Skip to content
문서 목록

Malware Lab 가이드

Malware Lab 가이드#

unJaena AI의 Malware Lab은 의심스러운 파일을 자동으로 분석하여 위협 수준을 평가합니다. 19종의 분석 트랙, 8개 분석 엔진(YARA · CAPA · Ghidra · Speakeasy · Qiling · MobSF · olevba · dnfile), MITRE ATT&CK 14단계 자동 매핑을 통해 평균 90초 내에 종합 리포트를 제공합니다.

샘플 업로드#

업로드 방법#

  1. Malware Lab 페이지로 이동합니다.
  2. 샘플 업로드 버튼을 클릭합니다.
  3. 분석할 파일을 선택하거나 드래그 앤 드롭합니다.
  4. 업로드가 완료되면 자동으로 분석 파이프라인이 시작됩니다.

지원 파일 형식 (19종 분석 트랙)#

카테고리형식
Windows 실행 파일PE (.exe, .dll), .NET 어셈블리
Linux/macOS 실행 파일ELF, Mach-O
Android/iOSAPK, IPA
Office 문서DOCX, XLSX
한국 문서HWP, HWPX
기타 문서PDF, OneNote
스크립트JavaScript, PowerShell, VBS·HTA
이메일EML, MSG
인스톨러MSI, MSIX, APPX
바로가기 / 패키지LNK, JAR
기타WebAssembly, 브라우저 확장(CRX·XPI), shellcode

압축 파일(ZIP/RAR/7z)은 자동으로 해제 후 분석됩니다. HWP/HWPX는 한국어 차별화 포맷으로, 글로벌 다른 솔루션이 거의 다루지 않는 영역까지 정밀 분석합니다.

안전 수칙#

  • 본인 또는 조직이 보유·분석할 적법한 권한이 있는 파일만 업로드하세요.
  • 모든 샘플은 격리된 환경에서 처리됩니다.
  • 분석 결과, 탐지 규칙, IOC, 언패킹 산출물은 방어·사고 대응·적법 조사 목적에만 사용해야 합니다.
  • 실제 운영 PC에서 샘플을 실행하지 말고, 원본 증거와 해시값을 보존한 뒤 분석하세요.
  • 분석 완료 후 설정된 보관 기간이 지나면 삭제 절차에 따라 처리됩니다.
  • 민감한 파일의 경우 업로드 전 해시값을 확인하세요.

YARA 스캔 결과#

YARA 스캔은 업로드된 파일을 150개 이상의 탐지 룰과 대조하여 악성코드 패턴을 식별합니다.

결과 해석#

스캔 결과에는 다음 정보가 포함됩니다:

매칭된 룰 목록:

  • 룰 이름: 탐지에 사용된 YARA 룰의 이름
  • 심각도: Critical / High / Medium / Low
  • 카테고리: RAT, Stealer, Ransomware, Trojan, Backdoor 등
  • 매칭 패턴: 파일에서 발견된 구체적 패턴

심각도 분류 기준:

심각도설명예시
Critical즉각 대응 필요한 Malware Lab랜섬웨어, APT 관련 도구
High명확한 악성 행위 패턴RAT, 정보 탈취형 Malware Lab
Medium의심스러운 특징 포함패커 사용, 난독화된 코드
Low잠재적 위험 요소의심스러운 문자열, API 호출

커뮤니티 룰셋#

YARA-Rules, Signature-Base, Malpedia 등 검증된 커뮤니티 룰셋이 포함되어 있어 최신 위협을 탐지할 수 있습니다.

CAPA 분석 결과#

CAPA는 바이너리 파일의 행위 기반 분석을 수행합니다. 파일이 어떤 기능을 가지고 있는지를 행위 관점에서 식별합니다.

분석 결과 구성#

탐지된 기능 (Capabilities): CAPA는 바이너리에서 다음과 같은 기능을 자동으로 식별합니다:

  • 파일 조작: 파일 읽기/쓰기/삭제/암호화
  • 네트워크 통신: HTTP 요청, 소켓 연결, DNS 조회
  • 프로세스 조작: 프로세스 생성, 코드 인젝션, 권한 상승
  • 레지스트리 조작: 레지스트리 키 생성/수정/삭제
  • 정보 수집: 시스템 정보, 브라우저 데이터, 자격 증명 접근
  • 방어 회피: 안티디버깅, 안티VM, 코드 난독화
  • 지속성: 자동 실행 등록, 서비스 생성, 예약 작업

MITRE ATT&CK 14단계 매핑: 각 탐지된 기능은 MITRE ATT&CK 프레임워크의 14단계(Reconnaissance → Resource Development → Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → Command and Control → Exfiltration → Impact)에 자동으로 매핑됩니다.

지원 파일 형식#

  • PE (32-bit, 64-bit)
  • ELF
  • Mach-O
  • .NET 어셈블리
  • 셸코드

정적 분석 (Ghidra)#

Ghidra는 NSA가 개발한 오픈소스 소프트웨어 리버스 엔지니어링 프레임워크입니다. unJaena 플랫폼에서는 Ghidra의 헤드리스 모드를 활용하여 자동화된 정적 분석을 수행합니다.

분석 내용#

바이너리 구조 분석:

  • 섹션 정보: 코드, 데이터, 리소스 섹션의 크기와 엔트로피
  • 임포트 테이블: 사용되는 라이브러리와 API 함수 목록
  • 익스포트 테이블: 외부에 노출된 함수
  • 문자열 분석: 바이너리에 포함된 의미 있는 문자열 추출

코드 흐름 분석:

  • 주요 함수 식별: 핵심 로직이 포함된 함수 탐지
  • 의심스러운 API 호출: VirtualAlloc, WriteProcessMemory, CreateRemoteThread 등
  • 제어 흐름 그래프: 프로그램의 논리적 실행 흐름

엔트로피 분석#

높은 엔트로피 값은 데이터가 압축되거나 암호화되었음을 나타낼 수 있습니다:

  • 0-3: 구조화된 데이터 (코드, 텍스트)
  • 3-6: 일반적인 바이너리 데이터
  • 6-7.5: 압축되거나 패킹된 데이터
  • 7.5+: 높은 무작위성 (암호화된 데이터 가능성)

분석 리포트#

모든 분석이 완료되면 종합 분석 리포트가 생성됩니다.

리포트 구성#

  1. 요약

    • 최종 판정: 악성 / 의심스러움 / 정상
    • 전체 위험도 점수 (0-100)
    • 주요 위협 유형 분류
  2. YARA 스캔 결과

    • 매칭된 룰 목록 및 상세 정보
    • 탐지된 악성코드 패밀리
  3. CAPA 행위 분석

    • 탐지된 기능 목록
    • MITRE ATT&CK 매핑 결과
  4. 정적 분석 결과

    • 바이너리 구조 요약
    • 의심스러운 API 호출 목록
    • 문자열 분석 결과
  5. AI 종합 판단

    • 컨텍스트 기반 위험 평가
    • 관련 IOC와 케이스 연결 단서
    • 권장 대응 조치

리포트 활용#

  • PDF 내보내기: 전문 보고서 형식으로 PDF 다운로드 가능
  • 공유: 팀원에게 분석 결과 공유 가능
  • IOC 추출: 탐지된 IOC (Indicators of Compromise) 목록 추출

서비스에서 바로 이어서 확인하세요

문서에서 본 흐름을 샘플 분석 또는 실제 업로드 화면에서 이어갈 수 있습니다. 실제 증거는 적법한 권한이 있을 때만 업로드하세요.