解析メモ

マルウェア解析してみたり解析に役に立ちそうと思ったことをメモする場所。このサイトはGoogle Analyticsを利用しています。

VirusTotal Intelligence の使い方 ~ドメインやURL調査ツールとしての VTI~

f:id:k1z3:20191104111150p:plain
VirusTotal ではファイルの悪性判定だけではなく、ドメインや URL についての判定も確認することができます。これを利用することで閲覧しようとしているサイトやドメインに問題があるのかどうかを把握することができますし、そのドメインが過去にどのような活動を行っていたかも知ることができます。

2つの検索方法

VirusTotal (Web)では調査の入り口が大きく分けると2つあります。1つは URL のスキャン、もう一つはキーワードとしての検索です。

URL のスキャンの入り口 f:id:k1z3:20191122003838p:plain

キーワードとしての検索する場合の入り口 f:id:k1z3:20191122003915p:plain

URL のスキャン

URL のスキャンでは、http(s):// から始まる URL を入力するか、ドメイン名を入力することで、スキャン結果を確認することができます。ドメイン名が入力された場合は自動的に http として(domain.name ⇒ http://domain.name)スキャンすることになります。過去にスキャンされたことがある URL の場合はその結果が表示されます。反対に過去にスキャンされたことがない URL の場合は新たにスキャンを行い、その結果を表示します。スキャン結果として表示できる情報は以下の通りです。

Detection

各ウィルス対策ソフトやセンサでの検知状況

Details

HTTP の Response 情報

  • Final URL
  • Serving IP Address
  • Status Code
  • Body Length
  • Headers

挿入されている Tracker

その URL で取得した HTML ファイルに関する情報

  • Title ( HTML 中に <title> として記述されている内容)
  • Meta Tags ( HTML 中に <meta name="xxxx"> として記述されている内容)

キーワードとしての検索

キーワードとしてドメインや URL を検索する場合は次の動きになります。

ドメインを入力した場合

そのドメインの情報を表示します。ドメインの表示ができるのは過去に URL をスキャンされたことがあるドメインであることが推測されます。その為、誰も URL をスキャンしたことがないドメインの場合、「Item not found」と表示されます。表示できる情報は以下の通りです。

  • サイトのカテゴリ:Alexa, BitDefender, Forcepoint (Websence), TrendMicro
  • レーティング:Auantcast, Majestic, Cisco Umbrella, Alexa
  • DNS レコード
  • HTTPS 証明書情報
  • Whois
  • Google 検索結果

URL を入力した場合

キーワードとしての検索の際に http(s):// から始まる URL を指定した場合、上述の「キーワードとしての検索」と同じ動きとなります。過去にスキャンされたことがあればその最新の結果を、なければ新規スキャンとなります。

サイトやドメインに関連する情報 (Relations)

VirusTotal によるドメインや URL の検索結果にはファイルの検索結果と同じように関連する URL やドメイン、ファイルを確認することができます。この検索の際、VirusTotal にはいくつかの「クセ」があるので、知っておくと検索の際に捗ります。

URL の詳細情報を表示させたときの関連情報の癖

URL の関連情報にはあまり多くの情報が表示されません。具体的には以下の仕様内での表示となるため、出そうだな、と思った情報(例えばそのURLのドメイン)が表示されないです。以下が URL で検索した場合の注意点となります。

  • ドメインが出ない
    URL の詳細情報を表示した際に、その URL のドメインは関連するアイテムとして表示されません。
  • ファイルが出るパターン
    URL が特定のファイルを示す場合、関連するアイテムとしてそのファイルのスキャン結果が表示されます。

ドメインの詳細情報を表示させたときの関連情報の癖

URL の関連情報を検索したときと比べて多くの情報が表示されます。その為、その URL やドメインに関連する何かを調べたい場合、ドメインを中心に調べた方が効率よく情報が集まるといえるでしょう。表示される情報は以下の通りです。

表示される関連情報一覧 (※カッコ内は併記される情報)

  • Passive DNS Replication
  • Subdomains (IP address (3 世代まで))
  • URLs (判定結果)
  • Downloaded Files (判定結果、ファイル種別)
  • Files Referring (判定結果、ファイル種別)
  • Historical Whois Lookups ※ Whois の履歴
  • Historical SSL Certificates ※ SSL 証明書の履歴