본인이 방문하는 사이트나 IP가 악성 프로그램 배포 사이트로 의심되거나 다운로드한 파일이 믿을만한 프로그램인지 확인해 보고 싶은 경우가 있다. 이럴 경우 무료로 위와같은 내용을 조회해 볼 수 있는 사이틀을 소개한다.
virustotal.com
실무자들이 가장 많이 사용하는 사이트로 생각된다. 구글에서 운영을 하고 있으며 대부분의 백신 엔진에서 분석한 결과를 사용자에게 알려준다. IP / URL / 파일을 대상으로 악성여부를 판별 할 수 있다. 파일의 경우에는 직접 업로드를 해도 되지만 해시값으로 조회해 볼수도 있다.
현재 v2 와 v3를 나누어서 API를 사용해 정보를 제공받는 기능도 지원하고 있다. 매뉴얼 상의 지원 내용을 보면 Public 라이선스의 경우에는 분당 4회의 제한이 걸려있다. v3의 경우 현재 베타버전이라 그런지는 몰라도 분당 4회의 제한 이외에도 하루 1,000개만 조회 가능한 것으로 설명하고 있는데 코드로 만들어 봤을때는 따로 차단하거나 하는것 같지는 않았다. 제한을 풀거나 더 많은 기능을 사용하기 위해서는 일정 비용을 지불하고 Premium 라이선스를 구매하여 사용해야 한다. 바이러스토탈의 경우 파일 검사를 하면 협약이 맺어진 백신개발, 보안업체들에 내용들이 모두 공유 되므로 대외비 자료등은 유의하도록 한다.
malwares.com
한국형 바이러스토탈이라고 생각하면 된다. 실제로 해당 서비스를 제공하는 업체는 바이러스토탈의 국내 총판을 하기도 했다. 조회 내용은 바이러스토탈과 거의 비슷하게 제공하고 있다. API도 상당히 유사한 형태로 제공하고 있는데 Public 라이선스를 사용하게 된다면 하루에 100건밖에 조회를 할 수 없다. 역시 쿼리제한해제나 추가 기능을 제공받기 위해서는 별도 협약을 통해 Private 라이선스를 발급받아 사용해야 한다. malwares.com 의 경우 기업에서 분석을 요청하는 파일은 별도로 보관하거나 타 업체로 제공하지 않는다고 한다. 한국업체다 보니 연락이나 협의를 할 때 편하다는 점도 장점으로 볼 수 있다.
seculab.somansa.com
비업무/유해사이트 솔루션인 webkeeper와 privacy-i 등 DLP 제조/공급사인 소만사에서 제공하는 서비스이다. 예전에 유사한 서비스를 제공하던 webkeeper.so 사이트를 업그레이드한 버전으로 생각하면 된다. 똑같이 IP / URL / File 분석을 지원하고 있지만 API는 따로 제공하고 있지 않다. 비업무 사이트 차단 솔루션 제조사답게 조회시 사이트 분류(P2P / 도박 / 스포츠 등)를 같이 확인 할 수 있다. 자체 분석을 통해 악성, 유해 정보를 관리하고 있는 것으로 보인다.
위에 말한 세가지 사이트를 상황에 맞게 잘 사용하면 유의미한 정보를 얻을 수 있지 않을까 생각이 든다. 사용방법은 일반 검색엔진과 비슷하니 자세한 내용들은 아래 링크를 통해 각 사이트로 접속해 보면 알 수 있다.
VirusTotal
www.virustotal.com
malwares.com
www.malwares.com:443
SecuLab
파일업로드 파일업로드
seculab.somansa.com
'Work & Study > Security' 카테고리의 다른 글
| nmap의 대표적인 스캔 방법과 옵션 설명 (2) | 2023.04.06 |
|---|---|
| 금융회사의 상시 재택근무를 위한 망분리 규제 개선 (0) | 2020.09.18 |
| Sysmon - Windows Sysinternals : 시스템 모니터링 도구 (0) | 2020.06.02 |
| 쇼단(shodan) 검색 기본 방법 (0) | 2020.05.21 |
| 쇼단(shodan) 검색엔진을 이용한 보안점검 또는 모의해킹(Pen Test) (0) | 2020.05.19 |
