멀웨어 분석 사이트 malwares.com 소개 및 활용방법
크롬 및 IE, Firefox 등의 브라우저에서 악성코드가 삽입된 '위험' 사이트에 접속하게 되면
Warning 메시지를 사용자에게 보여주게 됩니다.
악성코드 등으로 부터 사용자 PC를 보호하기 위한 조치 이며, 제 경험상으로는 IE보다는
크롬이 좀더 예민하고 빠른 대응을 하는것으로 보입니다.
브라우저 자체에서도 Warning 메시지가 발생하는 이유나 해결방법에 대한 간략한 내용이
표시 되지만 본 포스팅에서 소개해드리는 Malwares.com 사이트는 Warning 메시지가 나타
나는 사이트는 물론, 이전에 문제가 있었던 이력을 한눈에 파악할 수 있으며 빈도수만 표시
해 주는 것이 아니라 어떤 URL 에서 언제 무슨 문제가 있었는지 분석내용을 보여 주기 때문
에 비교적 상세한 내용까지 확인이 가능 합니다.
그럼 간단하게 Malwares.com 을 둘러보고 어떻게 활용 할 수 있는지 살펴 보겠습니다.
malwares.com 사용하기
사이트 URL 은 https://www.malwares.com 입니다.
사이트에 접속하면 도메인을 입력하는 창이 나타나고, 여기에 분석을 원하는 도메인을 입력
하면 해당 사이트에서 발생한 이슈내용을 확인 할 수 있습니다.
저는 google.com 에 대해서 확인 해 보았습니다.
기본적인 분석결과는 상단에 종류별로 나타나며, 각각의 정보는 다음과 같습니다.
- Malicious URL History
악의적인 URL 탐지이력을 의미 하며 상세 페이지에는 URL, 탐지엔진, 탐지날짜가 표시
됩니다. 해당 수치가 높고, 탐지날짜가 주기적인 경우 사이트에 문제가 지속되고 있다는
것으로 해석 할 수 있습니다.
- IP Usage History
해당 도메인에서 사용한 IP 이력을 의미 합니다.
최근 이력으로 확인 되는 IP가 있다면 현재 사용하는 서버 IP일 가능성이 높고, 서버 상단
에 네트워크 장비에 의해 VIP를 사용하는 경우 실제 서버 IP를 확인 할 수 없습니다.
- Malicious Sample Download History
악성코드 샘플을 다운로드 한 이력을 의미 하며 해당 악성코드의 Hash값, 탐지된 엔진의
수, 탐지된 URL과 네트워크 정보까지 확인이 가능 하고, Behavior analysis 탭 에서는 자체
적으로 제공하는 Sandbox 에 의한 실행 결과의 Screen Shot 도 확인이 가능 하기 때문에
악성코드의 활동/영향 에 대해서 좀더 간편하게 확인이 가능 합니다.
- Normal Sample History Downloaded From This Hostname
해당 도메인에서 일반샘플 파일을 다운로드 한 이력을 의미 합니다.
일반적인 샘플 다운로드 이기 때문에 분석하는데 큰 의미는 없으나 동일한 파일에 대한
다운로드 이력이 있는경우 변조 날짜를 대조하여 침해시기를 확인하는데 활용 할 수 있을
것으로 보입니다.
- Malicious Sample Communication History
악성코드의 활동 이력을 의미 합니다.
분석 내용을 살펴보면 Hash 값, PE Info, PF Section Info, PE Import, 탐지된 엔진의 수를
확인 할 수 있습니다. PE Import 를 통해 Malicious Sample 파일이 어떠한 행동을 하는지
추측이 가능합니다.
- Normal Sample Communication History
일반 샘플의 활동정보를 의미 합니다.
마찬가지로 파일의 Hash 값, 기본적인 정보, 행동분석 정보 확인이 가능하며 참고 용도로
활용 하면 되겠습니다.
google.com 에 대한 분석결과를 요약해보면 총 Malicious URL 이력 98건,
Sample Down 이력 28건, Malicious Sample 활동이력은 115,543건 확인 되었습니다.
Malicious URL 의 경우 대부분이 Trust Wave 라는 탐지엔진에 의한 Malicious Site 탐지
내용이며 이외 엔진에서 반응하지 않은 정황으로만 볼때에는 위험 수준의 탐지 결과는
아닌 것으로 보입니다.
Sample Down 의 경우 주로 Rising A/V 에서 PE:Malware.RDM 으로 탐지되었고, 해당
파일 의 주 기능은 User Directory 에 File을 생성하는 것이며, Chrome Patch 관련된
것으로 확인 되기 떄문에 위협이 되는 내용은 아닌 것으로 보입니다.
마지막으로 Malicious Sample 활동이력 의 경우 다수의 A/V 엔진에서 탐지 되었고, 주로
Trojan 이나 Toolbar, Packed 관련 내용으로 확인이 되며 URL 정보등은 확인되지 않기
때문에 상세한 내용 확인은 어렵습니다.
이상으로 Malwaers.com 에 대한 기본적인 내용에 대해서 알아보았습니다.
사이트의 이력에 대한 분석을 통해, 주로 어떠한 공격이 발생하는지 확인하여 웹 사이트의
안전한 운영에 참고가 될만한 정보가 많이 있으며, 공부나 업무에 유용한 사이트 입니다.
활용을 통해 운영에 도움이 되었으면 좋겠습니다.
감사합니다.
댓글 없음:
댓글 쓰기