본문 바로가기

벌새::Software

AhnLab Next V3 Beta : 파일 분석 보고서

● 해당 글은 안랩(AhnLab)에서 진행하는 "AhnLab Next V3 Beta 이벤트" 참여 목적으로 작성된 글임을 밝힙니다.

 

글로벌 보안 업체 (주)안랩(AhnLab)에서 개발한 MDP(Multi-Dimensional Protection) 엔진이 적용된 AhnLab Next V3 보안 제품의 독특한 기능 중에 "파일, URL 분석 보고서" 기능은 일반 사용자가 보안 업체의 내부 정보를 볼 수 있다는 장점을 제공하고 있습니다.

 

이 글에서는 "AhnLab Next V3 파일 분석 보고서"에서 제공되는 각종 정보를 어떻게 이해하고 활용할 수 있는지에 대해 살펴보도록 하겠습니다.

참고로 해당 보고서는 사용자 PC에서 기본 웹 브라우저로 지정된 웹 브라우저에 정보를 출력하도록 제작되어 있습니다.

 

1. 파일 분석 보고서 접근 방법

 

사용자가 특정 파일에 대한 "파일 분석 보고서"에 접근하기 위해서는 크게 3가지 방식으로 파일에 대한 정보를 확인할 수 있습니다.

 

(1) 진단창을 통한 접근 방법

PC를 사용하던 중 "악성코드 차단 알림"창이 생성된 경우 해당 파일은 자동으로 삭제 처리가 이루어지며, 사용자는 진단된 파일에 대한 세부적인 정보를 확인하기 위하여 "바이러스 이름" 또는 "파일 경로" 영역을 클릭할 경우 "AhnLab Next V3 파일 분석 보고서"를 웹 브라우저를 통해 확인할 수 있습니다.

 

(2) AhnLab Next V3 보안 제품에 표시된 파일을 통한 접근 방법

AhnLab Next V3 보안 제품의 시스템 검사를 통해 진단된 파일과 클라우드 평판, 위협 분석, 도구, 환경 설정에 표시된 파일을 클릭할 경우 "AhnLab Next V3 파일 분석 보고서" 정보를 확인할 수 있습니다.

 

(3) 특정 파일을 선택하여 접근하는 방법

사용자 PC에 존재하는 특정 파일을 선택하여 마우스 우클릭을 통해 "파일 분석 보고서" 메뉴를 클릭할 경우 "AhnLab Next V3 파일 분석 보고서"를 확인할 수 있습니다.

 

2. AhnLab Next V3 파일 분석 보고서

 

(1) 요약

"요약"에서는 사용자가 지정한 파일에 대한 기본 정보(파일명, 파일 경로, 크기, 만든 날짜, 제작자, 설명, 안전도 평가)를 제공합니다.

  • 크기 : 바이트(Bytes) 단위로 표시
  • 안전도 평가 : 안전, 악성, Unknown 표시

파일에 대한 정보는 파일 속성값을 기준으로 표시되며, 해당 파일이 삭제된 경우에는 파일 크기를 "N/A"로 표시합니다.

 

안전도 평가는 ASD 네트워크에서 제공하는 안전, 악성, 미확정 값을 의미하며 "Unknown"은 안전 또는 악성으로 최종적으로 판명되지 않은 미확정 상태를 의미합니다.

 

(2) 기본 정보

"기본 정보" 항목에서는 파일명, 파일 경로, 크기, 만든 날짜, 수정한 날짜, 액세스한 날짜, 최초 생성된 날짜, 최초 실행된 날짜, MD5 값을 제공합니다.

  • 만든 날짜, 수정한 날짜, 액세스한 날짜 : 해당 정보는 파일 속성값 기준
  • 최초 생성된 날짜 : 사용자 PC에 파일이 생성된 날짜 기준
  • 최초 실행된 날짜 : 사용자 PC에서 실행된 날짜 기준(※ 실행 파일이 아닌 경우, 실행된 적이 없을 경우에는 표시되지 않습니다.)
  • MD5 : 파일 고유의 Hash 값

(3) 버전 정보

"버전 정보"는 파일 내부에 기록된 코멘트, 제작사, 설명, 파일 버전, 내부 이름, 저작권, Legal Trademarks, 원본 파일 이름, 제품 이름, 제품 버전, Private Build, Special Build, 언어, Codepage 정보를 제공합니다.(※ 파일에서 정보를 제공하지 않는 경우에는 표시되지 않습니다.)

 

(4) 디지털 서명

"디지털 서명"은 파일에 포함된 디지털 서명이 존재할 경우 표시되며, 서명자 이름, 연대 서명자 이름, 서명 시간이 모두 정상적으로 표시된 경우에만 "인증서가 정상입니다."라고 표시됩니다.

만약 서명 시간이 없는 디지털 서명의 경우 "Invalid Date Time"으로 표시되며, 정상 여부에는 아무런 정보가 표시되지 않습니다.

 

참고로 디지털 서명은 원본 파일의 변조 여부를 판단하는 기준이며, 디지털 서명이 정상이라고 정상 파일을 보증하는 것은 아닙니다.

 

(5) MS Catalog

"MS Catalog" 항목은 선택한 파일이 Windows 시스템 파일과 같은 마이크로소프트(Microsoft) 인증 파일인 경우 "인증"으로 표시되어 정상 여부를 판단할 수 있습니다.

 

(6) 의심 행위 이력

"의심 행위 이력" 항목에서는 해당 파일이 사용자 PC에서 이루어진 동작 중 "클라우드 평판 → 탐지할 의심 행위" 값(총 86가지 의심 행위)에 일치되는 행위를 기록합니다.

 

(7) Dropper 정보

"Dropper 정보" 항목은 사용자가 확인하는 파일을 생성한 파일 정보를 확인할 수 있으며, 예를 들어 Internet Explorer 웹 브라우저를 통해 파일을 다운로드한 경우에는 iexplorer.exe 파일을 드랍퍼(Dropper)로 표시합니다.

 

반대로 사용자 PC에 존재하는 특정 프로그램(파일)을 통해 다운로드 또는 파일 생성이 이루어진 경우에는 파일명에 해당 파일명이 표시되며, 사용자가 파일명을 클릭할 경우 새로운 "AhnLab Next V3 파일 분석 보고서"를 통해 Dropper 파일에 대한 정보를 자세하게 확인할 수 있습니다.

"Dropper 정보"에서 표시되는 "사용자 평판" 정보는 AhnLab Next V3 보안 제품을 사용하는 과정에서 "클라우드 평판 알림"창이 생성되는 파일을 사용자가 차단 또는 허용하여 "신뢰 및 차단 정책에 추가"한 경우 표시됩니다.("사용자 평판"은 모든 AhnLab Next V3 보안 제품 사용자의 차단 / 허용 비율을 표시합니다.)

 

그러므로 Dropper 정보에 표시된 "사용자 평판" 정보를 참고하여 엄지 손가락이 올라간 수보다 내려간 수가 높을 경우에는 해당 파일의 안정성에 문제가 있다는 것을 의미할 수 있습니다.

 

(8) 다운로드 URL

"다운로드 URL" 항목에서는 사용자가 확인하는 파일이 어떤 외부 서버로부터 다운로드가 이루어졌는지 표시되며, 해당 주소(URL)에 접속한 사용자 수(※ 특정 파일 사용자 수가 아닙니다.), 해당 주소(URL) 최초 발견일(※ 특정 파일의 최초 발견일이 아닙니다.), 사용자 평판 정보를 제공하고 있습니다.

 

만약 파일 다운로드를 통해 생성된 파일이 아닌 경우에는 "다운로드 URL" 정보는 표시되지 않습니다.

 

(9) 클라우드 기본 정보

"클라우드 기본 정보"에서는 파일의 유포처 정보, 파일 사용자 수, 최초로 발견된 국가(※ 한국 : KR), 최초로 발견된 날짜, 사용자 평판 정보를 제공합니다.

최초 파일의 발견 정보는 사용자 PC에서 생성되는 파일이 "클라우드 자동 분석" 기능을 통해 수집되어 AhnLab Smart Defense Center로 전송한 시점을 의미하며, 사용자 PC에서 해당 자동 분석 풍선창이 뜬다는 의미는 AhnLab V3 제품군을 사용하는 사용자 중 최초로 파일을 확보했다는 의미입니다.

 

(10) 클라우드에서 발생한 의심 행위

앞서 설명한 "의심 행위 이력"이 사용자 PC에서 발생한 의심 행위로 한정된 반면 "클라우드에서 발생한 의심 행위" 항목은 AhnLab Smart Defense Center에 수집된 해당 파일의 다양한 의심 행위 정보를 모두 표시하고 있습니다.

 

이를 통해 사용자는 다운로드한 파일을 직접 실행하지 않아도 해당 파일이 다른 PC에서 동작한 의심 행위를 확인하여 사전에 차단할 수 있는 정보를 제공합니다.

 

(11) 주요 행위

  • 붉은색 : Blacklist (악성)
  • 파란색 : Whitelist (정상)
  • 회색 : Unknown (미확정)

"주요 행위"는 해당 파일이 실제 사용자 PC에서 동작한 부분을 시간순으로 표시하여 파일 생성, 모듈 로드, 프로세스 생성, 네트워크 연결, 파일 다운로드, 파일 삭제 등의 정보를 한 눈에 알 수 있도록 제공하고 있습니다.

 

특히 각 파일마다 색깔로 악성 여부를 구분하고 있으며, 표에 기록된 각 파일명을 클릭할 경우 새로운 파일 보고서 창을 생성하여 선택한 파일에 대한 정보를 확인할 수 있습니다.

 

이를 통해 사용자 PC에서 특정 파일 실행으로 인해 어떤 악성 파일이 생성, 변경, 삭제, 외부 연결이 되었는지 파악하여 숨어 있는 악성 파일을 찾을 수 있으며, 사용자의 능력에 따라서는 악성 파일의 감염 경로를 역추적할 수도 있으리라 믿습니다.

참고로 "주요 행위"에 표시된 정보는 AhnLab Next V3 보안 제품의 "위협 분석 → 프로그램 활동 내역"에 기록된 정보를 기반으로 표시되며, 보고서에서는 연관되는 부분을 자동으로 분류하여 표시해 줍니다.

 

(12) 진단 정보

"진단 정보"는 사용자가 확인하려는 파일을 실제 AhnLab Next V3 보안 제품이 검사를 통해 진단한 경우에만 표시되며, 실제 진단할 수 있음에도 불구하고 검사를 하지 않은 경우에는 표시되지 않습니다.

 

(13) VirusTotal

"VirusTotal" 항목에서는 사용자가 확인하려는 파일이 바이러스토탈(VirusTotal) 서비스에 등록된 경우에만 표시되며, 이를 통해 실제 VirusTotal 서비스에 업로드를 하지 않은 상태에서 기존에 검사된 파일인 경우에는 빠르게 진단 여부를 확인할 수 있습니다.(※ 진단 내역 중 AhnLab-V3 진단명은 굵은색으로 강조되어 있습니다.)

 

만약 파일 보고서에서 VirusTotal 정보가 표시되지 않는 상태에서 바이러스토탈(VirusTotal) 웹 사이트에 접속하여 파일 업로드를 통한 검사를 한 이후 보고서를 재확인할 경우 변경된 정보를 확인할 수 있습니다.

 

"AhnLab Next V3 파일 분석 보고서"는 사용자가 확인을 원하는 특정 파일을 선택하여 빠른 시간 내에 파일의 기본 정보와 클라우드 정보를 통해 수집된 행위 및 진단 정보를 확인할 수 있는 매우 유용한 기능이므로 의심스러운 파일에 대해서는 적극적으로 분석 보고서 기능을 이용하시기 바랍니다.

 

단, AhnLab Next V3 보안 제품의 "클라우드 자동 분석" 기능은 특정 용량 이상의 파일에 대해서는 수집을 하지 않기 때문에 대용량 파일의 경우 일부 정보는 제공되지 않습니다.

 

다음 시간에는 AhnLab Next V3 화면 구성 중 "네트워크 방역" 기능과 "ASD URL 분석 보고서" 기능을 살펴보도록 하겠습니다.