맬웨어 분석 정의

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • 멀웨어 인스턴스 또는 패밀리에서 수행된 특정 정적 또는 동적 분석의 메타데이터와 결과를 캡처하는 멀웨어 분석을 정의합니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.analyst

    프로시저

    1. 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터.
    2. 작업 공간에서 위협 인텔 라이브러리 아이콘을 클릭합니다.
    3. Malware Analysis object(맬웨어 분석 개체)로 이동합니다.
    4. 새로 만들기를 클릭합니다.
      주:
      옵저버블, 표시기, 엔터티 또는 객체에 대한 새 객체 기록을 생성할 때마다 소스 기록이 생성되고, 새 객체 기록이 생성된 다음 사용자가 집계된 기록으로 리디렉션된다는 프롬프트 메시지가 표시됩니다.
    5. 양식에서 필드를 채웁니다.
      표 1. 맬웨어 분석 상세 정보 뷰
      필드 설명
      ID 맬웨어 분석을 식별하는 고유 ID입니다.
      제품 사용된 분석 엔진 또는 제품의 이름입니다. 제품 이름은 모두 소문자여야 하며 단어는 대시 '-'로 구분되어야 합니다(SHOULD).

      제품 이름을 지정할 수 없는 경우 anonymized 값을 사용해야 합니다.
      버전 분석을 수행하는 데 사용된 분석 제품의 버전입니다.
      호스트 VM 맬웨어 인스턴스 또는 제품군의 동적 분석에 사용된 게스트 운영 체제를 호스팅하는 데 사용된 가상 머신 환경에 대한 설명입니다(해당하는 경우).

      이 값이 operating_system_ref 속성과 함께 포함되지 않은 경우 동적 분석이 베어메탈(즉, 가상화 없음)에서 수행되었거나 정보가 삭제되었을 수 있음을 의미합니다.

      이 속성의 값은 SCO 소프트웨어 객체의 식별자여야 합니다(MUST).
      운영 체제 맬웨어 인스턴스 또는 제품군의 동적 분석에 사용되는 운영 체제입니다. 이는 가상화된 운영 체제뿐만 아니라 베어 메탈에서 실행되는 운영 체제에도 적용됩니다.

      이 속성의 값은 SCO 소프트웨어 객체의 식별자여야 합니다(MUST).
      구성 버전 이 맬웨어 또는 맬웨어 제품군을 식별하는 데 사용되는 대체 이름입니다.
      모듈 이 분석 실행 중에 제품에서 사용되고 구성된 특정 분석 모듈입니다.
      분석 엔진 버전 분석을 수행하는 데 사용된 분석 엔진 또는 제품(AV 엔진 포함)의 버전입니다.
      분석 정의 버전 AV 도구를 포함한 분석 도구에서 사용하는 분석 정의의 버전입니다.
      분석 시작됨 맬웨어 분석이 시작된 날짜 및 시간입니다.
      분석 종료됨 맬웨어 분석이 종료된 날짜 및 시간입니다.
      결과 스캐너 또는 도구 분석 프로세스에 의해 결정된 분류 결과입니다.
      결과 이름 스캐너 도구에서 맬웨어 인스턴스에 할당한 분류 결과 또는 이름입니다.
      제출됨 멀웨어가 검사 또는 분석을 위해 처음 제출된 날짜 및 시간입니다. 스캔한 날짜가 변경될 수 있는 동안에도 이 값은 일정하게 유지됩니다. 예를 들어 맬웨어가 바이러스 분석 도구에 제출된 경우입니다.
      분석된 옵저버블 분석된 옵저버블을 선택합니다.
      TLP TLP는 민감한 정보가 적절한 대상과 공유되도록 하는 데 사용됩니다. 4가지 색상(흰색, 녹색, 호박색, 빨간색)을 사용하여 다양한 민감도를 나타냅니다.
      신뢰도 이 맬웨어 분석에 대한 신뢰도를 입력합니다.
      소스 이 개체 기록이 생성되는 위협 소스를 지정합니다.
      해지함 해지된 개체가 개체 작성자에 의해 더 이상 유효한 것으로 간주되지 않음을 나타냅니다.
      표 2. 인사이트
      필드 설명
      메모 맬웨어 제품군 기록에 대한 추가 메모를 추가합니다.
      표 3. 추가 정보
      필드 설명
      추가 컨텍스트 이 맬웨어 기록에 대한 추가 컨텍스트를 추가합니다.
      사양 버전 이 객체를 나타내는 데 사용되는 STIX 사양의 버전입니다.

      이 특성에 대한 값은 이 사양에 따라 정의된 STIX 객체에 대해 2.1이어야 합니다.
      언어 이 속성은 이 객체의 텍스트 컨텐츠 언어를 식별합니다.
      소스에서 생성된 시간 원본에서 개체가 만들어지는 시간을 지정합니다.
      확장명 공격 패턴의 확장을 나타냅니다.
      소스에서 수정된 시간 원본에서 개체가 수정되는 시간을 지정합니다.
      처리 상태 이 개체의 처리 상태인 맬웨어를 나타냅니다.
      작성됨 원본에서 객체가 만들어진 날짜 및 시간을 지정합니다.
      업데이트됨 원본에서 객체가 업데이트된 날짜 및 시간을 지정합니다.
      참조에 의해 생성됨 이 속성은 엔터티를 설명하는 ID 개체가 이 개체를 만들었음을 지정합니다.
    6. 저장을 클릭합니다.
      저장하면 새 옵저버블 기록이 생성되었음을 나타내는 프롬프트 메시지가 표시됩니다. 기록을 편집하고 새 관계를 생성하려면 "계속 "을 클릭하십시오.
    7. 계속을 클릭합니다.
      중요사항:
      새 옵저버블 기록을 생성하면 시스템 업데이트 방지 확인란이 표시됩니다.

      옵저버블, 표시기 또는 STIX 객체 기록이 생성된 후 시스템에서 업데이트를 방지하려면 이 확인란을 선택합니다.

      표 4. 태그&분류
      필드 설명
      태그
      태그 선택 맬웨어와 연결된 태그를 선택합니다.
      태그 추가 새 태그를 추가합니다.
      분류
      분류 선택 맬웨어와 관련된 분류를 선택합니다.
      분류 값 추가 맬웨어와 관련된 분류 값을 추가합니다.

    다음에 수행할 작업

    다음 관련 목록 중 하나를 클릭하면 맬웨어와 관련된 객체에 대한 추가 정보를 볼 수 있습니다.
    표 5. 관련 기록
    필드 설명
    외부 참조 STIX가 아닌 정보를 참조하는 외부 참조를 나열합니다. 이 속성은 하나 이상의 외부 객체 식별자를 제공하는 데 사용됩니다.
    맬웨어 이 객체와 연결된 맬웨어 기록을 나열합니다.
    마케팅 정의 이 객체와 연결된 마케팅 정의를 나열합니다.
    옵저버블 이 객체와 연결된 옵저버블을 나열합니다.
    사이팅 이 객체와 연결된 사이팅을 나열합니다.
    주:
    1. 이 객체와 연결된 관련 기록을 연결하거나 연결 해제할 수 있습니다. 자세한 내용은 위협 인텔리전스 관련 기록 연결 문서를 참조하십시오.
    2. TI 라이브러리 내의 다양한 SDO에는 잠재적인 관계도 포함됩니다. 두 개체 간의 관계를 설정하려면 위협 인텔리전스 라이브러리Potential Relationships(잠재적 관계) 링크를 사용하여 개체 간의 관계를 확인합니다. 자세한 내용은 객체-객체 잠재성 관계 확인 문서를 참조하십시오.
    3. 또한 객체 양식 뷰에서 관련 기록 섹션을 사용하면 양식 뷰에서 사용할 수 있는 잠재성 관계 섹션을 통해 두 객체 간의 관계를 확인할 수 있습니다. 에 대한 자세한 내용은 관련 기록에서 잠재성 관계 확인를 참조하십시오.
    4. 케이스에 개체를 추가할 수 있습니다. 자세한 내용은 케이스에 추가 문서를 참조하십시오.