▶ 보안 관련 정보 및 팁

코모도의 가상 환경 분석 서비스 - Comodo Instant Malware Analysis

물여우 2011. 9. 14. 08:14
반응형
가상 환경에서 파일을 분석하여 악성 여부를 판단하게 해주는 CIMA (comodo instant malware analysis)를 소개합니다.



영국에 기반을 둔 보안 업체인 코모도에서 제공하는 가상 환경 분석 시스템을 살펴보겠습니다. 과거에 이미 온라인 가상 환경 분석 검사 서비스들을 살펴봤으므로, 가상 환경 분석에 대한 내용은 위 링크의 글을 참고 바랍니다.

코모도의 가상 환경 분석 시스템은 COMODO Instant Malware Analysis(CIMA)이 정식 명칭이고 보통 CAMAS(프로젝트 이름인 듯?)라고 불립니다. CAMAS는 아래 링크로 접속할 수 있습니다.
 
▶ 코모도 홈페이지 : www.comodo.com
▶ CAMAS 링크 : http://camas.comodo.com

위 링크에 접속하면 아래와 같이 업로드 화면이 나타납니다.



업로드 파일 용량에 대한 정확한 정보는 없습니다. 제가 올려본 봐로는 최소 30MB 이상 되는 용량의 파일도 업로드가 되었습니다. 기존에 소개한 다른 서비스들에 비하면 화끈한 수준의 업로드 용량입니다.

아래는 업로드된 파일의 분석 정보입니다. 클릭하면 원본 크기로 볼 수 있습니다. 다른 분석 서비스와 비슷한 정보를 제공하고 있습니다.

 


저를 포함해서 대부분의 사용자가 모든 분석 결과를 알 정도의 지식은 없다고 봅니다. 가장 중요한 것은 분석 결과 중 판정 항목과 요약 설명 항목입니다.

판정(위험도 수준), 분석 요약 정보


대부분의 악성코드의 경우 Suspicious 단계에서 +나 ++를 받습니다. 이와 함께 자체 파일 삭제, 코드 인젝션 등 악성코드의 주된 활동이 나타나면 악성코드로 볼 수 있습니다.

하지만 일부 악성코드의 경우 위험성 없음으로 판정이 잘못날수도 있고, 악성코드와 유사한 행동을 하는 정상 프로그램도 존재합니다. 따라서 분석 정보를 주의깊게 살펴보면서 다른 진단 정보 등을 취합하여 위험성 여부를 판단하는 것이 좋습니다.

아래는 코모도의 안티바이러스에서는 진단 중이나 CAMAS에서는 위험성 정보가 없다고 나타난 샘플의 경우입니다. 분석 정보를 보면 분명 악성코드지만 자체 판정으로는 악성코드가 없다고 나타난 것을 알 수 있습니다.


위 샘플의 CAMAS 링크, 바토 링크




CAMAS는 CWSandbox나 Threatexpert보다 약간 빠르게 분석이 되고, 깔금한 결과 정보 화면이 장점이라고 생각합니다.  

단점으로는 압축 파일 해제 등과 같은 세부적인 설정은 다른 서비스에 비해 아직 적용되지 않고 있다는 점입니다. 기본적으로 너무 간단하다는 것이 장점이자 단점이 될 듯 합니다.

나중에 소개하겠지만 클라우드를 이용한 코모도의 또 다른 분석 기능인 FVS(Valkyrie)도 있습니다. 코모도 안티바이러스에 포함된 FLS에 통합되어진 기능이라고 하는데 이 서비스도 꽤나 재밌습니다.

그나저나 ssl 등을 다루는 파트가 장사가 잘되는지 설치형 프로그램 뿐만 아니라 웹 서비스를 통한 다양한 서비스까지도 무료로 제공을 하고 있다는 점이 대단해보입니다.


- 이상입니다.
반응형