파일 상세 분석
악성 파일로 탐지되지 않은, 의심스러운 PE 파일에 대해 파일 정적 분석 기능을 제공합니다.
파일 정적 분석은 분석할 파일을 직접 드레그하여 업로드 하거나, 위협 관리에서 파일 상세 분석 요청 버튼으로 분석 요청이 가능합니다.
업로드 한 파일은 여러 탐지엔진(IOC, ML, YARA, 유사도지표 및 AI 분석지표)에서 위협 파일 여부를 한번 더 검사하고, 파일 Header 정보가 포함된 다양한 분석 정보를 제공합니다.
분석 > 조사 > 파일 상세 분석 메뉴 내
파일업로드
탭으로 이동합니다.정적 분석을 수행할 PE 파일을 드레그 하여 서버에 업로드 합니다. (파일 업로드 최대 용량 50MB)
업로드 된 파일 목록 확인 후
분석 시작
버튼을 클릭합니다."분석 요청에 성공했습니다" 메시지가 발생하고, 페이지 새로 고침 시 분석중인 파일이 목록에 표시됩니다.
분석이 완료된 목록을 클릭하면 기본정보, 위협 분석, 상세 분석, 문자열 화면이 표시됩니다.
항목
설명
기본정보-파일 정보
파일 이름, 파일 크기, 해당 파일에 YARA 관련 TAG 정보를 표시합니다. (/usr/geni/data/yara 폴더 내 capabilities.yar 파일에 정의된 YARA 규칙 검사). hex데이터는 1000줄 단위로 표시하며, 더보기를 통해 추가로 확인할 수 있습니다.
기본정보-파일 상세정보
플랫폼 정보, 샘플 타입 등 상세정보가 있는 경우 표시합니다.
기본정보-위협 요약
위협 요약 정보가 있는 경우 표시합니다.
기본정보-인증서
인증서 정보가 있는 경우 표시합니다.
기본정보-해시 목록
파일에 대한 해시값(MD5, SHA-1, SHA256, SHA512, SSDEEP, IMAPHASH)을 표시합니다.
기본정보-히스토리
파일 생성일과 분석 요청, 분석 완료 시간을 표시합니다.
기본정보-외부 링크
악성 파일/프로세스, 악성 IP 를 분석하기 위한 외부링크를 표시합니다.
위협 분석-위협 지표
탐지된 위협이 있는 경우 표시합니다.
위협 분석-위협 정보
IOC DB 또는 파일평판조회하여 결과가 있는 경우 위협 정보를 표시합니다.
위협 분석-YARA 검사 결과
정책 >YARA Rule관리 에 등록된 규칙 검사 결과가 있는 경우 표시합니다.
위협 분석-유사도 지표
유사도 지표 분석 결과가 있는 경우 표시합니다.
위협 분석-AI 분석 지표
ML로 탐지되고 AI 분석 결과가 있는 경우 표시합니다.
상세 분석-PE 정보
PE정보를 표시합니다.
상세 분석-PE Header
PE Header 정보를 표시합니다.
상세 분석-전자서명
전자서명이 되어있는 경우 전자서명 정보를 표시합니다.
문자열-관심 문자열
문자열에서 이메일, http, IP 주소 3가지 항목을 검색, 정보가 있는 경우 관심 문자열에 정보를 표시합니다.
문자열-문자열 검색
파일 내부의 string 값을 추출, 문자열 길이에 따라 검색이 가능합니다.
상세 분석 파일을 대상으로 파일의 이동 경로를 확인할 수 있습니다.
파일 상세 분석에서 분석 파일을 업로드하고 파일 분석이 완료되면 연관 파일 히스토리 탭에 해당 파일 이벤트의 SHA256 값을 이용하여, endpoint2 인덱스에 동일한 SHA256에 대한 이벤트 정보를 가지고 있는 사용자 정보 목록 및 파일 이동 경로를 표시합니다.
분석을 위해 업로드한 파일은 분석 > 조사 > 수집관리 메뉴의 파일 목록에서 확인할 수 있습니다.