VirusTotal Intelligence について掘り下げた内容の本を技術書典8に向けて執筆しました。現在 BOOTH にて販売しておりますので、ぜひご確認ください。
※ 少し詳しく書いた記事を以下に公開しています(↑の本はさらに加筆した内容となっています)。
こちらも参考にして下さい。
はじめに
マルウェアの検体を取得するサイトとして有名なところで VirusTotal が挙げられます。有償版の VirusTotal Intelligence なら検体のダウンロードが可能です。ただ、せっかくの有償版の Intelligence をただ検体をダウンロードするためだけに使用していたら勿体ないでしょう。
例えば、こんな検体を探すことはできますか?
探し方
探し方は、ちゃんと VirusTotal Intelligence のヘルプページに書いてあったりします。
VirusTotal - Free Online Virus, Malware and URL Scanner
ベンダの検知結果から探す
このヘルプページの「Identifying files according to antivirus detections」章を見てみると、ベンダの検知結果ベースの検索の仕方が書いてあります。たとえば、JPCERT/CC が先日分析センターだよりで発表した PLEAD の検体を例に試してみたいと思います。
攻撃グループBlackTechが使うマルウエアPLEADダウンローダ (2018-05-28)
分析だよりではハッシュ値 bc2c8cc~ の検体を筆頭に 4 種類の PLEAD のハッシュ値が掲載されています。この検体を VirusTotal で確認してみると、たしかに(AhnLab-V3だけですが)PLEAD と判定しています。もしかしたらほかのベンダが PLEAD と判定したほかの検体があるかもしれません。
VirusTotal Intelligence の検索窓に engines:plead と入力して検索してみると...
20件も見つかりました。もちろん検知名に PLEAD が含まれているからと言って必ずしも PLEAD とは限りませんが、解析をしてみて検体の特徴を調べてみれば亜種かどうかは明白になるはずです。同じベンダが PLEAD と判定しているならさらに亜種である可能性は高そうです。今回は AhnLab-V3 のみが PLEAD と判定している検体だったので、このベンダ(エンジン)が PLEAD と判定している他の検体を探してみましょう。
VirusTotal Intelligence の検索窓に ahnlab-v3:plead と入力して検索してみると...
2件になりました。新たに発見した検体は imphash の値は全く同じ結果ですしファイルサイズも同じです。おそらく亜種でしょう。Behavior でサンドボックスでの動作結果を確認してみると、JPCERT/CC の記事にはないドメインに DNS リクエストを投げていることが分かります。おそらく、このドメインもフィルタリング対象にした方がいいでしょう。
この他のいろいろな検索用のプレフィックス
冒頭で紹介した VirusTotal Intelligence のヘルプページの「Search modifiers」には、さまざまな検索用プレフィックスが書かれています。また、AND/OR/NOT を使った指定方法も書かれているので、検索結果の対象を絞りたいときに活躍するはずです。
プレフィックス「tag」ではタグ付けされた結果を検索できるので、たとえば最近もよくばらまき型の攻撃に使用される CVE-2017-11882 (数式エディタの脆弱性)を使ったファイルを探したい場合は tag:cve-2017-11882 などと検索して探してみるのも一興でしょう。
1000件以上見つかっちゃいました f^^;
更新履歴
- 2018/06/12 PM 新規作成