Virustotal
오늘은 Virustotal 에 대해 본격적으로 다루기 전에 간단하게 정리해보는 시간을 가졌다.
[4줄 요약]
1. virustotal 이란, 악성 코드 분석 시 활용하는 온라인 분석 사이트로 바이러스, 웜, 트로이 목마 등 악의적인 소프트웨어를 여러 회사의 안티바이러스 엔진으로 쉽게 찾아낼 수 있게 도와주는 서비스이다.
2. virustotal는 최대 70가지 이상의 각기 다른 바이러스 검사 소프트웨어 제품을 사용하고 있고, 파일 업로드 및 입력을 통해 검사할 수 있다. 이는 총 3가지 방식이 있다. File, URL, Search
File : 업로드 하고 싶은 파일을 업로드 해 악성코드 감염여부를 확인 할 수 있다.
URL : 확인하고 싶은 URL 주소를 입력하여 악성 주소인지 아닌지 확인 가능하다.
Search : URL 뿐만 아니라 IP주소, 도메인, 파일 해시 값 또한 추가적으로 스캔할 수 있다.
각 방식의 결과의 세부내용으로는 공통적으로 DETECTION, DETAILS, RELATIONS, BEHAVIOR, COMMUNITY가 있다.
*FILE, URL은 주로 실시간 검사결과를 가져오고 Search 같은 경우 업데이트 이전 과거 검사결과를 가져온다. 이점을 고려하여 참고해야한다.
3. 악성코드 분석 방법에는 총 3가지 방식이 있다.
기초분석 : 정적 분석이나 동적 분석에 있어 필요한 기초적인 정보를 제공해주며, 앞으로 어떻게 분석 해야 하는지 등 방향성을 제공한다. 주로 Virustotal 사이트가 이에 해당한다.
정적분석 : 파일을 실행시키지 않고 파일 구조를 분석하는 기법이다. 주로 파일의 특성을 확인하여 해시값, 크기, 파일 형식 등을 수집하고 내부의 문자열, 키워드, 패턴 등을 조사하여 악성코드의 패턴을 찾는다.
동적분석 : 파일을 실행될 때의 기본적인 행위를 확인하며, 파일이 네트워크와 어떻게 상호작용하는지 탐색하는 분석 방법이다.
4. virustotal의 한계와 보완
1) 악성코드 실행 여부는 때에 따라 다르므로 virustotal의 결과를 맹신해서는 안된다.
2) 파일을 업로드 및 검색을 하면 기 기록이 남기 때문에 민감한 정보가 포함된 파일은 유의해야 한다.
3) 압축파일은 풀고 검사를 해야 정확도가 높아진다. (압축 파일 제일 윗 파일 기준으로만 분석하기 때문)
4) 업로드할 수 있는 파일의 크기가 최대 128MB이다.
오늘은 이렇게 virustotal을 확인해보았는데, 사이트가 제공해주는 서비스는 정말 좋은 것 같다. 하지만 단순 호기심 또는 의심으로 함부로 데이터는 올려서는 안되는 조심해야 할 사이트이기도 하다. 외에도 여러 한계 등이 있지만 이를 참고해서 잘 활용한다면 이후 침해대응, 악성코드 분석등을 할때 매우 유용할 것은 분명해 보인다.
이제 본격적으로 이를 다루면서 분석하는 안목을 넓혀나가보자 !