Hybrid Analysis를 통해 악성코드 샘플을 수집(다운로드)하고 분석하기

  컴퓨터 공학을 전공하는 학생들은 공부 목적으로 잘 알려진 악성 코드를 분석해보고 싶은 경우가 많습니다. 이때 유용하게 사용할 수 있는 사이트 중 하나가 바로 Hybrid Analysis입니다. 다양한 악성코드에 대해서 샘플 파일을 제공하고 각 악성코드에 대한 분석 결과를 알려줍니다.

 

  ▶ Hybrid Analysis 웹 사이트: https://www.hybrid-analysis.com/

 

  웹 사이트에 방문하면 바로 악성 코드 파일을 올려 볼 수 있도록 UI가 등장합니다.

 

 

※ 회원가입 ※

 

  참고로 해당 사이트를 제대로 이용하기 위해서는 회원가입을 진행해야 합니다. 특히 공개된 악성 코드를 다운로드 하기 위해서는 회원가입 과정이 필수입니다. 만약 아무나 악성 코드를 쉽게 다운로드 할 수 있다면, 악용하는 경우도 많을 것입니다. 본 사이트는 그러한 악용 사례를 미연에 방지하기 위하여 회원가입 및 인증(심사) 제도를 채택하고 있습니다.

 

 

  다음과 같이 상세한 정보를 기입하여 회원가입을 진행할 수 있습니다. 단순히 네이버나 구글 이메일이 아니라 자신의 소속을 정확히 알릴 수 있는 이메일 계정(학교나 기업 계정)을 사용하시는 것이 좋습니다.

 

 

  회원가입을 진행하면 계정 활성화 관련 이메일이 도착합니다.

 

 

※ 악성코드 검색 및 내용 확인 (다운로드) ※

 

  또한 직접 악성 코드를 검색해 볼 수 있는 기능도 제공합니다. 기본적으로 악성 코드 이름, 웹 사이트 도메인, 프로그램 해시 값 등으로 검색이 가능합니다. 저는 랜섬웨어(Ransomware)의 일종인 Mamba를 검색해 보았습니다.

 

 

  검색 이후에 실제로 하나의 악성 코드를 클릭해 보시면 다음과 같이 분석 결과가 나옵니다. 오른쪽에는 [Sample] 다운로드 버튼이 있는데요. 이걸 클릭해서 다운로드 하실 수 있습니다.

 

 

  다만 다운로드를 진행하기에 앞서 심사(Vetting) 과정이 필요합니다. Hybrid Analysis는 철저히 연구 목적으로 악성 코드 파일을 공유하는 서비스이므로, 악의적인 목적으로 서비스가 악용되지 않아야 할 것입니다. 따라서 웹 사이트 단에서 기본적인 심사 과정을 거치고 있습니다.

 

 

  이때 자신을 소개할 수 있는 상세한 내용을 기입하여 요청해야 합니다. 적법한 보안 연구 관련 기관에 소속되어 있는지를 잘 드러낼 수 있다면 심사 과정에 큰 어려움이 없습니다. 이때 단순히 네이버나 구글 계정을 기입하는 것으로는 부족합니다. 예를 들어 정보를 간략하게 넣는 경우 다음과 같이 Rejected 판정을 받을 수 있습니다.

 

 

  그래서 상세한 정보를 제공하기 위해 연구 기관 이메일을 이용하면 좋습니다. 저는 다음과 같이 학교 이메일, 링크드 인, 깃 허브 주소 등을 적어 넣었습니다.

 

 

  심사가 완료되면 악성 코드를 다운로드 할 수 있으며, 당연한 이야기이지만 악성 코드를 분석할 때는 안전한 가상 환경에서 실험을 진행하도록 합니다.