분석 보고서에는 클라우드로의 파일 제출에 대한 자세한 결과가 포함되어 있습니다. 개요 탭에는 파일 분석에 대한 개괄적인 요약이 표시됩니다. 보고서 탭에는 파일에서 수행된 분석에 대한 주요 정보가 표시됩니다.
개요 탭
개요 정보는 다음 섹션으로 구성됩니다.
- 분석 개요
-
이 섹션에서는 파일 분석 결과에 대한 요약을 제공합니다. 다음 데이터가 표시됩니다.
- MD5 해시
- SHA1 해시
- SHA256 해시
- MIME 유형
- 제출 타임 스탬프
- 위협 수준
-
이 섹션은 먼저 분석 결과를 요약해서 설명합니다.
예: 파일 md5_hash는 악성으로 확인되었습니다.
요약 후 다음 데이터가 표시됩니다.
- 위험 평가
-
- 악성 점수: 100점 만점의 점수입니다.
- 위험 예측: 아티팩트에 의해 부과되는 위험 예측값입니다.
- 높음: 아티팩트는 심각한 위험을 나타내며 우선 순위에 따라 해결해야 합니다. 이러한 대상은 일반적으로 감염된 시스템의 주요 손상을 초래하는 익스플로잇이 포함된 문서 또는 다운로드 파일입니다. 정보 유출부터 시스템 정보 유출에 이르기까지 여러 가지 위험이 있습니다. 이러한 위험은 어느 정도는 감지된 활동 유형에서 유추됩니다. 이 범주의 점수 임계값은 일반적으로 70 이상입니다.
- 중간: 아티팩트는 장기적 위험을 나타내며 면밀히 모니터링해야 합니다. 이러한 대상은 의심스러운 컨텐츠가 포함된 웹 페이지일 수 있으며, 이로 인해 의도하지 않은 시도가 발생할 수 있습니다. 즉각적인 심각한 위협을 야기하지는 않지만 시스템 작동에 문제를 일으킬 수 있는 하드웨어 또는 바이러스 백신 제품일 수도 있습니다. 이 범주의 점수 임계값은 일반적으로 30~69입니다.
- 낮음: 아티팩트는 무해하며 무시해도 됩니다. 이 위험의 예상 점수 임계값은 일반적으로 30 미만입니다.
- 바이러스 백신 클래스: 아티팩트가 속하는 바이러스 백신 또는 맬웨어 클래스입니다. 예를 들어, 스파이웨어, 웜, 애드웨어, 랜섬웨어, 스파이웨어 등이 있습니다.
- 바이러스 백신 제품군: 아티팩트에서 속하는 바이러스 백신 또는 맬웨어 제품군입니다. 예를 들어, valyria, darkside 등이 있습니다.
- 분석 개요
-
데이터는 심각도를 기준으로 정렬되며 다음 필드를 포함합니다.
- 심각도: 아티팩트를 분석하는 동안 감지된 활동의 악성 정도가 0~100 점수입니다. 추가 아이콘은 분석 중에 해당 활동이 관찰된 운영 체제를 나타냅니다.
- 유형: 아티팩트를 분석하는 동안 감지된 활동의 유형입니다. 여기에는 다음이 포함됩니다.
- 자동 시작: 시스템 종료 후 다시 시작할 수 있습니다.
- 사용 안 함: 시스템의 중요 구성 요소를 비활성화할 수 있습니다.
- 회피: 분석 환경을 회피할 수 있습니다.
- 파일: 파일 시스템에 대한 의심스러운 활동입니다.
- 메모리: 시스템 메모리 내의 의심스러운 활동입니다.
- 네트워크: 네트워크 수준에서의 의심스러운 활동입니다.
- 신뢰도: 알려진 소스 또는 신뢰할 수 있는 조직에서 서명한 소스입니다.
- 설정: 중요한 시스템 설정을 영구적으로 변경할 수 있습니다.
- 서명: 악의적인 주체 ID입니다.
- 도용: 중요한 정보를 액세스하고 잠재적으로 누출할 수 있습니다.
- 은폐: 사용자 또는 분석 시스템이 알아채지 못하는 상태를 유지할 수 있습니다.
- 무시됨: 무해한 대상 ID입니다.
- 설명: 아티팩트를 분석하는 동안 감지된 각 활동 유형에 해당하는 설명입니다.
- ATT&CK TACTICS: MITRE ATT&CK 단계 또는 공격의 단계입니다. 여러 전술은 쉼표로 구분됩니다.
- ATT&CK TECHNIQUES: 악의적인 행위자가 사용할 수 있는 확인된 작업 또는 도구입니다. 여러 기술은 쉼표로 구분됩니다.
- 추가 아티팩트
-
이 섹션에는 제출된 샘플을 분석하는 동안 발견되었으며 심층 분석을 위해 차례로 제출된 추가 아티팩트(파일 및 URL)가 나열됩니다. 이 섹션에는 다음 필드가 포함되어 있습니다.
- 설명: 추가 아티팩트를 설명합니다.
- SHA1: 추가 아티팩트의 SHA1 해시입니다.
- 컨텐츠 유형: 추가 아티팩트의 MIME 유형입니다.
- 점수: 추가 아티팩트 의 악성 점수입니다.
- 디코딩된 명령줄 인수
- 분석 중에 PowerShell 스크립트가 실행된 경우 시스템은 이러한 스크립트를 디코딩하여 사람이 좀 더 쉽게 읽을 수 있는 형태로 인수를 만듭니다.
- 타사 도구
- VirusTotal 포털의 아티팩트에 대한 보고서 링크입니다.
[보고서] 탭
보고서 탭에서 아래쪽 화살표를 클릭하고 보려는 보고서를 선택합니다. 보고서의 정보는 분석된 파일 유형에 따라 다릅니다.
- 분석 정보
-
이 섹션에는 현재 보고서에서 참조하는 분석에 대한 다음과 같은 주요 정보가 포함되어 있습니다.
- 분석 대상: 파일의 MD5 해시입니다.
- 분석 유형: 수행된 분석 유형:
- Microsoft Windows 10에 대한 동적 분석: 분석 대상은 VMware NSX® Network Detection and Response™ 샌드박스를 사용하여 가상 Windows 10 환경에서 실행되었습니다. 시스템은 파일 동작 및 운영 체제와의 상호 작용을 모니터링하여 의심되거나 악의적인 지표를 찾습니다.
- Microsoft Windows 7에 대한 동적 분석: 분석 대상은 샌드박스를 사용하여 가상 Windows 7 환경에서 실행되었습니다. 시스템은 파일 동작 및 운영 체제와의 상호 작용을 모니터링하여 의심되거나 악의적인 지표를 찾습니다.
- 계측형 Chrome 브라우저의 동적 분석: 분석 대상(예: HTML 파일 또는 URL)이 Google Chrome을 기준으로 하는 계측형 브라우저를 사용하여 검사되었습니다. 계측형 브라우저는 실제 브라우저의 동작을 충실히 재현하므로 악의적인 컨텐츠가 쉽게 지문 설정됩니다.
- 에뮬레이트형 브라우저의 동적 분석: 분석 대상(예: HTML 파일 또는 URL)이 에뮬레이트형 브라우저를 사용하여 검사되었습니다. 에뮬레이트형 브라우저는 다른 브라우저 "개인 설정"을 동적으로 에뮬레이트할 수 있습니다(예: user-agent를 변경하거나 노출하는 API를 다르게 변경). 이 기능은 특정 브라우저 유형 또는 버전을 대상으로 하는 악의적인 컨텐츠를 분석할 때 유용합니다. 이 분석 유형의 단점은 이 브라우저는 덜 실질적이므로 악의적인 컨텐츠가 지문 설정될 수 있다는 것입니다.
- 시뮬레이트된 파일 뷰어의 동적 분석: 시뮬레이트된 파일 뷰어를 사용하여 분석 대상(예: PDF 파일)을 검사했습니다. 뷰어는 포함된 컨텐츠 및 링크를 감지할 수 있습니다.
- 아카이브 인플레이션: 분석 대상(아카이브)이 인플레이션되었고 해당 컨텐츠가 추출되었으며, 적절한 유형인 경우 분석을 위해 제출되었습니다.
- 암호 사용: 사용 가능한 경우 샘플을 성공적으로 암호 해독하기 위해 백엔드에서 사용된 암호가 제공됩니다.