Study/REV

[Malware_#3] 초기 분석 (With. VirusTotal)

90mapt4 2024. 11. 19. 23:15
저번 글에서 알아본 내용을 토대로 VirusTotal을 이용해 초기 분석을 함으로 악성 파일의 정보에 대해 알아보고, VirusTotal의 기능들에 대해서도 알아보자.

 


분석 도구 : VirusTotal
Name Lockheed_Martin_JobOpportunities.docx
Type Microsoft WORD 문서 파일
Behavior Injector
SHA-256 0d01b24f7666f9bccf0f16ea97e41e0bc26f4c49cdfb7a4dabcc0a494b44ec9b
Description Injector With Embeded Malicious Macro

 

위 표는 가장 중요한 정보를 간략히 적어둔 것이기 때문에  Virus Total 사이트 내용을 더 자세히 설명해보자.

 

Virus Total은 악성코드를 분석해주는 웹사이트이다. 처음 들어가면 다음과 같은 화면이 뜨는데,

악성 코드로 의심되는 file, url등을 올리면 악성코드인지 아닌지 판단하고 분석해준다.

 

난 미리 다운로드 받아둔 악성코드를 올렸고 해당 사이트에서 분석이 완료되면, 다음과 같이 결과 화면이 나온다.

1. 파일을 분석한 안티바이러스 엔진 중 악성코드라고 판단한 엔진의 수 38개
2. 파일 식별을 위한 해시값이 ' 0d01b24f7666f9bccf0f16ea97e41e0bc26f4c49cdfb7a4dabcc0a494b44ec9b'
3. 분석한 파일 형식 doc파일
4. 분석한 파일 크기 2.27MB
5. 분석한 날짜

 

또한 다음과같이 그래프로 해당 악성파일의 파일, URL, 도메인 및 IP주소 사이의 관계를 이해할 수 있도록 시각화해준다.

DETAILS 창에서는 파일의 해시값, 종유, 크기, 생성일, 파일이 분석된 시간, 역대 파일의 이름이 변경된 기록등을 보여준다.