Virustotal 이란
- 악성코드 검사를 제공하는 웹사이트
- 최대 70가지 이상의 각기 다른 바이러스 검사 소프트웨어 제품을 사용하여 의심스러운 File, URL, Domain, IP 를 무료로 분석
- 제출한 파일만 검사할 수 있으며 사용자 컴퓨터의 전반적인 시스템 검사 수행 불가 (파일 크기가 최대 128 MB)
- 상당히 광범위한 악성 코드 및 파일 서명 DB 를 보유하고 있기에, 파일 해시값을 통해 이전 악성 코드 검사 기록을 확인 가능
- 다만, 검사 시 해당파일 검사결과를 누구나 공유하기 때문에 검사할때 직접 제작한 바이러스, 기밀정보 및 개인정보를 올리거나 검사를 진행하면 문제가 발생
Virustotal 사용방법
File을 직접 업로드 하거나 URL을 입력하여 악성코드를 분석하거나 과거의 검사한 파일의 해쉬값, URL, IP등을 검색하여 불러 올 수 있음
- File
- URL
- Search
File
파일을 검사하면 여러 엔진의 검사 결과를 보여줌
60개의 엔진중 0개의 악성코드 탐지
파일의 고유한 해시값, 파일의 기초 정보 History와 Names에 검사 기록과 해당 파일 이름의 변화 확인가능
여러 엔진에서 진단한 악성코드
70개의 엔진중 49개의 엔진에서 악성코드가 탐지
각 엔진별 진단명 확인가능
DETAILS, RELATIONS, BEHAVIOR, COMMUNITY 탭을 통해 악성 파일의 자세한 정보, 다른 악성코드와 연관성, 행위 등 세부적인 분석 결과 확인 가능
URL
문제가 있는 URL이 어떤 악성코드가 포함되어 있는지 프로그램 별로 알려줌
Search의 경우 해시, IP, URL등 데이터가 있는 경우 DB에서 검색하여 자료를 보여줌
Virustotal 유의사항
- 파일 확장자에 따라 검사를 지원하는 백신프로그램에 차이
- 모두 동일한 파일에 대하여 다운로드 URL과 압축파일, 실행파일 3가지 형태의 결과가 모두 다를 수 있음
- 사용자가 실행할 수 있는 최종 형태의 파일로 검사를 하는 것이 가장 안정적
- 어떤 엔진이 정탐, 오탐, 미탐 일지는 사용자의 판단에 있음
- 검사한지 오래되었다면 Reanalyze로 재검사를 해야함(기존데이터가 있으면 기존데이터를 보여줌)
- 악성코드의 변화는 빠름
Virustotal 분석 방법
- 악성 코드 분석에는 기초 분석, 정적 분석, 동적 분석 3가지 존재
- 이중 Virustotal은 기초 분석에 활용
- 악성파일의 대한 기초적인 정보를 모으는 단계
- 특히 악성코드의 지문이라 불리는 해시값
- Virustotal을 통해 해당 악성파일를 분석한 후 악성파일의 이름에서 어떤 유형의 바이러스 인지, 어떤 행위를 할 것인지, 악성파일의 행동이나 관련된 web 주소 등 기본적인 정보를 얻게됨
Reference
https://zerosecu.tistory.com/5
https://odaily.tistory.com/entry/랜섬웨어-악성코드-검사-사이트-바이러스-토탈VirusTotal
'보안관제' 카테고리의 다른 글
| 정적 분석 도구 실습 (1) | 2023.12.20 |
|---|---|
| 동적분석, 정적분석 (1) | 2023.12.07 |
| 보안관제 (0) | 2023.11.20 |
| 악성코드 (1) | 2023.11.11 |
| 탐지 분류 (0) | 2023.11.11 |