VirusTotal이란?

바이러스 토탈은 구글의 자회사로, 바이러스나 웜, 트로이목마 등을 검사하고 막는 사이트

VirusTotal의 기능

• 최대 70가지 이상의 각기 다른 바이러스 검사 소프트웨어 제품을 사용 (AhnLab-V3, McAfee 등)
• 검사할 파일은 웹사이트나 전자 메일을 거쳐 업로드 가능

한계점

• 웹사이트에 쓰이는 다양한 제품을 통해 사용자가 소유하고 있는 바이러스 검사 소프트웨어가 잡아내지 못하였거나 오진을 하는 바이러스 또한 진단할 가능성도 존재
• 업로드한 파일만 검사하므로 전반적인 컴퓨터의 바이러스 감염 여부는 확인 불가능
• 업로드할 수 파일의 크기가 최대 128MB로 용량 제한이 존재

File

: 업로드하고 싶은 파일을 업로드해 악성코드 감염여부 확인 가능

URL

: 확인하고 싶은 URL 주소를 입력하여 악성 주소인지 아닌지 확인 가능

SEARCH

: URL 뿐만 아니라 IP주소, 도메인, 파일 해시값 또한 추가적으로 스캔할 수 있는 탭

VirusTotal - File의 세부기능 - DETECTION

DETECTION : 바이러스 탐지 칸
밑 사진은 '8. 보안관제" ppt파일을 업로드했을 때의 결과

바이러스가 탐지될 일이 없기 때문에
모든 바이러스 검사 소프트웨어에서 Undetected가 뜸.

밑 그림은 Timeout이 뜨거나
Unable to Process File Type이 뜬 경우

Timeout : 검사 시간이 너무 오래 지체된 경우
Unable to Process File Type : 백신 프로그램이 지원하지 않는 경우

감염된 파일을 업로드 할 경우

직접 업로드해본 것은 아니고 구글링해서 찾아본 이미지로,
밑 이미지는 각 백신들이 파일을 악성코드로 인식한 모습

VirusTotal - File의 세부기능 - DETAILS

Basic properties

MD5 / SHA-1 / SHA-256 등의 해시함수가 있는 것으로 보아, 각 해시함수로 어떤 식으로 암호화되었는지 확인 가능

History

Creation Time : 파일이 생성된 날짜
First Submission : 처음 업로드된 날짜
Last Submission : 마지막 업로드 된 날짜

VirusTotal - File의 세부기능 - RELATIONS

• Contacted Domains, Contacted IP addresses, Bundled Files, Dropped Files 등 관련된 도메인, URL, IP 주소, 상위 및 하위 파일 등을 제공

• 파일과 연관된 다른 파일이나 URL 등을 확인하여, 악성 파일의 전파 경로를 이해하거나, 어떠한 관계로 연관되어 있는지 파악 가능

VirusTotal - File의 세부기능 - BEHAVIOR

• 파일이 네트워크에서 어떤 도메인이나 IP주소와 통신하는지 등의 상호작용 확인 가능
• 파일이나 디렉토리의 생성, 수정, 삭제 등 파일 시스템 동작 내용을 기록하여, 악성코드가 시스템 내에서 어떻게 활동하는지 파악 및 대응 가능
  

VirusTotal - File의 세부기능 - COMMUNITY

사용자 간의 커뮤니티 기능으로, 특정 파일의 악성이력, 많은 배포가 이루어졌던 이력이 있었는지 등 다양한 정보를 얻고 활용할 수 있는 기능

VirusTotal - URL

URL창에
www.naver.com을 입력해본 결과, Detection 탭을 보면 1개의 백신에서 악성코드를 탐지하고 나머지 백신에선 ‘Clean’이 뜬 것을 볼 수 있음.

File과 공통된 세부기능으로 DETECTION, DETAILS, COMMUNITY 등이 존재

VirusTotal - Search

Search탭에 "8. 보안관제" ppt의 해시 함수 값을 입력한 결과

www.naver.com 주소를 입력했을 때의 결과

위의 두 사진의 결과로 보아 Search탭은 특정 기능이 추가된 탭이 아닌 단순하게 File탭과 URL탭의 종합적인 기능을 갖추고 있는 탭이라고 볼 수 있음.

VirusTotal을 통한 분석방법

• 기초 분석:
  정적 분석이나 동적 분석에 있어 필요한 기초적인 정보들을 제공해주며, 앞으로 어떻게 분석해야하는지에 대한 방향성을 제공
• 정적 분석:
  파일을 실행시키지 않고 파일 구조를 분석하는 기법
• 동적 분석:
  파일을 실행시켜 그 변화를 관찰하고 분석하는 기법

정적 분석 상세 설명

• 파일의 특성을 확인하여 해시값, 크기, 파일 형식, 디지털 서명 등을 수집
• 파일 내부의 문자열, 키워드, 패턴 등을 조사 악성코드의 패턴을 찾는 분석 방법

동적 분석 상세 설명

• 파일이 실행될 때의 기본적인 행위를 확인하며, 파일이 네트워크와 어떻게 상호작용하는지 탐색 가능

VirusTotal은 이 중 악성코드에 대한 기초적인 정보를 모으는 단계인 기초분석

VirusTotal 사용 시 주의사항

• 검사시 해당파일 검사결과를 누구나 공유하기 때문에 검사할때 직접 제작한 바이러스, 기밀정보 및 개인정보를 올리거나 검사를 진행했다간 문제가 발생하니 주의해야 함

• 압축파일은 분석 정확도가 낮기 때문에 용량 제한이 걸리지 않는 한 압축을 푼 파일을 업로드하는 것이 정확한 검사 결과를 얻을 수 있는 방법

• VirusTotal을 단순 참고용으로 구글에서 무료 배포 중인 서비스이므로, 의심이 되는 파일에 악성코드가 전혀 발견되지 않았다고 해서 무조건적으로 결과를 맹신하는 것은 옳지 않음

추가 보완점

• SEARCH 특별한 기능
  : 해시값을 기반으로 파일 정보 획득 가능
  주의점 : 한번도 업로드하지않은 파일은 정보 제공 X

• 분석결과 맹신 X

• 악성코드를 분석할 때 무조건 확정하지 않음
  '악성코드에 가깝다' 이런 식으로 표현함

• VirusTotal에서 기초분석을 하는 이유는
  정적분석과 동적분석을 하기 위해 단지 참고하는 용도

• VirusTotal은 압축파일을 검사할 때 압축파일 하나하나를 검사하는 것이 아닌,
  제일 위에 있는 파일을 기반으로 검사해서 보여줌.
  따라서 압축파일의 정확도는 낮기 때문에 압축 해제 후 검사

• 악성코드는 활동을 했다가 안했다가 하기 때문에 탐지율의 정확도가 높지 않음.
  이 점 고려하여 악성코드 분석 필요