Skip to content
문서 목록

악성코드 분석 랩 가이드

악성코드 분석 랩 가이드#

unJaena AI의 악성코드 분석 랩은 의심스러운 파일을 자동으로 분석하여 위협 수준을 평가합니다. YARA 룰 스캔, CAPA 행위 분석, Ghidra 정적 분석을 통합하여 종합적인 악성코드 분석을 제공합니다.

샘플 업로드#

업로드 방법#

  1. 악성코드 분석 랩 페이지로 이동합니다.
  2. 샘플 업로드 버튼을 클릭합니다.
  3. 분석할 파일을 선택하거나 드래그 앤 드롭합니다.
  4. 업로드가 완료되면 자동으로 분석 파이프라인이 시작됩니다.

지원 파일 형식#

  • 실행 파일: PE (.exe, .dll), ELF, Mach-O
  • .NET 어셈블리: .dll, .exe (.NET)
  • 스크립트: PowerShell (.ps1), Python (.py), JavaScript (.js)
  • 문서: Office 매크로 포함 문서
  • 압축 파일: ZIP, RAR, 7z (자동 해제 후 분석)

안전 수칙#

  • 모든 샘플은 격리된 환경에서 처리됩니다.
  • 분석 완료 후 설정된 보관 기간이 지나면 자동 삭제됩니다.
  • 민감한 파일의 경우 업로드 전 해시값을 확인하세요.

YARA 스캔 결과#

YARA 스캔은 업로드된 파일을 160개 이상의 탐지 룰과 대조하여 악성코드 패턴을 식별합니다.

결과 해석#

스캔 결과에는 다음 정보가 포함됩니다:

매칭된 룰 목록:

  • 룰 이름: 탐지에 사용된 YARA 룰의 이름
  • 심각도: Critical / High / Medium / Low
  • 카테고리: RAT, Stealer, Ransomware, Trojan, Backdoor 등
  • 매칭 패턴: 파일에서 발견된 구체적 패턴

심각도 분류 기준:

심각도설명예시
Critical즉각 대응 필요한 악성코드랜섬웨어, APT 관련 도구
High명확한 악성 행위 패턴RAT, 정보 탈취형 악성코드
Medium의심스러운 특징 포함패커 사용, 난독화된 코드
Low잠재적 위험 요소의심스러운 문자열, API 호출

커뮤니티 룰셋#

YARA-Rules, Signature-Base, Malpedia 등 검증된 커뮤니티 룰셋이 포함되어 있어 최신 위협을 탐지할 수 있습니다.

CAPA 분석 결과#

CAPA는 바이너리 파일의 행위 기반 분석을 수행합니다. 파일이 어떤 기능을 가지고 있는지를 행위 관점에서 식별합니다.

분석 결과 구성#

탐지된 기능 (Capabilities): CAPA는 바이너리에서 다음과 같은 기능을 자동으로 식별합니다:

  • 파일 조작: 파일 읽기/쓰기/삭제/암호화
  • 네트워크 통신: HTTP 요청, 소켓 연결, DNS 조회
  • 프로세스 조작: 프로세스 생성, 코드 인젝션, 권한 상승
  • 레지스트리 조작: 레지스트리 키 생성/수정/삭제
  • 정보 수집: 시스템 정보, 브라우저 데이터, 자격 증명 접근
  • 방어 회피: 안티디버깅, 안티VM, 코드 난독화
  • 지속성: 자동 실행 등록, 서비스 생성, 예약 작업

MITRE ATT&CK 매핑: 각 탐지된 기능은 MITRE ATT&CK 프레임워크의 해당 기법에 자동으로 매핑됩니다. 이를 통해 악성코드의 전술과 기법을 체계적으로 파악할 수 있습니다.

지원 파일 형식#

  • PE (32-bit, 64-bit)
  • ELF
  • Mach-O
  • .NET 어셈블리
  • 셸코드

정적 분석 (Ghidra)#

Ghidra는 NSA가 개발한 오픈소스 소프트웨어 리버스 엔지니어링 프레임워크입니다. unJaena 플랫폼에서는 Ghidra의 헤드리스 모드를 활용하여 자동화된 정적 분석을 수행합니다.

분석 내용#

바이너리 구조 분석:

  • 섹션 정보: 코드, 데이터, 리소스 섹션의 크기와 엔트로피
  • 임포트 테이블: 사용되는 라이브러리와 API 함수 목록
  • 익스포트 테이블: 외부에 노출된 함수
  • 문자열 분석: 바이너리에 포함된 의미 있는 문자열 추출

코드 흐름 분석:

  • 주요 함수 식별: 핵심 로직이 포함된 함수 탐지
  • 의심스러운 API 호출: VirtualAlloc, WriteProcessMemory, CreateRemoteThread 등
  • 제어 흐름 그래프: 프로그램의 논리적 실행 흐름

엔트로피 분석#

높은 엔트로피 값은 데이터가 압축되거나 암호화되었음을 나타낼 수 있습니다:

  • 0-3: 구조화된 데이터 (코드, 텍스트)
  • 3-6: 일반적인 바이너리 데이터
  • 6-7.5: 압축되거나 패킹된 데이터
  • 7.5+: 높은 무작위성 (암호화된 데이터 가능성)

분석 리포트#

모든 분석이 완료되면 종합 분석 리포트가 생성됩니다.

리포트 구성#

  1. 요약

    • 최종 판정: 악성 / 의심스러움 / 정상
    • 전체 위험도 점수 (0-100)
    • 주요 위협 유형 분류

  2. YARA 스캔 결과

    • 매칭된 룰 목록 및 상세 정보
    • 탐지된 악성코드 패밀리

  3. CAPA 행위 분석

    • 탐지된 기능 목록
    • MITRE ATT&CK 매핑 결과

  4. 정적 분석 결과

    • 바이너리 구조 요약
    • 의심스러운 API 호출 목록
    • 문자열 분석 결과

  5. AI 종합 판단

    • 컨텍스트 기반 위험 평가
    • 관련 위협 인텔리전스
    • 권장 대응 조치

리포트 활용#

  • PDF 내보내기: 전문 보고서 형식으로 PDF 다운로드 가능
  • 공유: 팀원에게 분석 결과 공유 가능
  • IOC 추출: 탐지된 IOC (Indicators of Compromise) 목록 추출