malwares.com

파일 분석 플레이북 설정

해시 값을 입력받아 malwares.com 정보를 조회하는 플레이북을 아래의 과정으로 만들 수 있습니다.

새 플레이북 생성

새 플레이북을 생성하고 이름에 malwares.com 파일 분석을 입력한 다음, 플레이북 매개변수에 문자열 타입의 hash 매개변수를 정의합니다.

새 태스크 노드 추가

플레이북 시작 노드를 클릭하고 하단의 파란 핸들을 드래그하여 원하는 위치에 드롭하면 해당 위치에 새 노드가 생성되고 왼쪽에 태스크 유형 선택 패널이 열립니다. 실행 유형을 클릭합니다.

파일 요약 정보 조회 선택

명령어셋에서 malwares.com을 선택하면 하단 명령 항목에 사용 가능한 malwares.com 플레이북 명령어가 표시됩니다. 파일 요약 정보 조회를 선택합니다.

태스크 이름 및 설명 설정

자동 채우기를 클릭하여 태스크 노드의 이름과 설명을 기본값으로 설정합니다. 이제 스크롤을 아래로 내립니다.

해시 값 매개변수 설정

입력 매개변수 항목에서 와일드카드 (*) 표시가 있는 변수는 필수입니다. 앞 단계에서 출력되는 매개변수를 선택하거나 임의의 상수 문자열을 지정할 수 있습니다. 여기에서는 플레이북 실행 시 입력 매개변수로 전달되는 hash를 사용해야 하므로, 매개변수 중 hash를 선택하고 저장 버튼을 클릭하여 편집을 완료합니다.

플레이북 출력 매개변수 설정

이제 왼쪽 패널에서 플레이북 출력 매개변수를 정의합니다. 파일 요약 정보 조회에서 출력되는 ai_score와 result_code를 플레이북의 출력으로 정의합니다. 이 플레이북을 서브 플레이북으로 호출할 수 있는데, 결과에서 result_code가 1인 경우에 데이터가 존재함을 알 수 있고, ai_score가 100에 가까울수록 악성 파일로 판단할 수 있습니다.

플레이북 실행

formbook 악성코드 해시 중 하나를 테스트해보겠습니다. 플레이북 목록에서 수동 실행 버튼을 클릭하고, 대화상자에서 MD5 값인 CBF9A860C4CA0D62C5FFF329A3E31DE1 를 입력합니다. 상단의 실행 후 새 창에서 실행 내역 표시를 체크합니다.

플레이북 실행 결과 확인

새 윈도우가 팝업되는데, 파일 요약 정보 조회 태스크가 완료되기를 기다렸다가 오른쪽 클릭하면 왼쪽 패널에서 입출력 값을 확인할 수 있습니다.

malwares.com은 테스트로 입력한 MD5 해시에 대해 ai_score를 100으로 반환하여 악성 파일로 진단하였습니다. tags에서 이 파일의 특징을 추가로 확인할 수 있습니다.

정리

API 호출 허용 건수에 여유가 있다면 ai_score에 따라 분기하고 파일 정적 분석 태스크를 연결하여 추가 분석을 수행할 수 있습니다. 이 플레이북을 서브 플레이북으로 호출하거나, 기존 플레이북에 malwares.com 분석 태스크를 직접 설정하여 활용하세요.