[리팩토링] #10 VirusTotal

Hyungjun·2024년 11월 1일
리팩토링-보안

리팩토링-보안

목록 보기
4/11

Mission

악성코드에 대한 내용에 들어가기에 앞서서 virustotal에 대해 자세히 조사하기

보안관제와 VirusTotal

보안관제팀은 다양한 이유로 VirusTotal을 활용한다.

  1. 위협 인텔리전스 강화
    실제로 탐지된 파일이나 URL을 VirusTotal에서 스캔함으로써 해당 객체의 위협 수준을 빠르게 평가할 수 있다. 여러 안티바이러스 엔진의 결과를 바로 비교할 수 있어 신속한 의사결정이 가능하다.

  2. 의심스러운 파일 및 URL 검증
    보안 침해 의심 사건 발생 시, 발견된 파일이 악성인지 아닌지를 판단하기 위해 자주 사용한다.

  3. 포렌식 분석 지원
    파일의 상세 분석 결과를 통해 심층적인 포렌식 분석을 지원하며, 공격의 성격과 목적을 이해하는 데 도움을 준다.

  4. 지속적인 모니터링 및 대응
    지속적으로 들어오는 위협 정보를 갱신하고 분석하여 보안 정책을 강화하고 필요에 따라 보안 조치를 취할 수 있는 기반을 제공한다.

기초분석 - 정적 분석 - 동적 분석 중에서 기초분석에서 사용한다.
해당 악성 코드의 특징적인 부분을 파악한 후 정적, 동적 분석의 방향성을 결정한다.

#1 virustotal 란?

  • 악성코드 분석 시 활용하는 온라인 분석 사이트

  • 바이러스, 웜, 트로이 목마 등 악의적인 소프트웨어를 여러 회사의 안티바이러스 엔진으로 쉽게 찾아낼 수 있게 도와주는 서비스

  • 무료이고 구글의 자회사인 Chronicled의 서비스이다.

  • 60~70 여 개의 악성 코드 검사 엔진을 통해 바이러스 검사를 한다.

  • 바이러스 정의를 실시간으로 자동 업데이트를 한다.

  • 실시간으로 전세계적인 통계를 만들어 낸다.

#2 virustotal 의 기능

파일 및 URL 스캔: 사용자들이 파일이나 웹사이트 URL을 업로드하면 자동으로 다수의 엔진을 통해 악성 여부를 검사한다.

커뮤니티 피드백: 사용자들이 검토 및 댓글을 통해 자신의 의견이나 분석 결과를 공유할 수 있다.

REST API 제공: 개발자들이 API를 통해 VirusTotal 기능을 자신의 애플리케이션에 통합할 수 있습니다.

보안 보고서 생성: 각 파일이나 URL에 대한 자세한 보안 보고서를 생성하며, 탐지된 위협에 대한 정보를 제공힌다.

#2 virustotal 의 세부적인 사용 방법

1. 세부 내용 분석

웹사이트에 접속한 후, 검사하고자 하는 파일을 업로드하거나 URL을 입력한 뒤 ‘검사’ 버튼을 누른다.
검사 결과는 각 참가 안티바이러스 엔진 별로 나열되며, 각 엔진이 어떻게 파일을 분류했는지 보여준다.
스캔 결과 페이지에서 파일의 스택 분석, 히스토리, 상호작용 링크 등 다양한 확장 기능을 통해 심층 분석이 가능하다.

  • 홈페이지

  • 정상적인 URL
    해시 값, 검사결과 요약 정보, 커뮤니티 score, 바이러스 엔진 별 탐지여부 등의 정보가 제공된다
    Undeteced: 해당 엔진이 정상 파일로 인식

  • 악성코드가 있는 URL
    악성코드가 진단 된경우 해당 화면 처럼 빨간 글씨로 표시된다.
    71개의 엔진 중 58개의 엔진이 악성코드로 탐지됨을 뜻한다
    악성코드 진단명도 확인이 가능함

  • 파일

  • 파일 검사결과 (디테일 텝)
    해시 값, 파일 종류, 크기, 생성일, 최초와 마지막 분석일 등 검사 파일의 다양한 정보를 얻을 수 있다.
    Names 메뉴에서는 해당 파일의 이름이 변경된 기록들을 보여준다.

COMMUNITY 메뉴에서는 다른 사용자들이 해당 파일에 대해 어떻게 평가하고 있는지 알 수 있다.
파일이 유해한지 또는 유해하지 않은지에 대해 사용자가 투표할 수 있다. 비회원도 참여 가능하다(IP 기준으로 참여 가능).

  • 나의 이력서 홈페이지 URL 검사

  • 디테일 텝
    URL, 호스트 주소, 상태코드, 인코딩방식, 마지막 분석일자 등을 제공한다
    바이러스 엔진 별 탐지 여부가 나타단다.
    DETAILS, COMMUNITY 등 세부 정보는 FILE 분석과 같다.

2. 주의사항

민감한 데이터 업로드 금지: 개인 정보, 기밀 데이터, 또는 조직의 중요 파일을 VirusTotal에 업로드하는 것은 피해야 한다. 업로드된 파일은 공공 데이터베이스에 저장되므로, 누군가가 해당 데이터를 접근할 수 있다.

파일 크기 제한: VirusTotal은 파일 크기에 제한이 있다. 파일이 너무 크면 스캔할 수 없으므로, 필요한 경우 적절하게 파일을 분할할 수 있다.

정확성 확인: VirusTotal은 여러 안티바이러스 엔진을 사용하여 검사하지만, 모든 엔진이 항상 정확하지 않을 수 있다. 하나의 해석이나 경고에만 의존하기보다는 여러 결과를 종합적으로 판단해야 한다.

허위 긍정 경고: 악성코드 탐지의 경우, 때때로 합법적인 소프트웨어가 악성으로 잘못 분류되는 경우(허위 긍정)가 있다. 이 경우, 추가적인 분석이나 검증을 통해 해당 파일의 실제 상태를 확인하는 것이 중요하다.

API 사용 시 주의: VirusTotal의 API를 사용할 경우, 사용량에 제한이 있으며 과도한 요청은 계정 정지나 서비스 제한으로 이어질 수 있다. API 사용 정책을 준수하여야 한다.

검사 후 행동 계획: 분석 결과를 바탕으로 어떤 조치를 취할지 명확하게 계획해야 한다. 단순히 결과를 신뢰하기보다, 해당 결과에 대해 추가적인 검토와 분석을 통해 취해야 할 조치를 결정하는 것이 좋다.

profile
Hyungjun
Cloud Security / DevSecOps / AWS
이전 포스트

[리팩토링] #9 보안관제

다음 포스트

[리팩토링] #11 정적 분석, 동적 분석, tools

0개의 댓글