Virustotal?
Virustotal은 구글의 자회사가 만든 웹 페이지이며, 다양한 안티 바이러스 엔진을 이용하여 악성 코드로 보이는 행동들을 확인할 수 있다.
주요 활용
악성 코드의 분석 방법 중 주로 기초 분석에 이용된다.
Virustotal은 나름대로 기초 분석과 함께 정적 분석과 동적 분석 결과를 제공하지만 이를 맹신해서는 안 되고, 이후 실제로 진행하는 분석을 원활하게 하기 위한 목적으로 활용하는 것이 좋다.
💡 기초 분석이란?
악성 코드의 특징과 행동을 파악하는 분석 방법이다. 기초 분석을 통한 자료는 이후 정적 분석과 동적 분석의 토대가 된다.
📌 Virustotal 이용 시 주의사항
1. 기밀 유출에 주의한다.
Virustotal은 파일 스캔 시 해시 코드가 유저들에게 공유되므로, 유출되면 안되는 민감한 정보나 개인 정보가 포함되지 않았는지 항상 주의하며 사용해야한다.
2. 압축 파일은 압축 해제 후 검사한다
압축 파일 스캔 시 압축 파일 안에 있는 목록들을 하나 하나 각각 검사하는 것이 아닌 제일 맨 위에 있는 파일 검사 후 결과를 보여준다. 만일 맨 위의 파일은 정상이지만 중간에 있는 파일이 악성의 여지가 있다면 탐지하지 못하고 넘어갈 수 있다. 그렇기에 압축 파일은 압축 해제 후 검사해야 한다.
3. 단순 참고, 맹신X
Virustotal은 어디까지나 참고용으로만 사용하고 분석 결과를 맹신하는 것은 지양해야 한다.
과거에 A라는 악성 행위를 했던 것일지라도 현재는 활동을 하지 않거나, 변종으로써 다른 양상을 띠어 상태 값이 변경될 수 있으므로 실제로 분석을 진행하고 판단해야 한다.
📝 Virustotal 사용법
사이트에 들어가면 각각 FILE, URL, SEARCH 탭이 있으며 각 형식에 맞게 사용하면 된다.
📁 FILE
파일 탭에 사용사가 검사를 원하는 파일을 업로드하면된다. 앞서 말한 다양한 안티 바이러스 엔진을 이용하여 통합 보고서를 생성하고, 악성 행위가 어떤 엔진에서 감지되었는지 알려준다.
📮 URL
검사하고 싶은 URL 주소를 검색하면, 파일 스캔과 비슷한 과정으로 결과를 제공한다. 현재 이 URL 주소가 악성 행위를 하고 있는지, 아니면 과거에 악성으로 활동했는지 여부를 확인할 때 사용한다.
특정 웹 페이지에서 파일을 다운로드하고 싶은데 의심스러울 때, 해당 사이트의 URL 주소를 검사하여 판단할 수 있다.
만일 현재 URL과 IP 주소가 악성 행위를 했거나 과거에 그러한 활동을 한 전적이 있다면 해당 주소에 대해 주의 깊게 모니터링을 하거나 차단 등의 추가적인 조치를 함으로써 침해 피해에 대응할 수 있다.
🔎 SEARCH
SEARCH 탭은 IP 주소, 도메인, 파일, 해시 코드 등을 추가적으로 검사할 수 있는 탭이다. 이 때 알아야 할 점은 과거 이력이 있는 해시 코드는 조회가 가능하나, 기록이 없는 해시 값에 대한 분석은 제공하지 않는다는 점을 주의하자.
해시 코드 : 각 파일이 가지는 고유한 값
📝 Virustotal 세부 내용
SUMMARY
SUMMARY 탭은 악성코드 탐지 결과를 요약하여 통합 보고서를 제공, 한 눈에 보안 상태와 위협 수준을 파악할 수 있다.
1번은 0/67은 67개의 안티 바이러스 엔진을 검사를 한 결과, 0개의 엔진에서 악성 행위가 감지되었음을 보여준다. 밑의 커뮤니티 스코어는 사용자들이 파일에 대한 의견을 남길 수 있다.
2번은 스캔한 파일의 해시 값이다. 이렇게 스캔한 파일의 해시 값은 Virustotal에 기록되며 추후 SEARCH 탭에서 해시 값으로 검색이 가능하다.
DETECTION
DETECTION 탭은 어느 엔진이 악성 행위를 탐지했는가를 확인할 수 있다. 또한 엔진 별 상세 정보를 확인할 수 있어 어떤 패턴으로 악성 행위를 감지했는지 볼 수 있다.
주로 알약, 안랩, 추가적으로 아베스트에서 악성으로 진단했는지 보고 해당 파일의 악성 여부를 추정할 수 있다. (확정은 아니고 확률이 높다 이런식으로)
Undetected - 악성 행위를 탐지하지 않음. 바이러스 탐지 X
Timeout - 시간이 너무 오래 걸림
Unable to Process File Type - 백신 프로그램 지원 X
특정 엔진만이 악성 행위를 탐지하고 나머지 엔진은 정상 파일로 판단한다면 오탐일 가능성도 있으니 주의해야 한다.
DETAIL
DETAIL 탭은 파일에 대한 상세한 분석과 세부 정보를 제공한다. 해당 파일의 크기, 유형, 해시 값 등 일반 정보와 함께 과거 기록을 제공한다.
해시 코드를 통해 무결성을 확인하거나, 의심스러운 파일의 경우 기초 단계 분석이 가능하다.
정적 분석 시 디테일 탭에서 보는 정보랑 비교해보는 것도 괜찮다. 대신 단순 참고용으로만 분석 방향을 잡는 정도로만 생각하자. 결과가 달라도 틀린 게 아니고 악성 행위는 과거와 현재가 다를 수 있다.
REALATION
REALATION 탭은 파일과 관련된 정보들을 제공한다. 주로 URL, 도메인, IP 주소와의 통신 여부와 상위 및 하위 파일 목록들을 보여준다.
주로 악성 파일의 전파 경로를 파악하거나, 어떻게 연관되어 있는지 확인할 수 있다.
BEHAVIOR
BEHAVIOR 탭은 해당 파일이 네트워크와 어떻게 상호작용하는지, 즉 다른 도메인이나 IP 주소와의 통신 여부를 확인할 수 있다. 다양한 샌드박스 환경에서 해당 파일 실행 후, 동적 분석 결과 통합 보고서를 보여준다.
C&C(Command and Control) 서버의 통신과 악성 행위 활동을 파악하는 데 이용할 수 있다.
🖥️ C&C (Command and Control) 서버
원격지에서 명령을 내리거나 악성 코드를 제어하는 서버
COMMUNITY
마지막으로 COMMUNITY 탭은 해당 파일에 관한 유저 간 경험과 정보 공유가 가능한 탭이다. 결과에 대한 코멘트나 피드백 등을 확인할 수 있으며, 과거 악성 이력 확인이나 신속한 대응이 필요한 보안 이슈일 경우 유용하게 사용된다.
마치며
악성 코드의 행위는 과거와 현재의 활동이 다를 수도 있다는 점을 명심하고, Virustotal은 분석의 방향을 잡거나 단순하게 참고하는 용도로 이용하는 것이 좋다.
참고한 사이트
https://learn.microsoft.com/en-us/connectors/virustotal/
https://www.youtube.com/watch?v=b67h3U4OeAI
https://maker5587.tistory.com/12
https://bavid98.tistory.com/22
https://hackingstone.tistory.com/2
https://itstudycube.tistory.com/11
