🧠 Automated Binary Vulnerability Analysis Using LLMs

LLM을 이용하여 컴파일된 바이너리를 실행 가능한 소스코드로 디컴파일하고, 이를 바탕으로 CodeQL·Taint 분석을 자동화하는 도구입니다.

---

📌 프로젝트 개요

🔍 문제 정의

기존 디컴파일러(IDA Pro, Binary Ninja)는 비용이 매우 높거나, 무료 도구(Ghidra 등)는 재실행 가능한 형태의 코드가 아닌 단순한 pseudo-code 수준의 결과만 제공합니다. 이로 인해 디컴파일된 코드를 기반으로 정적 분석(CodeQL) 및 동적 분석(AFL Fuzzer)을 적용하기 어려웠습니다.

💡 해결 방법

본 프로젝트는 LLM4Decompile 모델을 활용하여 함수 단위의 어셈블리어 혹은 Ghidra 디컴파일 결과를 LLM에 입력하고, 실행 가능한 형태의 C 소스코드로 디컴파일합니다.

• 전역 변수 등의 정보는 LLM이 완전하게 추론할 수 없기 때문에, 이를 별도로 분석/추출하여 디컴파일된 함수들과 조합해 최종 실행 가능한 소스코드를 생성합니다.
• 생성된 코드는 CodeQL 정적 분석 및 Taint 분석에 즉시 활용 가능하며, 분석 결과는 시각적으로 확인할 수 있습니다.

---

🔧 기술 스택 및 도구

Language

Framework

Tool

---

🚀 주요 기능

기능	설명
🔼 바이너리 업로드	사용자가 분석하고자 하는 바이너리를 업로드
🧩 디컴파일	Ghidra 혹은 objdump를 통해 추출한 함수 단위의 코드와 전역 변수를 LLM을 통해 실행 가능한 형태의 C 코드로 디컴파일
📊 CodeQL 분석	디컴파일된 코드를 정적으로 분석하여 취약점을 자동 탐지
🧬 Taint 분석	CodeQL 기반의 Taint 분석 수행 및 결과 제공

---

🛡️ List of Covered CWEs

Show Covered CWEs

CWE	Type	Description
CWE-014	Compiler Removal of Code to Clear Buffers	최적화 컴파일러가 민감 데이터 삭제용 코드를 제거하여 메모리에 민감 데이터가 남아 있게 되는 취약점
CWE-020	Improper Input Validation	입력값을 올바르게 검증하지 않아 예기치 않은 동작이나 보안 결함으로 이어지는 취약점
CWE-022	Improper Limitation of a Pathname to a Restricted Directory	경로 조작(path traversal) 공격을 통해 허가되지 않은 디렉터리/파일에 접근할 수 있는 취약점
CWE-078	OS Command Injection	외부 입력을 통해 운영체제 명령 실행을 허용하여 임의 명령이 수행될 수 있는 취약점
CWE-079	Cross-site Scripting (XSS)	입력값에 스크립트를 삽입해 다른 사용자의 브라우저에서 실행되도록 하는 취약점
CWE-089	SQL Injection	입력값으로 악의적 SQL 구문을 삽입하여 데이터베이스를 조작·유출할 수 있는 취약점
CWE-114	Process Control	외부로부터 조작된 경로를 이용해 악성 모듈을 로드할 수 있는 취약점
CWE-119	Improper Restriction of Operations within the Bounds of a Buffer	버퍼 오버플로우 등 메모리 경계를 넘어선 읽기/쓰기를 허용하는 취약점
CWE-120	Buffer Copy without Checking Size of Input	복사할 데이터 크기를 검사하지 않고 버퍼 복사를 수행해 오버플로우를 유발하는 취약점
CWE-121	Stack-based Buffer Overflow	스택 영역 버퍼 오버플로우로 인해 제어 흐름이 변조될 수 있는 취약점
CWE-129	Improper Validation of Array Index	배열 인덱스를 경계 외 값으로 접근할 수 있어 메모리 손상이나 정보 유출이 발생하는 취약점
CWE-131	Incorrect Calculation of Buffer Size	버퍼 크기를 잘못 계산해 메모리 할당이 부족하거나 과다할 때 발생하는 취약점
CWE-134	Uncontrolled Format String	포맷 문자열 함수에 공격자가 제어 가능한 입력을 넘겨 포맷을 조작할 수 있는 취약점
CWE-170	Improper Null Termination	문자열 종료 문자(\0)를 올바르게 처리하지 못해 버퍼 경계를 벗어나는 취약점
CWE-190	Integer Overflow or Wraparound	정수 계산 결과가 최대값을 넘어서거나 래핑되어 오류가 발생하는 취약점
CWE-191	Integer Underflow (Wrap or Wraparound)	정수 계산 결과가 최소값 아래로 내려가거나 래핑되어 오류가 발생하는 취약점
CWE-193	Off-by-one Error	반복문 경계 조건이 하나 모자라거나 남아 잘못된 메모리 접근을 유발하는 취약점
CWE-253	Incorrect Check of Function Return Value	함수 반환값을 잘못 검사하거나 무시하여 오류 상태를 놓치는 취약점
CWE-290	Authentication Bypass by Spoofing	스푸핑 등을 이용해 인증을 우회할 수 있는 취약점
CWE-295	Improper Certificate Validation	SSL/TLS 인증서 검증을 제대로 수행하지 않아 위조된 인증서를 신뢰하게 되는 취약점
CWE-311	Missing Encryption of Sensitive Data	민감 데이터를 암호화하지 않고 전송해 중간에 탈취될 수 있는 취약점
CWE-313	Cleartext Storage of Sensitive Information	민감 정보를 암호화 없이 저장해 디스크 탈취 시 노출되는 취약점
CWE-319	Cleartext Transmission of Sensitive Information	민감 정보를 암호화 없이 전송해 네트워크 상에서 탈취될 수 있는 취약점
CWE-326	Inadequate Encryption Strength	약한 암호화 알고리즘 사용으로 암호문이 비교적 쉽게 해독될 수 있는 취약점
CWE-327	Use of a Broken or Risky Cryptographic Algorithm	알려진 취약점이 있는 암호 알고리즘을 사용하는 취약점
CWE-367	Time-of-Check Time-of-Use (TOCTOU) Race Condition	검사 시점과 사용 시점 사이의 경쟁 조건으로 권한 우회나 데이터 무결성 손상이 발생하는 취약점
CWE-416	Use After Free	해제된 메모리를 다시 접근·사용하여 충돌이나 코드 실행이 가능한 취약점
CWE-428	Untrusted Search Path	라이브러리·모듈 로드 시 경로 신뢰성을 검사하지 않아 악성 코드를 로드할 수 있는 취약점
CWE-457	Use of Uninitialized Variable	초기화되지 않은 변수를 사용해 예측 불가능한 동작이나 정보 유출이 발생하는 취약점
CWE-468	Incorrect Pointer Scaling	포인터 산술 연산 시 크기 단위를 잘못 적용해 잘못된 메모리 접근이 발생하는 취약점
CWE-497	Exposure of System Data to an Unauthorized Control Sphere	시스템 내부 정보를 외부에 과도하게 노출하는 취약점
CWE-570	Expression is Always False	항상 거짓으로 평가되는 논리 표현식으로 인해 분기가 실행되지 않거나 불필요한 검사가 발생하는 취약점
CWE-611	Improper Restriction of XML External Entity Reference (XXE)	외부 엔터티(XML External Entity)를 잘못 처리해 SSRF나 파일 유출이 가능한 취약점
CWE-676	Use of Potentially Dangerous Function	보안상 위험한 함수(e.g. strcpy, gets)를 사용하는 취약점
CWE-704	Incorrect Type Conversion or Cast	잘못된 형 변환/캐스트로 인한 데이터 손상 또는 오류가 발생하는 취약점
CWE-732	Incorrect Permission Assignment for Critical Resource	파일·리소스 권한을 과도하게 부여해 권한 상승이 가능한 취약점
CWE-764	Multiple Locks of a Critical Resource	동일 자원에 중복으로 잠금을 시도해 교착 상태(데드락)가 발생할 수 있는 취약점
CWE-807	Reliance on Untrusted Inputs in a Security Decision	보안 결정을 위해 신뢰할 수 없는 입력값을 사용하는 취약점
CWE-835	Infinite Loop	특정 조건에서 탈출되지 않는 무한 루프가 발생해 서비스 거부를 유발하는 취약점
CWE-843	Access of Resource Using Incompatible Type (‘Type Confusion’)	잘못된 타입으로 객체/리소스에 접근해 메모리 손상이나 권한 우회가 발생하는 취약점

---

🛠️ 사용 방법

설치 및 환경 구성

git clone https://github.com/kookmin-sw/capstone-2025-14  
cd settings  
./codeqlInstall.sh  
./GhidraModelInstall.sh

실행 방법

cd project  
python3 manage.py runserver [ip 주소] [port 번호]

---

⚙️ 시스템 아키텍처

---

↖ Code Flow

---

👨‍👩‍👧‍👦 팀원 소개

이름	역할
황승재	PM, CodeQL, LLM 디컴파일 개발
신윤제	CodeQL, LLM 디컴파일 개발
최원준	백엔드 및 프론트엔드 개발

---

📈 향후 계획

• AFL 기반의 동적 분석 모듈 연동
• 전역 변수 및 구조체 자동 복원 정확도 향상
• 다양한 LLM 모델 비교 및 성능 평가
• 분석 리포트 자동 생성 기능 추가

---

평가지표

본 프로젝트의 성능 및 정확도는 다음 두 가지 지표를 통해 평가하였습니다. 디컴파일된 코드의 재실행 가능성과 CodeQL 및 Taint 분석 도구의 적용 성공률을 기반으로 평가됩니다. 높은 재실행 가능성과 분석 호환성을 확보하여, 자동화된 바이너리 취약점 분석의 실용성을 입증했습니다. 또한 다양한 취약점 유형(CWE 기준)에 대해 탐지율을 측정하였습니다. CodeQL 및 Taint 분석 결과를 바탕으로, 디컴파일된 코드에서도 기존 소스코드 수준에 준하는 탐지 성능을 확인했습니다.
특히, 메모리 오류(버퍼 오버플로우), 사용자 입력 검증 부족 등의 취약점에서 높은 탐지율을 기록하였습니다.

📁 프로젝트

📑 PPT

🖼️ 포스터

📺 시연영상

시연영상