내가 다운받은 파일이 안전한 파일인지 확인하고 싶을 때 – hybrid-analysis.com
최근 들어서 나한테 계속 누군가가 악성코드 메일을 보내고 있다.
물론 들어오는 대로 바로 삭제하고 하기도 하는데, 이자식들 첨엔 바로 티나더만 가면 갈수록 정교해진다. 특히 몇몇 파일은 다운로드 받아도 포털에서 악성코드 감지가 안 된다.
언제는 악성코드 파일임은 알겠는데, 한 번 내부적으로 어떤 실행을 하는지 궁금해서 친구랑 찾아보기로 했다. 그러던 중 발견한 웹사이트가 이 하리브리드 애널러시스이다.
https://www.hybrid-analysis.com/
이용법은 간단하다. 그냥 파일을 업로드하고 구동환경을 고르고 약관에 동의한 다음 실행을 클릭하면 된다.
그러면 가상머신에서 해당 파일을 직접 실행하고, 그 파일이 무엇을 하는지 구체적으로 보여준다.
얼마전에 이메일로 받은 문서 파일을 한 번 업로드 해보았다.
VirusTotal은 Google 자회사의 웹 서비스로, 특정 파일을 국산 백신 포함 수십개의 백신으로 검사하였을 때 결과가 어떻게 나오는지 보여준다. CLEAN이라고 뜬다면 당연히 모든 백신이 해당 파일을 감염파일이 아니라고 진단한 것이다.
그러나 내가 올린 파일은 백신에서는 무해한 파일이라고 진단했지만 파일 자체에서 실행되는 몇가지 코드들로 인해 이 웹사이트에서는 유해하다고 판단하였다. 사이트 우측 상단위에 malicious라고 뜬다면 유해한 파일일 가능성이 매우 높다.
그럼 어떻게 유해한지 보려면, 아래 Falcon Sandbox Reports를 클릭하여 보면 된다. 현재 스크린샷에는 3가지가 뜨는데, 유해하지 않은 경우도 있었다는 뜻이지만, 한 번이라도 malicious라고 진단된 이상, 열지 않는 것이 좋을 듯 하다.
내가 올렸던 파일의 경우, 해당 파일은 특정 호스트로 PC의 정보를 전송하고 있었고, 파일을 받아서 취약점을 통해 특정 파일을 실행하는 코드가 담겨 있었다. 물론 이 웹사이트는 어디로 어떤 정보를 전송하고 어떤 파일을 받는지 알려준다.