멀웨어 분석은 동적 분석, 정적 분석 또는 전체 리버스 엔지니어링을 사용하여 엔드포인트 및 네트워크 내에서 의심스러운 파일을 파악하고 분석하는 방식입니다.

강력한 멀웨어 분석 관행은 잠재적인 위협을 분석, 탐지 및 완화하는 데 도움이 됩니다. 멀웨어 분석을 통해 조직은 지능형 공격, 목표 공격, 제로데이 공격에 사용되는 악성 객체를 식별할 수 있습니다.

멀웨어 분석은 보안 운영 팀이 조직 내에서 악성 객체가 지속성을 확보하고 파괴를 일으키는 경우 이를 신속하게 탐지하고 차단하는 데 도움이 되기 때문에 중요합니다.

세 가지 기본 멀웨어 분석 유형은 다음과 같습니다.

1. 정적 분석은 프로그램을 실행하지 않고 파일에 악의적인 의도의 징후가 있는지 검사합니다. 또한 이 분석 유형에서는 초기 검사 후 IT 전문가의 수동 검토를 요청하여 멀웨어가 시스템과 상호 작용하는 방식을 추가적으로 분석할 수 있습니다. 정적 문서 분석은 실행 방식이 아니라 파일 자체에서 이상 현상을 찾습니다.

정적 분석은 다음과 같은 질문에 대한 답변을 찾습니다.

• 내장된 셸 코드, 비정상적인 매크로 또는 해당 유형의 문서에는 일반적으로 존재하지 않는 다른 실행 프로그램과 같은 구조적 이상이 있습니까?
• 문서에 누락되거나 추가된 세그먼트가 있습니까?
• 포함된 파일이 있습니까?
• 암호화, 핑거프린팅 또는 기타 의심스러운 기능이 있습니까?
• 문서에 이상해 보이는 부분이 있습니까?

2. 동적 분석은 Sandbox라고 하는 폐쇄형 시스템을 사용하여 악성 프로그램을 안전한 환경에서 실행하고 악성 프로그램의 활동을 단순히 관찰합니다. 검사 환경에서 전체 호스트(CPU, 시스템 메모리 및 모든 기기 포함)를 시뮬레이션하여 악성 객체가 수행할 수 있는 모든 작업을 지속적으로 관찰합니다. 전문가는 이 자동화된 시스템을 통해 실제로 시스템을 멀웨어에 감염시키지 않고도 멀웨어가 작동하는 모습을 확인할 수 있습니다. 동적 분석은 멀웨어와의 상호 작용을 통해 모든 악성 동작을 유도하여 자동화를 지원하고, 신속하고 정확한 검사 결과를 도출하며, 조직의 인프라 내에서 모호한 부분을 식별하고 분석할 수 있도록 지원합니다.

3. 리버스 엔지니어링 멀웨어에는 소프트웨어 프로그램을 해체(때로는 디컴파일)하는 과정이 포함됩니다. 이 프로세스를 통해 바이너리 명령이 코드 니모닉(또는 보다 상위 수준의 구조)으로 변환되어 엔지니어는 프로그램이 수행하는 작업과 프로그램이 영향을 미치는 시스템을 확인할 수 있습니다. 엔지니어는 그 세부 사항을 알아야만 프로그램의 의도된 악의적인 영향을 완화할 수 있는 솔루션을 만들 수 있습니다. 리버스 엔지니어(일명 “리버서”)는 다양한 툴을 사용하여 프로그램이 시스템을 통해 전파되는 방식과 더불어 프로그램의 설게 목적을 파악합니다. 이 과정을 통해 리버서는 프로그램이 악용하려는 취약점을 파악하게 됩니다.

VMware NSX Network Detection and Response(NDR)는 운영 체제 내의 모든 멀웨어 상호 작용을 보여주는 전체 시스템 에뮬레이션 Sandbox를 통해 고급 멀웨어 분석 기능을 제공하며, 여기에는 고급 AI 기술을 사용하여 데이터 센터를 통과하는 모든 아티팩트에 대한 회피 행동 및 심도 있는 가시성 등이 포함됩니다.

또한 VMware는 지속적인 EDR(엔드포인트 탐지 대응)을 통해 온프레미스 위협 헌팅 및 사고 대응 솔루션을 제공합니다. VMware EDR은 오프라인 환경에서도 가시성을 제공하여 엔드포인트 활동 데이터를 지속적으로 기록하고 저장하므로 IT 전문가가 실시간으로 위협을 대상으로 지정할 수 있습니다.