Skip to content
문서 목록

Malware Lab 19 트랙 레퍼런스

Malware Lab 19 트랙 레퍼런스#

unJaena Malware Lab은 입력 형식에 따라 자동으로 적절한 분석 트랙을 선택합니다. 평균 분석 시간은 약 90초이며, 모든 트랙은 MITRE ATT&CK 14단계 매핑·YARA 시그니처·AI 자연어 요약을 공통 출력으로 제공합니다.

트랙 카탈로그#

#트랙입력 형식주요 엔진결과
1PE.exe, .dll, .sysGhidra (디컴파일) + CAPA + Speakeasy (에뮬레이션) + YARA함수 그래프, capability, IOC, MITRE 매핑
2APKAndroid .apkMobSF + YARA + 매니페스트 정적 분석권한 위험도, 의심 API 호출, 인증서 정보
3IPAiOS .ipaMobSF + YARA + 코드 서명 검증Entitlement 분석, URL 스킴, 자산 탈취 패턴
4Office (DOCX/XLSX/PPTX)OOXML 패키지olevba + YARA + 매크로 추출VBA 매크로 코드, AutoOpen/AutoExec 트리거, IOC
5HWP / HWPX한국 HWP·HWPX 문서olevba + 한국 차별화 분석임베디드 OLE, 매크로, 외부 호출 패턴
6PDF.pdfPDF.js 에뮬레이션 + YARA + 자바스크립트 트레이서OpenAction, 숨김 객체, JavaScript IOC
7ELFLinux 실행 파일Qiling (사용자 모드 에뮬레이션) + CAPA + YARA시스템 콜 트레이스, capability, 패커 탐지
8Mach-OmacOS 실행 파일Qiling + YARA + 코드 서명 검증Entitlement, 동적 라이브러리, 인젝션 흔적
9.NETCLR 어셈블리dnfile + Ghidra + YARAIL 디컴파일, 난독화 탐지, 메서드 호출 그래프
10JARJava 아카이브CFR/Procyon 디컴파일 + YARA클래스 트리, 매니페스트, 외부 라이브러리 호출
11JavaScript.js, .mjs샌드박스 에뮬레이션 + AST 분석DOM 조작, eval/Function 사용, 외부 호출
12PowerShell.ps1샌드박스 + AMSI 트레이서 + 난독화 해제기명령 트리, 다운로드 URL, 인코딩된 페이로드
13VBS·HTA.vbs, .hta샌드박스 에뮬레이션 + 스크립트 정적 분석다운로더 패턴, 명령 실행, 레지스트리 조작
14OneNote.one, .onepkgOneNote 파서 + 첨부 추출임베디드 페이로드, 외부 링크, 매크로
15EML·MSG이메일 메시지EML/MSG 파서 + 첨부 분리헤더 분석, 발신자 인증, 첨부별 재귀 분석
16MSI·MSIX·APPXWindows 인스톨러MSI 테이블 파서 + 페이로드 추출 + YARACustomAction, 설치 후 실행 명령, 서명
17LNKWindows ShortcutLNK 파서 + 명령줄 디코더대상 명령, 인코딩 인자, 아이콘 출처
18WebAssembly.wasmWasm 디컴파일 + YARAImport/Export 함수, 의심 호출, 정적 문자열
19Browser Extension.crx, .xpi매니페스트 분석 + 콘텐츠 스크립트 추출 + YARA권한 범위, 외부 호출, 코드 인젝션 패턴

공통 결과 항목#

모든 트랙은 다음 공통 보고 항목을 생성합니다.

  • 위협 등급: clean / suspicious / malicious 3단계.
  • MITRE ATT&CK 14단계 매핑: Reconnaissance부터 Impact까지 자동 분류.
  • IOC: 도메인·IP·해시·뮤텍스·파일 경로 추출.
  • YARA 매치: 공개 룰셋 + unJaena 자체 룰 결과.
  • AI 요약: 한국어/영어/일본어 자연어 보고.

평균 분석 시간#

대부분의 샘플은 90초 이내에 완료됩니다. PE 패킹 해제·Ghidra 디컴파일 등 무거운 단계가 필요한 경우 최대 5분까지 소요될 수 있으며, UI 진행률 막대로 단계별 상태를 확인할 수 있습니다.

다음 단계#