VirusTotal 정의

- 악성코드 분석 시 활용하는 온라인 분석 사이트
- 바이러스, 웜, 트로이 목마 등 악의적인 소프트웨어를 여러 회사의 안티바이러스 엔진으로 쉽게 찾아낼 수 있게 도와주는 서비스
 

악성코드 분석 과정

대표적으로 기초 분석 - 정적 분석 - 동적 분석이다.

기초 분석 결과를 토대로 정적 분석과 동적 분석을 진행한다. 기초분석을 할 때 주로 VirusTotal을 이용한다 

VirusTotal 특징

- 무료이며, 독립된 서비스이다.
- 60~70 여 개의 악성 코드 검사 엔진을 통해 바이러스 검사를 한다.
- 바이러스 정의를 실시간으로 자동 업데이트를 한다.
- 어떤 바이러스에 걸렸는지 알려준다.
- 실시간으로 전세계적인 통계를 만들어 낸다.
 
 

VirusTotal 사용법

VirusTotal 기능

VIRUSTOTAL 초기화면

  • FILE : 파일을 업로드하여 악성파일 여부를 판단함
  • URL : 웹사이트 또는 웹사이트 내의 파일을 검사함
  • SEARCH : 이미 업로드된 파일, 이미 검사된 웹사이트 , 커뮤니티에 가입한 사용자,댓글 등을 검색하여 조사한다.

 

1. FILE

 

File

  • <Choose file> 클릭하여 악성파일로 의심되는 파일을 선택한다
  • 검사가 진행되고 Uploading 게이지가 100%가 되면 분석한 결과창으로 넘어간다.
  • FILE 분석 결과
  • 해시 값, 검사결과 요약 정보, 커뮤니티 score, 바이러스 엔진 별 탐지여부 등의 정보가 제공된다
  • Undeteced: 해당 엔진이 정상 파일로 인식

악성코드가 있는 경우

  • 악성코드가 진단 된경우 해당 화면 처럼 빨간 글씨로 표시된다.
  • 71개의 엔진 중 58개의 엔진이 악성코드로 탐지됨을 뜻한다
  • 악성코드 진단명도 확인이 가능함

File - Details TAB

  •  
    FILE DETAILS
     
  • 해시 값, 파일 종류, 크기, 생성일, 최초와 마지막 분석일 등 검사 파일의 다양한 정보를 얻을 수 있다.
  • Names 메뉴에서는 해당 파일의 이름이 변경된 기록들을 보여준다.

FILE-RELATIONS

File - Relation

  • Realations 메뉴에서는 해당 파일이 컴퓨터 내의 어떤 파일들에 연관되어 있고 가동시키고 있는지 알 수 있다.
     
     

File - Community

File-COMMUNITY

  • COMMUNITY 메뉴에서는 다른 사용자들이 해당 파일에 대해 어떻게 평가하고 있는지 알 수 있다.
  • 파일이 유해한지 또는 유해하지 않은지에 대해 사용자가 투표할 수 있다. 비회원도 참여 가능하다(IP 기준으로 참여 가능).
  • 참여자가 적고 취소도 불가능하여 사용자의 실수를 보완할 수 없다.

 

2. URL

    URL
  • 홈페이지 내엔 바이러스가 잠복하고 있을 가능성이 항상 존재하기 때문에 의심스러운 링크는 검색하는 것이 좋다.
  • URL 탭의 “Search or scan a URL”에 URL을 입력하여 검사한다.

 

    naver.com 분석 결과
  • URL, 호스트 주소, 상태코드, 인코딩방식, 마지막 분석일자 등을 제공한다
  • 바이러스 엔진 별 탐지 여부가 나타단다.
  • DETAILS, COMMUNITY 등 세부 정보는 FILE 분석과 같다.

 

SEARCH 

 

  • 이미 업로드된 파일의 Hash값, 이미 검사된 웹사이트(URL), 커뮤니티 (Community)에  가입한 사용자 및 댓글 검색 가능

 

 

  •  
    Search 결과 화면
     
  • 검사 결과 정보는 File과 URL 동일하다

 

SEARCH-REALATIONS TAB

    SEARCH-REALATIONS
  • 다음 그림과 같이 RELATIONS에서 아들 도메인인 네이버 블로그나 카페 등에 업로드한 파일들에 바이러스가 있음을 확인할 수 있다.
     
     
     

VirusTotal 주의 사항

  • 파일을 압축하여 업로드할 경우 다양한 보안 제품에서 지원되지 않을 수 있음. => 압축하여 업로드 검사를 하고자 한다면 범용성이 있는 ZIP 파일 형식이 권장된다.
  • 검사 결과의 순서가 꼬일 수 있으므로 압축파일이 아닌 하나의 파일만 검사하는 것이 좋다
  • VirusTotal 사이트의 검사 결과는 제한적이라는 것을 염두에 두어야 한다. VirusTotal이 항상 정확한 것이 아니기 때문에 상당한 주의가 필요하다. 

VirusTotal 검사 완료 후 조치사항

  • 바이러스토털의 검사 결과를 토대로 사용자가 정식 진단 여부 또는 오진 여부를 판단할 수 있다면 해결이 가능할 수 있다.
  • 정탐 -> 백신에서 처리하는대로 처리(검역소 이동, 삭제 등),
  • 오탐 -> 제외(예외) 설정에 추가하면 된다(상당한 주의가 필요함).
  • 미탐 -> 직접 검역소로 이동(일부 보안 제품에서만 지원) 또는 제거, 혹은 압축하여 일시 보관(비밀번호 반드시 지정) 등

※ 일반 사용자들이 바이러스토털(VirusTotal) 사이트의 검사 결과를 직접 판단하기란 사실 어려울 수 있으므로 정확하고 현명한 처리를 원한다면 해당 파일을 보안 업체에 전송하여 분석 의뢰를 하는 것이 좋다

저작자표시 (새창열림)

'보안 > 보안관제' 카테고리의 다른 글

동적 분석 정의, 동적 분석 도구  (0) 2023.08.31
정적 분석 정의, 정적 분석 도구  (0) 2023.08.31
보안관제란?  (0) 2023.08.27
악성코드 종류  (0) 2023.08.23
정탐, 오탐, 미탐 / 악성 코드 탐지 구분  (0) 2023.06.04

티스토리툴바