anyrun샌드박스는 악성코드를 직접 실행하고 행위들을 보고서로 생성합니다. 많은 행위를 관찰하고 싶으면 월정액을 결제해야 하지만 무료 기능으로도 많은 정보를 볼 수 있습니다.
1. 다른 사람이 실행한 악성코드 분석보고서 목록 보기
메인 페이지 왼쪽 상단에 있는 Public tasks를 클릭하면 다른 사람이 anyrun샌드박스에서 실행한 결과를 볼 수 있습니다.
다른 사람의 실행결과는 보고서 생성 날짜를 기준으로 표로 정렬되어 있습니다. 표의 제일 왼쪽에는 보고서 생성 날짜와 실행한 운영체제의 버전이 표시됩니다. 무료계정은 윈도우 7 32bit만 사용가능합니다.
다음 열에는 anyrun샌드박스가 의심스러운 행위를 발견하면 빨간색 박스로 표시합니다. 무조건 빨간색 박스가 있다고 해서 악성코드라고 의심하면 안됩니다. 정상코드도 충분히 악성행위와 비슷한 행위를 할 수 있습니다. 반대로 빨간색 박스가 없다고 해서 악성코드가 아니라고 의심하면 안됩니다. anyrun샌드박스가 분석 못한 행위가 있을 수 있기 때문입니다.
분석 보고서를 보고 싶은 행을 클릭하면 분석 보고서 메인페이지로 이동합니다.
2. 분석 보고서 사용 설명서
2.1 실행화면탭
분석 보고서 페이지의 왼쪽 상단은 실행화면 탭입니다. anyrun샌드박스는 사용자가 제출한 파일을 직접 실행한 과정을 녹화하고 실행화면 탭에서 동영상으로 보여줍니다.
2.2 네트워크/파일/디버그탭
분석 보고서 페이지의 왼쪽 하단은 네트워크/파일/디버그탭입니다. anyrun샌드박스가 실행 중인 동안 네트워크 활동, 파일 생성,삭제를 종합해서 보여주는 곳입니다.
* 파일탭에서 원하는 파일을 다운로드 받을 수 있습니다.
2.3 요약탭
요약탭에서는 anyrun샌드박스 환경(예:윈도우 32비트)와 실행한 파일 또는 URL을 표시합니다. 그리고 분석한 악성행위에 대해 태깅과 아이콘을 출력합니다.
2.4 프로세스탭
프로세스탭은 anyrun샌드박스 실행 중에 실행 된 프로세스를 목록화 시켜 보여줍니다. Process Graph[그림 10]로 분석하는 편이 전체적인 프로세스 흐름과 관계도를 분석하는데 더 편합니다.
2.5 샘플 다운로드와 상세분석 보고서페이지 이동탭
이 탭에서는 무료회원 가입 후 샘플을 다운로드 받을 수 있습니다. 그리고 파일, 프로세스 등 상세 분석 보고서페이지로 이동하는 버튼들이 있습니다.
2.5.1 Text Report
Text Report페이지는 anyrun샌드박스가 분석한 모든 내용을 글로 설명합니다. 오른쪽 상단에는 메뉴로 이동하는 네비게이터가 있습니다.
2.5.2 IOC
IOC페이지는 실행 중에 생성,삭제된 파일에 대한 해시와 연결된 네트워크 주소를 종합해서 출력합니다. 시그니처 분석을 할 때 유용합니다.
2.5.3 Process Graph
Process Grpah는 anyrun샌드박스 실행 중에 실행된 프로세스를 시각화하여 보여줍니다. 빨간색으로 표시된 프로세는 anyrun샌드박스가 악성행위를 했다고 판단한 프로세스입니다. 각 프로세스를 클릭하면 어떤 행위를 했는지 메세지를 출력합니다.
'전공영역 공부 기록' 카테고리의 다른 글
| 자바(jnlp, jar) 악성코드 분석[출처] 자바(jnlp, jar) 악성코드 분석 (0) | 2020.08.02 |
|---|---|
| NirSoft 도구를 악용하는 호크아이 악성코드 분석 (2) | 2020.07.30 |
| [악성코드 분석 입문] 샌드박스란? (0) | 2020.07.26 |
| 64비트 쉘코드를 실행하는 한글문서 악성코드 (0) | 2020.07.25 |
| 한글문서 악성코드 분석 - 포스트스크립트 유형 (0) | 2020.07.21 |