Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
Tags
- IAM
- 지식기반탐지
- 악성샘플수집
- ViursTotal
- bintext
- 보안
- 동적분석도구
- HIDS
- AutoRuns
- 스노트 룰 시그니처
- 악성샘플
- 보안관제 업무유형
- VirusShare
- Exeinfo PE
- snort 패턴
- 바이러스 웜 차이
- 공유폴더만들기
- 바이러스 웜 트로이목마
- saa
- 동적 분석 도구
- 악성샘플 사이트
- snort rule signature
- AWS
- False Negatvie
- MalwareBazaar
- 악성 샘플 수집
- 리팩토링
- 보안관제 업무절차
- 공유 폴더 만드는법
- 보안관제 업무
Archives
- Today
- Total
배이빗의 공부 공간
VirusTotal 이란? 본문
VirusTotal 정의
- 악성코드 분석 시 활용하는 온라인 분석 사이트
- 바이러스, 웜, 트로이 목마 등 악의적인 소프트웨어를 여러 회사의 안티바이러스 엔진으로 쉽게 찾아낼 수 있게 도와주는 서비스
악성코드 분석 과정
대표적으로 기초 분석 - 정적 분석 - 동적 분석이다.
기초 분석 결과를 토대로 정적 분석과 동적 분석을 진행한다. 기초분석을 할 때 주로 VirusTotal을 이용한다
VirusTotal 특징
- 무료이며, 독립된 서비스이다.
- 60~70 여 개의 악성 코드 검사 엔진을 통해 바이러스 검사를 한다.
- 바이러스 정의를 실시간으로 자동 업데이트를 한다.
- 어떤 바이러스에 걸렸는지 알려준다.
- 실시간으로 전세계적인 통계를 만들어 낸다.
VirusTotal 사용법
VirusTotal 기능
- FILE : 파일을 업로드하여 악성파일 여부를 판단함
- URL : 웹사이트 또는 웹사이트 내의 파일을 검사함
- SEARCH : 이미 업로드된 파일, 이미 검사된 웹사이트 , 커뮤니티에 가입한 사용자,댓글 등을 검색하여 조사한다.
1. FILE
- <Choose file> 클릭하여 악성파일로 의심되는 파일을 선택한다
- 검사가 진행되고 Uploading 게이지가 100%가 되면 분석한 결과창으로 넘어간다.
FILE 분석 결과 - 해시 값, 검사결과 요약 정보, 커뮤니티 score, 바이러스 엔진 별 탐지여부 등의 정보가 제공된다
- Undeteced: 해당 엔진이 정상 파일로 인식
- 악성코드가 진단 된경우 해당 화면 처럼 빨간 글씨로 표시된다.
- 71개의 엔진 중 58개의 엔진이 악성코드로 탐지됨을 뜻한다
- 악성코드 진단명도 확인이 가능함
File - Details TAB
-
FILE DETAILS - 해시 값, 파일 종류, 크기, 생성일, 최초와 마지막 분석일 등 검사 파일의 다양한 정보를 얻을 수 있다.
- Names 메뉴에서는 해당 파일의 이름이 변경된 기록들을 보여준다.
FILE-RELATIONS
-
Realations 메뉴에서는 해당 파일이 컴퓨터 내의 어떤 파일들에 연관되어 있고 가동시키고 있는지 알 수 있다.
File - Community
- COMMUNITY 메뉴에서는 다른 사용자들이 해당 파일에 대해 어떻게 평가하고 있는지 알 수 있다.
- 파일이 유해한지 또는 유해하지 않은지에 대해 사용자가 투표할 수 있다. 비회원도 참여 가능하다(IP 기준으로 참여 가능).
- 참여자가 적고 취소도 불가능하여 사용자의 실수를 보완할 수 없다.
2. URL
- 홈페이지 내엔 바이러스가 잠복하고 있을 가능성이 항상 존재하기 때문에 의심스러운 링크는 검색하는 것이 좋다.
- URL 탭의 “Search or scan a URL”에 URL을 입력하여 검사한다.
- URL, 호스트 주소, 상태코드, 인코딩방식, 마지막 분석일자 등을 제공한다
- 바이러스 엔진 별 탐지 여부가 나타단다.
- DETAILS, COMMUNITY 등 세부 정보는 FILE 분석과 같다.
SEARCH
-
이미 업로드된 파일의 Hash값, 이미 검사된 웹사이트(URL), 커뮤니티 (Community)에 가입한 사용자 및 댓글 검색 가능
-
Search 결과 화면 - 검사 결과 정보는 File과 URL 동일하다
SEARCH-REALATIONS TAB
-
다음 그림과 같이 RELATIONS에서 아들 도메인인 네이버 블로그나 카페 등에 업로드한 파일들에 바이러스가 있음을 확인할 수 있다.
VirusTotal 주의 사항
- 파일을 압축하여 업로드할 경우 다양한 보안 제품에서 지원되지 않을 수 있음. => 압축하여 업로드 검사를 하고자 한다면 범용성이 있는 ZIP 파일 형식이 권장된다.
- 검사 결과의 순서가 꼬일 수 있으므로 압축파일이 아닌 하나의 파일만 검사하는 것이 좋다
- VirusTotal 사이트의 검사 결과는 제한적이라는 것을 염두에 두어야 한다. VirusTotal이 항상 정확한 것이 아니기 때문에 상당한 주의가 필요하다.
VirusTotal 검사 완료 후 조치사항
- 바이러스토털의 검사 결과를 토대로 사용자가 정식 진단 여부 또는 오진 여부를 판단할 수 있다면 해결이 가능할 수 있다.
- 정탐 -> 백신에서 처리하는대로 처리(검역소 이동, 삭제 등),
- 오탐 -> 제외(예외) 설정에 추가하면 된다(상당한 주의가 필요함).
- 미탐 -> 직접 검역소로 이동(일부 보안 제품에서만 지원) 또는 제거, 혹은 압축하여 일시 보관(비밀번호 반드시 지정) 등
※ 일반 사용자들이 바이러스토털(VirusTotal) 사이트의 검사 결과를 직접 판단하기란 사실 어려울 수 있으므로 정확하고 현명한 처리를 원한다면 해당 파일을 보안 업체에 전송하여 분석 의뢰를 하는 것이 좋다
'보안 > 보안관제' 카테고리의 다른 글
| 동적 분석 정의, 동적 분석 도구 (0) | 2023.08.31 |
|---|---|
| 정적 분석 정의, 정적 분석 도구 (0) | 2023.08.31 |
| 보안관제란? (0) | 2023.08.27 |
| 악성코드 종류 (0) | 2023.08.23 |
| 정탐, 오탐, 미탐 / 악성 코드 탐지 구분 (0) | 2023.06.04 |
'보안/보안관제' Related Articles
more
Comments