレッドを抽出して、悪性コードによって生成されたスレッドであるか否かを1次的に判断し、悪性と疑われれば、仮想環境での悪性コード行為を追加的に分析することによって、悪性コードの誤検出率を低減することができる。
【図面の簡単な説明】
【0012】
【図1】本発明による悪性コード検出システムを利用して正常プロセスに偽装挿入された悪性コードを検出する概念を説明する図である。
【図2】本発明の一実施例による悪性コード検出システムの構成を示すブロック図である。
【図3】本発明の一実施例によって正常プロセスに偽装挿入された悪性コードを検出する方法を示す流れ図である。
【発明を実施するための形態】
【0013】
以下、添付図面を参照して本発明の実施例について本発明の属する技術分野における通常の知識を有する者が容易に実施することができるように詳細に説明する。しかし、本発明は、様々な他の形態に変形されることができ、本発明の範囲が下記実施例に限定されるものではない。なお、図面において、本発明を正確に説明するために、説明と関係ない部分を省略し、明細書全般において、同一の参照符号は同一の構成要素を示す。
【0014】
また、明細書全般において、或る部分が任意の構成要素を「含む」とするとき、これは、特に反対される記載がない限り、他の構成要素を除外するものではなく、他の構成要素をさらに含むことができることを意味する。また、明細書に記載された「…部」、「モジュール」などの用語は、少なくとも1つの機能や動作を処理する単位を意味し、これは、ハードウェアやソフトウェアまたはハードウェア及びソフトウェアの組合せによって具現されうる。
【0015】
図1は、本発明による悪性コード検出装置を利用して正常プロセスに偽装挿入された悪性コードを検出する概念を説明する図である。図示のように、一般プロセス1、3は、一般スレッドを生成する。一方、悪性プロセス2は、自分のプロセスを隠すために、他の正常プロセス1、3に悪性行為を行う悪性コードをDLLインジェクションまたはコードインジェクション技法を利用して挿入する。挿入された悪性コードは、正常プロセスの一部分のように動作するようになるので、識別が困難であり、挿入された悪性コードによって悪性行為を担当する悪性スレッド20、30が生成される。本発明による悪性コード検出システム100は、このような正常プロセスに挿入された悪性スレッド20、30を検出するためのものである。
【0016】
図2は、本発明の一実施例による悪性コード検出システムの構成を示すブロック図である。
【0017】
悪性コード検出システム200は、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を検査して悪性と疑われるコードを抽出する悪性コード検出装置210と、悪性コード検出装置210によって抽出されたコードを仮想環境で実行し、悪性行為を分析する仮想環境悪性コード行為分析装置220とを含む。
【0018】
具体的に、悪性コード検出装置210は、悪性コード検出モジュール211と悪性コード遮断及び強制終了モジュール212とを含む。一実施例において、悪性コード検出装置210は、ユーザPCで実行されるものと記載されているが、その他、ラップトップ、携帯用コンピュータまたはタブレットなどネットワーク機能を具備した多様な類型の機器のうち1つで行われることができ、これらに限定されない。
【0019】
悪性コード検出モジュール2110は、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出してスレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されるコードを抽出し、悪性コード行為分析装置220に伝達する。前記スレッドと関連されたコードは、コンピュータ上で実行中の実行ファイルであるか、またはプロセスに動的にリンクされたDLL(Dynamic Link Library)である。悪性コード検出モジュール210は、前記プロセスの仮想メモリ、前記識別されたコードのPE(Portable Executable)属性、前記識別されたコードのサービスプロセスとの連関性及び前記スレッドと関連されたスレッドスタックのうち少なくとも1つを検査することによって、前記コードの悪性可否を推定する。本発明による悪性可否推定過程は、図3を参照してさらに詳しく後述する。
【0020】
悪性コード遮断及び強制終了モジュール212は、悪性コード行為分析装置220の分析結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する。また、前記悪性コードをクライアントのメモリから削除することができる。
【0021】
仮想環境悪性コード行為分析装置220は、悪性コード検出装置210から伝達されたコードを仮想環境で実行させて、コードの行為を分析し、分析結果を悪性コード検出装置210に提供する役目をする。図面において、仮想環境悪性コード行為分析装置220は、悪性コード検出装置210が実行されるユーザPCと物理的に区別されるサーバー上で実行されるものと記載されており、このような実施例に限定されるものではなく、具現によっては悪性コード検出装置210と同一のシステム上に具現可能である。
【0022】
具体的に、仮想環境悪性コード行為分析装置220は、悪性コード行為ログ生成モジュール221と悪性行為分析モジュール222とを含む。
【0023】
悪性コード行為ログ生成モジュール221は、悪性コード検出装置210から伝達されたコードを仮想環境で実行し、コードの行為に対するログを生成する。悪性行為分析モジュール222は、ログを分析し、前記コードの行為が運営体制防火壁及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成または変更行為であるか否かを分析し、前記分析結果を悪性コード検出装置210の悪性コード遮断及び強制終了モジュール212に伝送する。
【0024】
仮想環境をエミュレーションしてコードの行為を分析する過程は、サンドボックス(Sandbox)など本技術分野に公知されたツールを利用して具現することができるので、これに関する詳しい説明は、本明細書で省略する。
【0025】
図3は、本発明の一実施例によって正常プロセスに偽装挿入された悪性コードを検出する方法を示す流れ図である。図3には、便宜上、段階S311乃至段階S319は、悪性コード検出装置210で行われ、段階S321乃至段階S323は、仮想環境悪性コード行為分析装置220で行われるものと示されているが、これは、一例に過ぎず、本発明の段階S311乃至S319及び段階S321乃至S323が必ず物理的に分離された装置上で具現されるものに限定されるわけではない。
【0026】
段階S311で、システム上で動作するプロセスリストを抽出し、各プロセスに属するスレッド情報、例えば、スレッド個数、各スレッドの開始アドレス及びベースアドレスを抽出する。
【0027】
段階S312で、スレッドに対する悪性可否を検査する。具体的に、悪性可否は、スレッドを生成した主体識別段階S3121、仮想メモリ検査段階S3122、PE(Portable Executable)分析段階S3123、サービスプロセス検査S3124及びスレッドスタック検査段階S3125を含む。
【0028】
まず、段階S3121で、スレッドを生成したコード、すなわち、実行ファイルまたはDLLを識別する。DLLを識別するためには、スレッドを生成したプロセスにリンクされたDLLのうち動的リンクされたDLLを抽出し、DLLのベースアドレスとメモリにマップされた(mapped)サイズを求める。実行ファイルまたは動的リンクされたDLLのうちベースアドレスとメモリにマップされた範囲が当該スレッドの開始アドレスを含んでいる実行ファイルまたはDLLを検索し、当該スレッドを生成した実行ファイルまたはDLLを識別する。
【0029】
仮想メモリ検査段階S3122で、スレッドを生成したプロセスの仮想メモリに段階S3122で識別されたDLLファイル名の文字列があるか否かを検査し、DLLファイル名の文字列が存在する場合、当該DLLがDLLインジェクション技術を利用して正常プロセスに偽装挿入された悪性コードである可能性があると判断する。
【0030】
PE分析段階S3123で、前記識別されたDLLのPEフォーマットを検査し、非正常的な要素があるか否かを判断する。一例として、PEフォーマットに多く使用されるビジュアルスタジオ、C++ビルダー、デルファイ、ビジュアルベーシックなどの汎用コンパイラによって生成されたデータ以外の未知の(unknown)セクションが含まれていれば、当該DLLが正常プロセスに偽装挿入された悪性コードである可能性があると判断する。また、チェックサムが正しくないか、PE属性内のファイルサイズと探索器から出たファイルサイズが異なる場合にも、当該DLLが悪性である可能性があると判断する。
【0031】
サービスプロセス検査段階S3124で、前記識別されたDLLがウィンドウ運営体制で実行中のサービスプロセスに動的リンクされているか否か、そしてサービス情報が含まれているレジストリに当該DLLを含むサービスがあるか否かを検査する。DLLを含んでいるサービスがある場合、当該サービスの属性、例えばサービスタイプ、開始類型、従属性、所属グループ情報などを検査する。検査結果、DLLを含んでいるサービスが他のサービスとの連関性及び従属性がないか、または、自動開始が設定されている場合、悪性DLLによって生成されたサービスである可能性があると判断する。
【0032】
スレッドスタック検査段階S3125から段階S3121までにおいて、当該スレッドを生成したDLLが発見されない場合、スレッドスタックを追跡し、スレッドが使用中のDLLリストを順次に獲得した後、DLLのPE属性を検査し、未知のセクションがあるか否かを検査する。DLLのPE検査は、前述の段階S3123と同一である。検査結果、未知のセクションがあるDLLを正常プロセスに偽装挿入された悪性コードである可能性があると判断する(S3125)。
【0033】
段階S313で、悪性コードによって生成されたものと推定されるDLLの悪性脅威度を算出する。一例として、前述の段階(S3121乃至S3125)の検査過程では、当該DLLが悪性である可能性があると判断された場合、これに対応するフラグを設定する。例えば、仮想メモリ検査段階S3122で、当該DLLファイル名の文字列が存在すれば、DLLインジェクションフラグを設定する。PE分析段階S3123では、PEフォーマット内に未知の(Unknown)セクションがあれば、未知のセクションフラグを設定し、チェックサムが正しくない場合、チェックサムフラグを設定し、PE属性内のファイルサイズと検出器から出たファイルサイズが異なる場合、ファイルサイズフラグを設定する。サービスプロセス検査段階S3124では、サービスフラグを、スレッドスタック検査段階S3125では、スレッドスタックフラグを設定する。
【0034】
悪性可否による脅威度算出段階S313では、前述の検査段階で設定されたフラグによって点数を「高い」、「中間」、「低い」の3段階で脅威点数を計算する。例えば、インジェクションされたDLLの場合、高い(10点)、未知のセクションの場合、低い(1点)、サービスで動作するDLLの場合、中間(5点)などのような方式で脅威度を算出する。
【0035】
段階S314において、段階S313で求められた悪性脅威度がしきい値以上の場合、前記スレッドを悪性スレッドであると判断し、そうでない場合は、次のスレッドに対して悪性可否を検査するために段階S312に戻る。
【0036】
段階S315において、悪性スレッドとして判断されたスレッドと関連された実行ファイルまたはDLLファイルを抽出する。
【0037】
段階S316において、抽出された実行ファイルまたはDLL(以下、コードという)を仮想環境悪性コード行為分析装置220に伝送し、分析を要請する。
【0038】
段階S321において、仮想環境悪性コード行為分析装置220は、悪性コード検出装置210によって悪性脅威度が高いと判断されたコードを受信する。
【0039】
段階S322において、仮想環境で当該コードを実行し、ファイル及びレジストリの接近、ネットワーク送受信行為に対するログを生成し、ログ分析を通じて前記コードの行為が運営体制防火壁及びワクチンを無力化する行為であるか否か、自分が実行される環境であるかまたは仮想環境であるかを確認する行為、ファイル及びレジストリを生成したり変更したりする行為を含む悪性行為のうち1つに該当するか否かを判断する。
【0040】
段階S323において、前記分析結果を悪性コード検出装置210に伝送する。
【0041】
段階S317において、分析結果を受信し、段階S318で分析結果が悪性行為に該当する場合、前記実行コードを悪性コードとして最終判断する。
【0042】
段階S319において、前記悪性コードの実行を強制終了し、当該コードを削除する。
【0043】
以上、本発明について好ましい実施例を中心に説明した。本発明の属する技術分野における通常の知識を有する者は、本発明が本発明の本質的な特性から逸脱しない範囲内で変形された形態で具現されることができることを理解することができるだろう。したがって、開示された実施例は、限定的な観点でなく、説明的な観点で考慮されなければならない。本発明の範囲は、前述の説明ではなく、特許請求範囲に示されており、それと同等な範囲内にあるすべての差異点は、本発明に含まれたものと解すべきである。
【符号の説明】
【0044】
1、3 一般プロセス
2 悪性プロセス
10、40 一般スレッド
20、30 悪性スレッド
100 悪性コード検出システム
【技術分野】
【0001】
本発明は、正常プロセスに偽装挿入された悪性コードを検出するための装置、システム及び方法に関し、さらに詳細には、コンピュータシステム上で実行中のプロセスのスレッド情報を抽出し、悪性コードによって生成されたスレッドであるか否かを識別し、仮想環境での悪性コード行為を分析し、正常プロセスに偽装挿入された悪性コードを検出するシステム及び方法に関する。
【背景技術】
【0002】
最近、インターネットサービスが多様化されるにつれ、インターネット使用率が増加していて、これによって、コンピュータウイルスやインターネットワームなどのような悪性コードがインターネットを介して広く拡散され、ユーザに多くの被害をもたらしている。特に、2009年77大乱を誘発したボット(bot)のような悪性コードによる被害が続出している。このような悪性コードは、自分がサーバーの役目をするために、正常プロセスにスレッドを挿入し、C&C(Command and Control)によって統制を受けながら、ユーザPCで悪性行為を行う。このような悪性コードは、自分の存在を隠すために、DLLインジェクションまたはコードインジェクション技法を用いて正常プロセスに仮装し、自分を隠す。
【0003】
従来の悪性コード検出方法は、バイナリーハッシュ値または特定領域の連続されたバイトシーケンス(byte sequence)をシグネチュアに生成比較し、悪性可否を判断し、当該プロセスを強制終了させ、ファイルを削除する。しかし、バイナリーパターン比較方式に依存するので、既に知られており、悪性コードのバイナリーパターンデータベースに登録されている悪性コードに対しては、確実な診断率を期待することができるが、まだ知られていない悪性コードに対しては、診断自体が不可能であるという短所がある。
【0004】
また、悪性コードの検出及び処理のために、特定のAPIをフッキング(hooking)するか、または、カーネル階層でのフッキングを利用する方法があるが、前者の場合は、特定のAPIのみを対象にフッキングして悪性コードの行為を中間でモニタリングし、ユーザの判断によって悪性可否を判断し、遮断可否を決定しなければならないし、また、後者の場合は、システムの誤動作による深刻な障害を誘発することがあり得るという問題がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】韓国特許登録第10−0786725号
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、前述のような問題点を解決するためになされたもので、その目的は、コンピュータシステム上で実行中のプロセスから生成されたスレッドが悪性コードによって生成されたスレッドであるか否かを1次的に判断し、悪性と疑われれば、仮想環境での悪性コード行為を追加的に分析することによって、正常プロセスに仮装された悪性コードを検出するシステム及び方法を提供することにある。
【課題を解決するための手段】
【0007】
本発明の一実施例による悪性コード検出装置は、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、前記抽出されたコードを仮想環境で実行し、行為を分析した結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールと、を含む。
【0008】
本発明の他の実施例による悪性コード検出システムは、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、前記抽出されたコードの仮想環境行為の分析結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールとを備える悪性コード検出装置と、前記悪性コード検出モジュールによって抽出されたコードを仮想環境で実行し、前記コードの行為に対するログを生成するログ生成モジュールと、前記ログを利用して前記コードの行為が運営体制防火壁及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成または変更行為のうち1つに該当するか否かを分析し、前記分析結果を前記悪性コード強制終了モジュールに伝達する悪性行為識別モジュールとを備える仮想環境悪性コード行為分析装置と、を含む。
【0009】
さらに、本発明の他の実施例による悪性コード検出方法は、コンピュータシステム上で実行中のプロセスリスト及び各プロセスに属するスレッド情報を抽出する段階と、前記スレッドと関連されたコードを識別し、前記プロセスの仮想メモリ、前記コードのPE属性、前記コードとサービスプロセスとの連関性及びスレッドスタックのうち少なくとも1つを検査することによって、前記識別されたコードの悪性可否を推定する段階と、前記悪性と推定されたコードの悪性脅威度を算出する段階と、前記算出された悪性脅威度がしきい値以上のコードを抽出して仮想環境悪性コード行為分析装置に分析要請する段階と、前記仮想環境悪性コード行為分析装置から受信された分析結果に基づいて前記コードを悪性コードとして最終判断する段階と、前記悪性コードとして最終判断されたコードの実行を強制終了する段階と、を含む。
【発明の効果】
【0010】
本発明による悪性コード検出システム及び方法を利用すれば、既に発見された悪性コードだけでなく、まだ発見されていない悪性コードや既に発見された悪性コードの変形されたコードをも検出することができるようになり、悪意的行為の可能性がある未知の悪性コードにも効果的に対応することができると共に、事故調査用として活用することができる。
【0011】
また、コンピュータシステム上で実行中のプロセスから生成されたスレッドを抽出して、悪性コードによって生成されたスレッドであるか否かを1次的に判断し、悪性と疑われれば、仮想環境での悪性コード行為を追加的に分析することによって、悪性コードの誤検出率を低減することができる。
【図面の簡単な説明】
【0012】
【図1】本発明による悪性コード検出システムを利用して正常プロセスに偽装挿入された悪性コードを検出する概念を説明する図である。
【図2】本発明の一実施例による悪性コード検出システムの構成を示すブロック図である。
【図3】本発明の一実施例によって正常プロセスに偽装挿入された悪性コードを検出する方法を示す流れ図である。
【発明を実施するための形態】
【0013】
以下、添付図面を参照して本発明の実施例について本発明の属する技術分野における通常の知識を有する者が容易に実施することができるように詳細に説明する。しかし、本発明は、様々な他の形態に変形されることができ、本発明の範囲が下記実施例に限定されるものではない。なお、図面において、本発明を正確に説明するために、説明と関係ない部分を省略し、明細書全般において、同一の参照符号は同一の構成要素を示す。
【0014】
また、明細書全般において、或る部分が任意の構成要素を「含む」とするとき、これは、特に反対される記載がない限り、他の構成要素を除外するものではなく、他の構成要素をさらに含むことができることを意味する。また、明細書に記載された「…部」、「モジュール」などの用語は、少なくとも1つの機能や動作を処理する単位を意味し、これは、ハードウェアやソフトウェアまたはハードウェア及びソフトウェアの組合せによって具現されうる。
【0015】
図1は、本発明による悪性コード検出装置を利用して正常プロセスに偽装挿入された悪性コードを検出する概念を説明する図である。図示のように、一般プロセス1、3は、一般スレッドを生成する。一方、悪性プロセス2は、自分のプロセスを隠すために、他の正常プロセス1、3に悪性行為を行う悪性コードをDLLインジェクションまたはコードインジェクション技法を利用して挿入する。挿入された悪性コードは、正常プロセスの一部分のように動作するようになるので、識別が困難であり、挿入された悪性コードによって悪性行為を担当する悪性スレッド20、30が生成される。本発明による悪性コード検出システム100は、このような正常プロセスに挿入された悪性スレッド20、30を検出するためのものである。
【0016】
図2は、本発明の一実施例による悪性コード検出システムの構成を示すブロック図である。
【0017】
悪性コード検出システム200は、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を検査して悪性と疑われるコードを抽出する悪性コード検出装置210と、悪性コード検出装置210によって抽出されたコードを仮想環境で実行し、悪性行為を分析する仮想環境悪性コード行為分析装置220とを含む。
【0018】
具体的に、悪性コード検出装置210は、悪性コード検出モジュール211と悪性コード遮断及び強制終了モジュール212とを含む。一実施例において、悪性コード検出装置210は、ユーザPCで実行されるものと記載されているが、その他、ラップトップ、携帯用コンピュータまたはタブレットなどネットワーク機能を具備した多様な類型の機器のうち1つで行われることができ、これらに限定されない。
【0019】
悪性コード検出モジュール2110は、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出してスレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されるコードを抽出し、悪性コード行為分析装置220に伝達する。前記スレッドと関連されたコードは、コンピュータ上で実行中の実行ファイルであるか、またはプロセスに動的にリンクされたDLL(Dynamic Link Library)である。悪性コード検出モジュール210は、前記プロセスの仮想メモリ、前記識別されたコードのPE(Portable Executable)属性、前記識別されたコードのサービスプロセスとの連関性及び前記スレッドと関連されたスレッドスタックのうち少なくとも1つを検査することによって、前記コードの悪性可否を推定する。本発明による悪性可否推定過程は、図3を参照してさらに詳しく後述する。
【0020】
悪性コード遮断及び強制終了モジュール212は、悪性コード行為分析装置220の分析結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する。また、前記悪性コードをクライアントのメモリから削除することができる。
【0021】
仮想環境悪性コード行為分析装置220は、悪性コード検出装置210から伝達されたコードを仮想環境で実行させて、コードの行為を分析し、分析結果を悪性コード検出装置210に提供する役目をする。図面において、仮想環境悪性コード行為分析装置220は、悪性コード検出装置210が実行されるユーザPCと物理的に区別されるサーバー上で実行されるものと記載されており、このような実施例に限定されるものではなく、具現によっては悪性コード検出装置210と同一のシステム上に具現可能である。
【0022】
具体的に、仮想環境悪性コード行為分析装置220は、悪性コード行為ログ生成モジュール221と悪性行為分析モジュール222とを含む。
【0023】
悪性コード行為ログ生成モジュール221は、悪性コード検出装置210から伝達されたコードを仮想環境で実行し、コードの行為に対するログを生成する。悪性行為分析モジュール222は、ログを分析し、前記コードの行為が運営体制防火壁及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成または変更行為であるか否かを分析し、前記分析結果を悪性コード検出装置210の悪性コード遮断及び強制終了モジュール212に伝送する。
【0024】
仮想環境をエミュレーションしてコードの行為を分析する過程は、サンドボックス(Sandbox)など本技術分野に公知されたツールを利用して具現することができるので、これに関する詳しい説明は、本明細書で省略する。
【0025】
図3は、本発明の一実施例によって正常プロセスに偽装挿入された悪性コードを検出する方法を示す流れ図である。図3には、便宜上、段階S311乃至段階S319は、悪性コード検出装置210で行われ、段階S321乃至段階S323は、仮想環境悪性コード行為分析装置220で行われるものと示されているが、これは、一例に過ぎず、本発明の段階S311乃至S319及び段階S321乃至S323が必ず物理的に分離された装置上で具現されるものに限定されるわけではない。
【0026】
段階S311で、システム上で動作するプロセスリストを抽出し、各プロセスに属するスレッド情報、例えば、スレッド個数、各スレッドの開始アドレス及びベースアドレスを抽出する。
【0027】
段階S312で、スレッドに対する悪性可否を検査する。具体的に、悪性可否は、スレッドを生成した主体識別段階S3121、仮想メモリ検査段階S3122、PE(Portable Executable)分析段階S3123、サービスプロセス検査S3124及びスレッドスタック検査段階S3125を含む。
【0028】
まず、段階S3121で、スレッドを生成したコード、すなわち、実行ファイルまたはDLLを識別する。DLLを識別するためには、スレッドを生成したプロセスにリンクされたDLLのうち動的リンクされたDLLを抽出し、DLLのベースアドレスとメモリにマップされた(mapped)サイズを求める。実行ファイルまたは動的リンクされたDLLのうちベースアドレスとメモリにマップされた範囲が当該スレッドの開始アドレスを含んでいる実行ファイルまたはDLLを検索し、当該スレッドを生成した実行ファイルまたはDLLを識別する。
【0029】
仮想メモリ検査段階S3122で、スレッドを生成したプロセスの仮想メモリに段階S3122で識別されたDLLファイル名の文字列があるか否かを検査し、DLLファイル名の文字列が存在する場合、当該DLLがDLLインジェクション技術を利用して正常プロセスに偽装挿入された悪性コードである可能性があると判断する。
【0030】
PE分析段階S3123で、前記識別されたDLLのPEフォーマットを検査し、非正常的な要素があるか否かを判断する。一例として、PEフォーマットに多く使用されるビジュアルスタジオ、C++ビルダー、デルファイ、ビジュアルベーシックなどの汎用コンパイラによって生成されたデータ以外の未知の(unknown)セクションが含まれていれば、当該DLLが正常プロセスに偽装挿入された悪性コードである可能性があると判断する。また、チェックサムが正しくないか、PE属性内のファイルサイズと探索器から出たファイルサイズが異なる場合にも、当該DLLが悪性である可能性があると判断する。
【0031】
サービスプロセス検査段階S3124で、前記識別されたDLLがウィンドウ運営体制で実行中のサービスプロセスに動的リンクされているか否か、そしてサービス情報が含まれているレジストリに当該DLLを含むサービスがあるか否かを検査する。DLLを含んでいるサービスがある場合、当該サービスの属性、例えばサービスタイプ、開始類型、従属性、所属グループ情報などを検査する。検査結果、DLLを含んでいるサービスが他のサービスとの連関性及び従属性がないか、または、自動開始が設定されている場合、悪性DLLによって生成されたサービスである可能性があると判断する。
【0032】
スレッドスタック検査段階S3125から段階S3121までにおいて、当該スレッドを生成したDLLが発見されない場合、スレッドスタックを追跡し、スレッドが使用中のDLLリストを順次に獲得した後、DLLのPE属性を検査し、未知のセクションがあるか否かを検査する。DLLのPE検査は、前述の段階S3123と同一である。検査結果、未知のセクションがあるDLLを正常プロセスに偽装挿入された悪性コードである可能性があると判断する(S3125)。
【0033】
段階S313で、悪性コードによって生成されたものと推定されるDLLの悪性脅威度を算出する。一例として、前述の段階(S3121乃至S3125)の検査過程では、当該DLLが悪性である可能性があると判断された場合、これに対応するフラグを設定する。例えば、仮想メモリ検査段階S3122で、当該DLLファイル名の文字列が存在すれば、DLLインジェクションフラグを設定する。PE分析段階S3123では、PEフォーマット内に未知の(Unknown)セクションがあれば、未知のセクションフラグを設定し、チェックサムが正しくない場合、チェックサムフラグを設定し、PE属性内のファイルサイズと検出器から出たファイルサイズが異なる場合、ファイルサイズフラグを設定する。サービスプロセス検査段階S3124では、サービスフラグを、スレッドスタック検査段階S3125では、スレッドスタックフラグを設定する。
【0034】
悪性可否による脅威度算出段階S313では、前述の検査段階で設定されたフラグによって点数を「高い」、「中間」、「低い」の3段階で脅威点数を計算する。例えば、インジェクションされたDLLの場合、高い(10点)、未知のセクションの場合、低い(1点)、サービスで動作するDLLの場合、中間(5点)などのような方式で脅威度を算出する。
【0035】
段階S314において、段階S313で求められた悪性脅威度がしきい値以上の場合、前記スレッドを悪性スレッドであると判断し、そうでない場合は、次のスレッドに対して悪性可否を検査するために段階S312に戻る。
【0036】
段階S315において、悪性スレッドとして判断されたスレッドと関連された実行ファイルまたはDLLファイルを抽出する。
【0037】
段階S316において、抽出された実行ファイルまたはDLL(以下、コードという)を仮想環境悪性コード行為分析装置220に伝送し、分析を要請する。
【0038】
段階S321において、仮想環境悪性コード行為分析装置220は、悪性コード検出装置210によって悪性脅威度が高いと判断されたコードを受信する。
【0039】
段階S322において、仮想環境で当該コードを実行し、ファイル及びレジストリの接近、ネットワーク送受信行為に対するログを生成し、ログ分析を通じて前記コードの行為が運営体制防火壁及びワクチンを無力化する行為であるか否か、自分が実行される環境であるかまたは仮想環境であるかを確認する行為、ファイル及びレジストリを生成したり変更したりする行為を含む悪性行為のうち1つに該当するか否かを判断する。
【0040】
段階S323において、前記分析結果を悪性コード検出装置210に伝送する。
【0041】
段階S317において、分析結果を受信し、段階S318で分析結果が悪性行為に該当する場合、前記実行コードを悪性コードとして最終判断する。
【0042】
段階S319において、前記悪性コードの実行を強制終了し、当該コードを削除する。
【0043】
以上、本発明について好ましい実施例を中心に説明した。本発明の属する技術分野における通常の知識を有する者は、本発明が本発明の本質的な特性から逸脱しない範囲内で変形された形態で具現されることができることを理解することができるだろう。したがって、開示された実施例は、限定的な観点でなく、説明的な観点で考慮されなければならない。本発明の範囲は、前述の説明ではなく、特許請求範囲に示されており、それと同等な範囲内にあるすべての差異点は、本発明に含まれたものと解すべきである。
【符号の説明】
【0044】
1、3 一般プロセス
2 悪性プロセス
10、40 一般スレッド
20、30 悪性スレッド
100 悪性コード検出システム
【特許請求の範囲】
【請求項1】
コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、
前記抽出されたコードを仮想環境で実行し、行為を分析した結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールと、を含むことを特徴とする悪性コード検出装置。
【請求項2】
前記スレッドと関連されたコードは、実行ファイルであるか、または、DLL(Dynamic Link Library)であることを特徴とする請求項1に記載の悪性コード検出装置。
【請求項3】
前記悪性コード検出モジュールは、前記プロセスの仮想メモリ、前記識別されたコードのPE(Portable Executable)属性、前記識別されたコードのサービス属性及びスレッドスタックのうち少なくとも1つを検査することによって、前記識別されたコードの悪性可否をあらかじめ推定することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項4】
前記悪性コード検出モジュールは、前記スレッド情報を抽出するために前記コンピュータシステム上で動作するプロセスリスト及び各プロセスによって生成されたスレッド情報を抽出することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項5】
前記悪性コード検出モジュールは、前記スレッドを生成したプロセスの仮想メモリに前記スレッドと関連された前記コードに該当するファイル名の文字列が存在するか否かを検査し、当該文字列が存在すれば、前記コードを悪性と推定することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項6】
前記悪性コード検出モジュールは、前記識別されたコードのPE属性を検査し、未知のセクションが存在する場合、前記コードを悪性と推定することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項7】
前記悪性コード検出モジュールは、前記識別されたコードのPE属性を検査し、チェックサムが正しくないか、前記PE属性内のファイルサイズと検出器から出たファイルサイズが異なる場合、前記コードを悪性と推定することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項8】
前記悪性コード検出モジュールは、前記識別されたコードによって行われるサービス属性を検査し、前記サービスが他のサービスとの連関性及び従属性がないか、自動開始に設定されている場合、前記コードを悪性と推定することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項9】
前記悪性コード検出モジュールは、前記スレッドと関連されたコードが識別されない場合、スレッドスタックを追跡し、前記スレッドが使用中のDLLリストを獲得し、前記獲得されたDLLのPE属性を検査することによって、前記DLLの悪性可否を推定することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項10】
前記悪性コード強制終了モジュールは、前記コードの行為分析結果が運営体制防火壁及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成/変更行為のうち1つに該当する場合、前記コードを悪性コードとして最終判断することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項11】
コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、前記抽出されたコードの仮想環境行為分析結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールとを備える悪性コード検出装置と、
前記悪性コード検出モジュールによって抽出されたコードを仮想環境で実行し、前記コードの行為に対するログを生成するログ生成モジュールと、前記ログを利用して前記コードの行為が運営体制防火壁及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成または変更行為のうち1つに該当するか否かを分析し、前記分析結果を前記悪性コード強制終了モジュールに伝達する悪性行為識別モジュールとを備える仮想環境悪性コード行為分析装置と、を含むことを特徴とする悪性コード検出システム。
【請求項12】
前記悪性コード検出装置は、クライアントで動作し、前記仮想環境悪性コード行為分析装置は、サーバーで動作することを特徴とする請求項11に記載の悪性コード検出システム。
【請求項13】
前記悪性コード検出モジュールは、前記仮想環境悪性コード行為分析装置に前記抽出されたコードの仮想環境行為分析を要請することを特徴とする請求項12に記載の悪性コード検出システム。
【請求項14】
コンピュータシステム上で実行中のプロセスリスト及び各プロセスに属するスレッド情報を抽出する段階と、
前記スレッドと関連されたコードを識別し、前記プロセスの仮想メモリ、前記コードのPE属性、前記コードとサービスプロセスとの連関性及びスレッドスタックのうち少なくとも1つを検査することによって、前記識別されたコードの悪性可否を推定する段階と、
前記悪性と推定されたコードの悪性脅威度を算出する段階と、
前記算出された悪性脅威度がしきい値以上のコードを抽出し、仮想環境悪性コード行為分析装置に分析要請する段階と、
前記仮想環境悪性コード行為分析装置から受信された分析結果に基づいて前記コードを悪性コードとして最終判断する段階と、
前記悪性コードとして最終判断されたコードの実行を強制終了する段階と、を含むことを特徴とする悪性コード検出方法。
【請求項15】
前記コードを悪性コードとして最終判断する段階は、前記仮想環境悪性コード行為分析装置の分析結果が運営体制防火壁及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成/変更行為のうち1つに該当する場合、前記コードを悪性コードとして最終判断することを特徴とする請求項14に記載の悪性コード検出方法。
【請求項1】
コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、
前記抽出されたコードを仮想環境で実行し、行為を分析した結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールと、を含むことを特徴とする悪性コード検出装置。
【請求項2】
前記スレッドと関連されたコードは、実行ファイルであるか、または、DLL(Dynamic Link Library)であることを特徴とする請求項1に記載の悪性コード検出装置。
【請求項3】
前記悪性コード検出モジュールは、前記プロセスの仮想メモリ、前記識別されたコードのPE(Portable Executable)属性、前記識別されたコードのサービス属性及びスレッドスタックのうち少なくとも1つを検査することによって、前記識別されたコードの悪性可否をあらかじめ推定することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項4】
前記悪性コード検出モジュールは、前記スレッド情報を抽出するために前記コンピュータシステム上で動作するプロセスリスト及び各プロセスによって生成されたスレッド情報を抽出することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項5】
前記悪性コード検出モジュールは、前記スレッドを生成したプロセスの仮想メモリに前記スレッドと関連された前記コードに該当するファイル名の文字列が存在するか否かを検査し、当該文字列が存在すれば、前記コードを悪性と推定することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項6】
前記悪性コード検出モジュールは、前記識別されたコードのPE属性を検査し、未知のセクションが存在する場合、前記コードを悪性と推定することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項7】
前記悪性コード検出モジュールは、前記識別されたコードのPE属性を検査し、チェックサムが正しくないか、前記PE属性内のファイルサイズと検出器から出たファイルサイズが異なる場合、前記コードを悪性と推定することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項8】
前記悪性コード検出モジュールは、前記識別されたコードによって行われるサービス属性を検査し、前記サービスが他のサービスとの連関性及び従属性がないか、自動開始に設定されている場合、前記コードを悪性と推定することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項9】
前記悪性コード検出モジュールは、前記スレッドと関連されたコードが識別されない場合、スレッドスタックを追跡し、前記スレッドが使用中のDLLリストを獲得し、前記獲得されたDLLのPE属性を検査することによって、前記DLLの悪性可否を推定することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項10】
前記悪性コード強制終了モジュールは、前記コードの行為分析結果が運営体制防火壁及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成/変更行為のうち1つに該当する場合、前記コードを悪性コードとして最終判断することを特徴とする請求項1に記載の悪性コード検出装置。
【請求項11】
コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、前記抽出されたコードの仮想環境行為分析結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールとを備える悪性コード検出装置と、
前記悪性コード検出モジュールによって抽出されたコードを仮想環境で実行し、前記コードの行為に対するログを生成するログ生成モジュールと、前記ログを利用して前記コードの行為が運営体制防火壁及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成または変更行為のうち1つに該当するか否かを分析し、前記分析結果を前記悪性コード強制終了モジュールに伝達する悪性行為識別モジュールとを備える仮想環境悪性コード行為分析装置と、を含むことを特徴とする悪性コード検出システム。
【請求項12】
前記悪性コード検出装置は、クライアントで動作し、前記仮想環境悪性コード行為分析装置は、サーバーで動作することを特徴とする請求項11に記載の悪性コード検出システム。
【請求項13】
前記悪性コード検出モジュールは、前記仮想環境悪性コード行為分析装置に前記抽出されたコードの仮想環境行為分析を要請することを特徴とする請求項12に記載の悪性コード検出システム。
【請求項14】
コンピュータシステム上で実行中のプロセスリスト及び各プロセスに属するスレッド情報を抽出する段階と、
前記スレッドと関連されたコードを識別し、前記プロセスの仮想メモリ、前記コードのPE属性、前記コードとサービスプロセスとの連関性及びスレッドスタックのうち少なくとも1つを検査することによって、前記識別されたコードの悪性可否を推定する段階と、
前記悪性と推定されたコードの悪性脅威度を算出する段階と、
前記算出された悪性脅威度がしきい値以上のコードを抽出し、仮想環境悪性コード行為分析装置に分析要請する段階と、
前記仮想環境悪性コード行為分析装置から受信された分析結果に基づいて前記コードを悪性コードとして最終判断する段階と、
前記悪性コードとして最終判断されたコードの実行を強制終了する段階と、を含むことを特徴とする悪性コード検出方法。
【請求項15】
前記コードを悪性コードとして最終判断する段階は、前記仮想環境悪性コード行為分析装置の分析結果が運営体制防火壁及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成/変更行為のうち1つに該当する場合、前記コードを悪性コードとして最終判断することを特徴とする請求項14に記載の悪性コード検出方法。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2011−233126(P2011−233126A)
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願番号】特願2010−177251(P2010−177251)
【出願日】平成22年8月6日(2010.8.6)
【出願人】(596180076)韓國電子通信研究院 (733)
【氏名又は名称原語表記】Electronics and Telecommunications Research Institute
【住所又は居所原語表記】161 Kajong−dong, Yusong−gu, Taejon korea
【Fターム(参考)】
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願日】平成22年8月6日(2010.8.6)
【出願人】(596180076)韓國電子通信研究院 (733)
【氏名又は名称原語表記】Electronics and Telecommunications Research Institute
【住所又は居所原語表記】161 Kajong−dong, Yusong−gu, Taejon korea
【Fターム(参考)】
[ Back to top ]