Virustotal (기초 분석)

악성 코드 분석을 할 때  세 가지 과정

기초 분석, 정적 분석 그리고 동적 분석인데

기초분석은 바이러스 토탈을 통해서 분석되어진 결과를 바탕으로 정적 분석과 동적 분석에 대한 방향을 설정

 

 

Virustotal 이란?

 

-악성 코드 분석하거나 ip 도메인 등을 분석하고자 할 때 활용되어지는 온라인 분석 사이트

-보안 관제 업무, 침해대응, 악성 코드 분석, 취약점 진단, 모의해킹 업무를 할 때도

사용되어지는 사이트 중에 하나

-60개~70여개의 백신을 통해서 악성 코드로 진단하고 있는지

각각의 백신에서 어떠한 진단명으로 악성 코드로 진단을 하고 있는지 (트로이목마,웜,바이러스,랜섬웨어 등)

악성 경유지로 활용이 되었던 이력들이 있는지 등 확인할 때 사용

-무료 자체로도 모든 기능을 다 사용할 수 있다.

-악성 코드들에 대한  댓글 기능으로 악성 코드가 맞는지 어떤 행위를 했는지

전 세계에 있는 사용자가 정보를 남겨놓는 그런 경우들도 있다.

 

 

바이러스토탈 홈 

1. 파일 탭

단순히 파일을 업로드를 해서 업로드 된 파일을 바탕으로 각각의 백신이 악성 코드인지 아닌지를 확인할 때 악성 코드에 대한 여부를 확인할 때 사용한다

 

=> choose 파일을 클릭-직접 이제 경로 들어가서 파일을 지정하거나 직접 파일을 드래그 하면은 업로드됨

 

2. URL 탭

ip 주소나 도메인 주소를 입력을 해서 현재 악성 경유지로 활용을 하고 있는지

과거에 악성 경유지로 활동되었던 이력이 있는지 이러한 부분들을 확인할 때 사용한다

 

3.Search 탭 (url 탭과 큰 차이는 없음)

url 탭이랑 동일하게 기능을 제공을 하고

업로드할 파일이 존재하지 않고

각각의 파일이 가지고 있는 고유한 정보인 hash 값만 알고 있을 때 조회시

파일 탭에서 악성 코드 샘플을 분석한 결과랑 동일한 기능을 제공

 

 

Hash : 파일이 이름이 바뀌거나 그렇게 되더라도 결국에는 변동되지 않는 정보

(변동되는 ip주소와 대비되는 mac주소같은 개념)

 

바이러스토탈  분석페이지 (업로드나 검색 후)

먼저 분석결과 오른쪽에 나온 날짜가 현재 근접한 시점에 날짜가 아니라 과거 날짜가 있는 경우들도 있다.

업로드한 악성 파일이 과거에 누군가가 업로드를 해서 분석을 의뢰를 했다면 그 분석되어진 결과를 현재 보여주는 식으로 결과를 제공을 해준다.

그 시점과 현재 사이에 악성 코드가 어떠한 행위로 바뀌었을지 변동이 있을 수 있기에 가장 근접한 현재 시점으로 악성 코드에 대한 분석을 진행을 해줘야 된다.

 

 

 

=>새로 고침 모양을 클릭해주면 다시 분석하기 기능이다.
다시 분석하기 기능을 통해서 현재 시점에 분석되어진 결과를 확인하고 악성 코드인지 아닌지를 확인하기

 

 

1) Detail 탭

 

1-1. Basic properties

파일이 가지고 있는 고유한 값인 해시정보를 볼 수 있는데

md5값이랑 SHA 256  두 가지 값을 주로 참고하고

일반적인 악성코드의 File type은  실행 파일 형태 ( exe) 가 있다.

 

1-2. History

히스토리는 실제로 해당 파일이 언제 만들어졌는지에 관련된 부분 그런 것들을 참고할 때 사용

 

1-3. Names

 바이러스 포탈에 업로드가 되면은 해시는 동일하지만 파일에 대한 이름들이 다르기 때문에

이 부분에  파일의 이름이 전부 저장됨.

(악성 파일은 해시 정보는 항상  동일한데 사용자한테 공격을 할 때 악성 파일이 아닌 정상 파일처럼 위장을 하기 위해 다양한 이름으로 공격을 함)

 

2) Relation 탭

 네트워크 하는 네트워킹 관련된 정보 이런 것들을 같이 확인가능

실제로 이 악성 의심 파일이 악성 경유지랑 통신을 하는지 안하는지 정확히 알 수 있음.

 

3)Community탭

커뮤니티는 이제 아까 말씀드렸던 사용자들이 전 세계 사용자들이 댓글처럼 남겨놓는 기능

해당 파일에 대해서 코멘트 남긴 걸 통해서 악성 코드인지 아닌지 참고할 수 있다.

 

 

 

* 바이러스 토탈을 이용 시 주의해야 할 점

1.업로드되는 시점에서 바이러스 포탈에 있는 db에서 그 파일을 삭제하는 게 아니라 우리가 업로드한 파일을 저장을 한다.

중요정보(개인 정보, 금융 정보, 회사 대외비) 파일들은 노출되지 않으려면 절대 업로드를 해서는 안된다.

 

2. 보통 하나하나 파일을 업로드 하는 경우들도 있지만 압축 파일을 업로드하는 경우들이 있는데 정확도가 낮다.

 

압축 파일 같은 경우는 보통 안에 여러 개의 파일이 압축이 되어 있는데

여러 개의 파일을 전부 다 검사해서 결과를 보여주는 게 아니라

압축 파일 내에서도 제일 위에 있는 파일 하나만 검사를 해서 검사에 대한 결과를 보여준다.

 

3. 바이러스 토탈에서 악성 코드라고 했다고 해서 실제로 악성 코드일 수도 있고 아닐 수도 있을 확률이 있다.

바이러스 토탈에서 제공해 주는 결과는 그냥 참고하는 정도로만 활용

실제로는 추가적인 분석을 해주어야 한다.