리팩토링
리팩토링 11주차 Virustotal
idea5021
2024. 10. 3. 22:36
목차
1. Virustotal의 정의 및 기능
정의
- 파일이나 URL이 악성코드 또는 다양한 보안 위협에 감염되었는지 여부를 확인하기 위한 온라인 서비스
기능
- Virustotal은 70개가 넘는 antivirus scanners와 URL/domain blocklisting services를 이용하여 의심스러운 파일, URL, IP등을 검사하며 여러개의 파일 검사도 가능하고 파일형식에 따라 해당 파일을 분석한 결과를 보여준다.
- 파일이나 URL에 대한 결과를 Community를 통해 서로에게 의견을 공유하는 기능을 가지고 있다.
- 검사시 해당파일 검사결과를 누구나 공유하기 때문에 검사할때 직접 제작한 바이러스, 기밀정보 및 개인정보를 올리거나 검사를 진행했다간 문제가 발생하니 주의해야한다.
2. Virustotal의 사용 방법
- FILE : 검사를 하고 싶은 파일을 업로드하고 파일을 스캔하여 다양한 안티바이러스 엔진의 결과를 보여준다.
과거의 검사 결과를 먼저 보여주고 오른쪽 새로고침으로 현재 검사 결과를 확인할 수 있다.
검사하고자 하는 파일을 Choose file이라는 버튼을 눌러 업로드 해준다.
- 내가 올린 txt파일은 보안 공급업체중 이 파일을 악성으로 표시한 업체가 없다는 것을 의미한다.
- URL : 검사하고자 하는 웹사이트의 주소를 입력하면 해당 URL이 안전한지 여부를 판단하여 결과를 제공한다.
- SEARCH : 검색 기능으로 URL 기능의 연장선으로 URL, IP, Domain, file hash를 통해 분석이 가능한 기능이다. 파일의 해시 값으로 특정한 악성코드 파일을 웹상에서 검색할 수 있다. 이를 이용하여 파일의 이름만 다르고 해시값은 동일한 악성코드를 검색해 보는 것이 가능하다.
한번이라도 바이러스토탈에 업로드가 된 해시파일이 있는 경우에 검색 가능하다.
txt파일에 md5 해시값을 알아내서 악성코드에 감염되었는지 확인해본다.
- Graph
Virustotal data set로 구축된 시각화 도구이다.
파일, URL, Domain 및 IP 주소 사이의 관계를 이해할 수 있도록 시각화해주며 피벗 및 탐색 할 수 있는 쉬운 인터페이스도 제공한다.
- Community
해당 URL에 대해 사용자들의 의견을 공유할수있고 특정 파일의 악성이력, 많은 배포가 이루어졌던 이력이 있었는지 등 다양한 정보를 얻고 활용할 수 있는 기능이다.
3. Virustotal을 통한 분석 방법
- 기초 분석
- 정적 분석이나 동적 분석에 있어 필요한 기초적인 정보들을 제공해주며, 앞으로 어떻게 분석해야하는지에 대한 방향성을 제공
- Virustotal은 악성코드에 대한 기초적인 정보를 모으는 단계인 기초분석에 해당한다. - 정적 분석
- 파일을 실행시키지 않고 파일 구조를 분석하는 방법
- 파일의 특성을 확인하여 해시값, 크기, 파일형식, 디지털 서명 등을 수집
- 파일 내부의 문자열, 키워드, 패턴 등을 조사하여 악성코드의 패턴을 찾는 분석 방법 - 동적 분석
- 파일을 실행시켜 그 변화를 관찰하고 분석하는 기법
- 파일이 실행될 때의 기본적인 행위를 확인하며, 파일이 네트워크와 어떻게 상호작용하는지 탐색 가능
4. Virustotal 사용시 주의사항
- 검사시 해당파일 검사결과를 누구나 공유하기 때문에 검사할때 직접 제작한 바이러스, 기밀정보 및 개인정보를 올리거나 검사를 진행하면 문제가 발생하니 주의해야한다.
- 여러개의 파일이 압축되어 있는 압축파일을 검사할때는 위쪽에 있는 파일 하나만 검사함으로 압축을 할 경우 하나의 파일만을 압축해서 검사해야한다.
- Virustotal의 검사 결과를 맹신하면 안되고 참고용으로 사용해야한다.
- 한번 검사를 진행한 경우에도, 시간이 오래 지났다면 주기적으로 재검사를 해야한다.
참고문헌
https://namu.wiki/w/VirusTotal