virustotal이란?
- 보안 실무에서 자주 사용되는 사이트 중 하나입니다.
- 바이러스 토탈(VirusTotal)은 파일이나 URL이 악성 코드 또는 다양한 보안 위협에 감염되었는지 여부를 확인하기 위한 온라인 서비스입니다.
virustotal의 기능
- VirusTotal은 70개가 넘는 antivirus scanners 와 URL/domain blocklisting services를 이용하여 의심스러운 파일,URL,IP등을 검사합니다.
- 실시간간으로 파일과 URL을 스캔합니다.
- 파일이나 URL에 대한 결과를 Community를 통해 서로에게 의견을 공유하는 기능을 가지고 있습니다.
virustotal 사용방법
FILE
- 파일을 직접 업로드해 검사할 수 있는 기능으로 Choose file 클릭을 통해 파일을 업로드 할 수 있다.
FILE-DETECTION
0/69:
- 69개의 엔진 중 0개의 엔진이 악성코드를 감지했다는 의미입니다.
Community Score:
- 사용자들이 파일에 대한 의견을 남길 수 있는 시스템, 해당 파일을 신뢰할지 여부를 나타내는 데 사용됩니다.
DETECTION:
- 다양한 안티바리어스 엔진이 사용된 것을 확인할 수 있습니다.
Undetected:
- 해당 엔진이 해당 파일을 악성코드로 탐지하지 않고 정상파일로 인식하는 것을 의미합니다.
- ※만약 악성코드로 진단이 되면, 100% 악성코드라고 확정짓는 것이 아닌 악성코드일 확률이 높다고 생각하며 분석을 해야합니다.(악성코드는 시간이 지남에 따라 상태가 얼마든지 변화할 수 있고, 분석환경에 따라 결과가 다를 수 있기 때문)
FILE-DETAILS
Basic properties:
- 다양한 해시값, 파일의 유형, 크기 등을 확인할 수 있습니다.
History:
- 파일이 생성된 날짜, 처음 업로드된 날짜, 마지막 업로드 된 날짜 등 확인이 가능합니다.
Names:
- 해당 파일의 이름이 어떤식으로 변경되어 왔는지 확인 할 수 있습니다.
URL
Search or scan a URL:
- 텍스트 박스에 특정 URL을 입력해 이URL이 악성인지 아닌지 판단할 수 있습니다.
- 만약 특정 URL사이트에 파일을 다운로드 해야 할 경우 먼저 URL 검사를 통해 확인이 가능합니다.
URL-DETECTION-DETAILS
- File 탭에서 본 것과 유사합니다.
SEARCH
- URL 탭의 연장선입니다.
- URL, IP, Domain, file hash를 통해 분석이 가능한 탭 입니다.
- virustotal의 경우 방대한 DB를 가지고 있어 이전에 검사한 파일의 해시값을 입력해서 검사 기록을 확인 할 수도 있습니다.
virustotal 주의사항 및 분석 방법
주의사항
- virustotal 사용 시 개인정보가 포함된 파일을 업로드하지 않도록 주의해야 합니다.
- 이미 진행 한 검사라도 시간이 지나면 주기적으로 재검사를 진행해 주어야 합니다.
- 검사 결과를 맹신하지 말아야 합니다.
분석방법
- virustotal은 악성코드 분석 방법인 기초분석/정적분석/동적분석 중 악성 코드에 대한 기본적인 정보를 모으는 단계인 기초분석에 해당합니다.
- 해당 악성코드의 특징을 파악 후 분석을 정적 또는 동적으로 할지 결정하는 역할을 합니다.
- 기본적인 참고용 자료라고 생각하시면 됩니다.
참고
안녕하세요