▶ 보안 관련 정보 및 팁

악성코드 확인 방법 2 : 무료 온라인 가상 환경 분석 검사 서비스 모음

물여우 2010. 6. 20. 18:48
반응형

악성코드인지 아닌지를 판단하는데 도움이되는 무료 서비스 중 가상 환경 분석을 통해 악성 여부를 판단하게 해주는 서비스들을 소개합니다.


▶ 내용 수정 및 추가 항목

코모도의 가상 환경 분석 서비스 - Comodo Instant Malware Analysis


 ※ 아래의 내용 중에서 수정된 부분은 위 링크를 참고 바랍니다.


기본적으로 사용자가 특정 파일의 악성코드 여부를 파악할 때에는 현재 시스템에 설치된 안티 바이러스 제품을 이용하여 확인하는 것이 일반적입니다. 그러나 무수히 많은 수의 악성코드가 범람하는 요즘에는 안티 바이러스에서 모든 악성코드를 진단할 수 없기 때문에, 사용자로서는 추가적인 확인 방법이 필요합니다. 

악성코드 확인 또는 치료를 위해 일부 사용자들은 여러 안티 바이러스를 동시에 설치하는 경우가 많지만, 이는 사용자의 시스템을 불안하게 하는 요소이기 때문에 권장되지 않는 방법입니다.

제 블로그를 통해 악성코드 확인을 위한 추가적인 방법으로, 시스템의 불안정성을 최소화 할 수 있는 액티브x를 이용한 검사, 포터블 방식으로 사용할 수 있는 다양한 보조 검사 도구를 소개하였고, 뒤이어 온라인 상에서 다양한 안티 바이러스 엔진을 통해 특정 파일을 검사할 수 있는 멀티 엔진 파일 검사 서비스를 소개하였습니다.

이번에 소개할 서비스는 지금까지 소개한 것과 달리 안티 바이러스를 이용하여 악성코드를 검사하는 방식이 아닌, "가상화 분석"이라는 기술을 이용하여 사용자가 보낸 특정 파일을 가상화 공간에서 직접 실행한 후, 그 행위를 분석하여 사용자에게 알려주는 서비스입니다.

이전에 소개한 바이러스 토탈같은 서비스는 특정 안티바이러스가 진단한다고 해서 해당 파일의 악성 여부를 사용자가 확신할 수 없습니다.(악성코드인지 오진인지 100% 확인 불가). 그러나 이번에 소개하는 서비스들은 사용자가 어느 정도 지식만 있으면 악성 여부를 거의 정확하게 파악할 수 있습니다. 따라서 지금까지 소개한 서비스들에 비해 다소 어렵지만, 정확도는 더 높습니다.


1. 가상 환경 분석 서비스 소개

소개할 서비스들을 표로 간략하게 정리해 봤습니다.

서비스 이름

첨부 용량

부연 설명

Threatexpert

5mb

- 간랸화된 정보 제공추천

- zip 또는 rar 압축된 파일도 분석 가능
 (
자동 압축 해제, 암호 입력 불가)

CWSandbox

16mb

- 매우 세분화된 정보 제공, 고급 사용자용

- 첨부 용량이 서비스들 중에서 qlrywj

- zip 또는 rar 압축된 파일도 분석 가능
 (
자동 압축 해제, 암호 입력시 "Infected" 가능)

Sunbelt

12mb

- CWSandbox 동일한 분석 엔진 사용

joebox
(유료로 전환 )

12mb

- 가상 환경으로 사용할 운영 체제 선택 가능
  (XP SP3, ViSTA SP2, Win 7
)

- 다양한 포맷의 파일 분석 가능
 (exe, *.pif, *.scr, *.doc, *.ppt, *.xls, *.html, *.bat...)

- jbs 파일도 분석 가능

- zip, rar 압축된 파일도 분석 가능
 (
자동 압축 해제, 암호 입력시 "Infected" 가능)

Norman

정보 없음

- 메인 본문을 통해 분석 요약본을 있음

CAMAS

정보 없음

- 빠르면서도 깔끔한 정보 제공, 추천

- 압축 파일 분석 불가능



각 서비스 이름을 클릭하면 샘플 업로드 화면으로 이동을 합니다.


일반 사용자들도 비교적 쉽게 악성 유무를 판단할 수 있는 "Threatexpert""CAMAS" 가장 추천하고, 시스템에 대한 지식이 충분하거나, 프로세스 행동을 세부적으로 알고 싶을 때에는 "CWSandbox"를 추천합니다.


2. 서비스 사용법

대부분의 서비스가 샘플을 업로드하면, 이메일을 통해 정보를 제공합니다. 서비스에 따라 분석 정보 페이지를 링크 걸거나, 문서 파일로 만들어 첨부하여 주기도하고, 메일 본문에 분석 정보를 직접 보여주기도 합니다. 

가장 추천하는 ThreatExpert를 통해 서비스 사용법을 살펴보도록 하겠습니다. 리뷰를 위해 사용된 파일은 최근에 변조된 사이트를 통해 유포되던 악성 코드입니다. 


샘플 업로드 화면입니다. 아래의 그림처럼 "찾아보기" 버튼을 클릭해서 업로드할 파일을 선택한 후 메일 주소를 입력합니다. 분석 정보 링크와 첨부 파일이 보내지기 때문에 정확한 메일 주소를 기입해야 합니다. 그 후 라이센스 동의 항목에 체크 후 "Submit" 버튼을 클릭합니다. 타 서비스에 비해 업로드 용량이 매우 적으므로 주의합니다.

샘플 업로드 창


(※ 국내 메일 서비스를 이용해도 좋지만 가급적이면 Gmail이나 Hotmail 같은 외국 메일을 사용하는 것이 좋습니다.)


샘플을 보낸 후 5분에서 10분 뒤에 (상황에 따라 더 길어질 수 있습니다. 간혹 그 다음날에 오는 경우도..) 아래와 같은 내용이 담긴 메일이 보내집니다. 빨간색 부분은 웹에서 직접 정보를 확인할 수 있는 분석 정보 페이지 링크이고, 아래 파란 부분은 분석 정보를 mhtml 포맷으로 문서화한 파일로 다운받아 직접 분석 정보를 확인할 수 있습니다. mhtml파일을 압축하여 보내는데, 압축을 풀기 위해서는 암호를 입력해야 합니다. 암호는 "Threatexpert"입니다.  

분석 정보 첨부 메일



분석 페이지 또는 첨부된 파일을 열어보면 아래와 같은 정보들을 보여줍니다. 설명을 위해 항목별로 구분해서 스크린샷을 올립니다. 원래 페이지를 보시려면 여기를 클릭하십시오.


먼저 분석 정보의 요약 항목입니다. 업로드된 파일의 해쉬값과 보안 제품들의 진단 내역, 위험도 정보를 보여줍니다. 위험도 정보는 보안 레벨(Security level)이 높을 수록 악성코드의 행동 특징이 나타나는 것입니다. 네트워크 연결, 레지스트리 변경, 보안 위협적인 특성 등의 항목으로 구성되는데 샘플로 올린 파일은 보안 위협적인 특성이 아주 강한 것을 알 수 있습니다. 아래와 같이 특정 항목에 위험도가 절반 이상이라면 거의 악성코드라 보시면 됩니다.



다음 항목은 업로드된 샘플의 보안 위험 종류에 대한 설명(상)과 파일 시스템 변경 정보(하)를 보여줍니다. 보안 위협 내용을 살펴보면 네트워크 연결을 통해 특정 파일을 다운로드하고 Trojan 또는 Bot과 같은 행동을 하고 있다는 것을 알려주고 있습니다.

파일 시스템 변경 항목을 살펴보면 시스템 폴더와 사용자 계정 폴더에 특정 라이브러리 파일을 생성하고 있는 것을 확인할 수 있습니다. 어느 정도 악성코드에 관심있는 분들은 아시겠지만 프로그램 설치 파일이거나 포터블 방식을 제외하였을 경우, 이런 파일은 거의 대부분 악성코드일 확률이 매우 높습니다.

위험 종류 정보 및 파일 시스템 변경 분석




이번에는 메모리 변조 항목입니다. 아래와 같이 특정프로세스에 앞서 생성한 라이브러리(dll )파일들을 인젝션 시키는 것을 확인할 수 있습니다. 이 또한 악성코드들이 하는 대표적인 행동으로 인젝션된 파일들을 통해 개인 정보 유출이 이루어집니다.

메모리 변경 분석



레지스트리 변경 부분입니다. 악성코드가 하는 대표적인 행동이 또 하나 나왔습니다. 시작 프로그램에 라이브러리 파일과 자신의 분신 파일을 등록시키는 것을 확인할 수 있습니다.  

레지스트리 변경 분석



마지막으로는 네트워크 연결 정보입니다. 중국쪽 IP에 연결을 시도하고 특정 파일을 다운받으려하는 것을 확인할 수 있습니다. 역시 대표적인 악성코드 행동입니다.

네트워크 연결 분석




3. 가상 분석 서비스들의 단점

가상 환경 분석 서비스들의 단점은 아래와 같습니다.

- 분석할 수 있는 파일의 용량이 제한이 있다.
- 대부분의 서비스가 실행 파일(PE)만 분석 가능하다.  <- 가장 큰 문제
- 아직까지 32비트용으로 제작된 파일만 검사가 가능하다.





지금까지 온라인을 통한 가상 환경 분석 검사 서비스들을 살펴봤습니다. 

ThreatExpert를 추천한 것은 비록 업로드 용량은 매우 적지만 위와 같이 시스템 또는 악성코드에 대해 세부적인 지식이 없어도 악성 여부를 쉽게 판단할 수 있도록 항목들이 구성되어 있기 때문입니다. 살펴본 것처럼 비교적 직관적으로 업로드된 샘플의 행동을 분석해서 보여줍니다. 이것도 어렵다고 느끼시는 분들은 상단 부분의 "위험도 수준""위험 종류 분석" 항목만 살펴보시면 됩니다.

이전에 소개한 서비스들에 비해 제공되는 정보의 양도 많고 수준도 높지만, 실제 파일을 분석하여 나온 정보이기 때문에 정확도는 훨씬 높습니다. 다소 수준이 높지만 이런 서비스들을 사용하면서 자신의 PC 보안 수준을 높여보는 것도 좋은 일이라 생각합니다. 


언제 포스팅할지는 모르지만 "악성코드 확인 방법 3 : 보안 업체에 직접 문의하기" 까지 총 3개의 악성코드 확인 방법과 관련된 글을 작성할 예정입니다.  아직 세 번째 글은 작성하지 않았지만 각각의 방법에 대해 비교해보자면 아래와 같습니다.

1. 분석 속도
멀티 엔진 검사 서비스 >> 가상 환경 분석 서비스 > 보안 업체에 직접 문의하기

2. 분석 정확도
보안 업체에 직접 문의하기 ≥ 가상 환경 분석 서비스 >> 멀티 엔진 검사 서비스

3. 요구되는 사용자 수준
가상 환경 분석 서비스 >> 멀티 엔진 검사 서비스 >> 보안업체에 직접 문의하기
(※ 보안 업체에 직접 문의하기는 메일 작성과 보안 업체 페이지 접속만 할 줄 알면 됨)

4. 사용 귀차니즘(?)
보안 업체에 직접 문의하기 ≥ 가상 환경 분석 서비스 > 멀티 엔진 검사 서비스


보안 업체에 직접 문의하는 것이 가장 정확하겠지만 그때그때 상황에 따라서 다양한 서비스들을 이용한다면, 좀 더 효율적으로 악성코드 여부를 확인할 수 있습니다.


- 이상입니다.
반응형