VirusTotal Intelligence の使い方 ~URLスキャン検索エンジンの詳細情報~
VirusTotal で URL を検索した際の検知結果は Malicious や Phishing など表示されますが、マルウェア(ファイル)のスキャン結果の様に具体的にどこがどう悪いかは表示されません。 その為、なぜ検知結果が悪性なのかが判断できない場合があります。
この場合、各スキャンエンジンが提供しているオンラインスキャナを利用して詳細を確認できる場合があります。 詳細を確認できるスキャンエンジンはごく一部ですが、たまに役に立つので覚えておくとよいと思います。
VT の結果より詳しい情報を得られるスキャンエンジン
以下は VirusTotal での検知結果よりも詳しい情報が得られるスキャンエンジンです。詳しい情報とは検知理由に関するもので、Whois 情報などの VT でも確認できる情報が出てくるだけのものは省きます。
desenmascara.me(http://desenmascara.me/)
サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:×
サイトが偽物かどうか確認できるスキャナです。明快に「本物」「偽物」を判断できると思います。ファイルを指定した URL には対応しておらず、ドメインレベルでの判定となります。
Dr.Web(https://www.drweb.co.jp/)
サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:×
サイトの一番下に URL およびファイルスキャナがあります。指定した URL から落ちてくるファイルをスキャンした結果を返しているようです。
Forcepoint ThreatSeeker(https://csi.forcepoint.com/)
サインイン:不要、10分メール:不可、オンデマンド解析:〇、リンク解析:〇
どのファイルが問題があったのか詳しく表示してくれます。URL がレポート形式なので他社に結果を伝える時も便利です。 サインインしていない場合は1日5レポートまでですが、サインアップすることで25レポートまで増やせるようです。 なお、利用回数は IP アドレスで管理している可能性があります。
Quttera(https://quttera.com/)
サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:〇
サイト中段に URL の入力窓があります。 指定した URL に含まれるリンクを解析し、各ファイルが blacklist に入っているかどうかを確認することができます。 ファイル個別に BL に入っているか確認することができます。
SCUMWARE.org(https://www.scumware.org/search.php)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
指定した値が DB に含まれているかどうかを確認することができ、含まれていた場合はその Threat Type として判定理由を確認することができます。 なお、使う前に CAPTCHA 認証が必要です。
SecureBrain(http://check.gred.jp/)
サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:〇
Gred の名前で知られています。安全か危険かを色で明快に把握できるスキャンエンジンで、検索前にリンク解析のチェックを入れることで参照しているファイルの確認も行ってくれます。
Sucuri SiteCheck(https://sitecheck.sucuri.net/)
サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:〇
スキャンした URL やそのリンク先が BlackList に登録されている値にリダイレクトされるかどうかを判定しているようです。ファイル単位で解析してくれるので判定理由が明確です。
Phishtank(https://www.phishtank.com/index.php)
サインイン:不要(検索は必要)、10分メール:〇、オンデマンド解析:×、リンク解析:×
Phishing サイト情報に特化しています。スクリーンショットを確認できるのでアクセスせずともある程度のサイト概要をつかむことができます。なお、登録しないと詳細が見れません。
URLhaus/Spamhaus(https://urlhaus.abuse.ch/browse/)
サインイン:不要(検索は必要)、10分メール:×、オンデマンド解析:×、リンク解析:×
タグでどんなマルウェアがホストされているのかを確認することができます。検索には twitter 連携が必要です。
StopBadware(https://www.stopbadware.org/clearinghouse/search)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
ブラックリスト入りしている場合はいつリストに入ったのかがわかるようになっています。
ZeroCERT(https://zerocert.org/・https://center.zerocert.org/safeguard/)
サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:×
スクリーンショットの取得やファイル情報など便利な機能はついている印象。様々なスキャンエンジンへのリンクが References として表示されるので便利でした。
NotMining(https://notmining.es/)
サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:×
マイニングスクリプトが仕掛けられているかどうかを確認することができます。
VT の結果と情報量が変わらないスキャンエンジン
Fortinet(https://fortiguard.com/webfilter)
サインイン:不要、10分メール:-、リンク解析:×
FortiGuard の判定理由を確認することができます。どのファイルが悪いのかは出ず、カテゴリの判定のみとなります。判定されたカテゴリは VirusTotal で確認できるものと同じなので、あえてこのスキャナで検索するのはスクリーンショット目当てかカテゴリ説明の記述を確認するとき、もしくは使用しているセンサ(FortiGuard)が検知できるかを確認する時でしょう。
Google Safebrowsing(https://transparencyreport.google.com/safe-browsing/search)
サインイン:不要、10分メール:-、リンク解析:×
Chrome などで危険なサイトをブラウジングしているとたまに出る赤い警告画面の情報元です。ただ、情報が常に同期されているわけではないようで、VT の結果が Clean でもこちらで確認すると Malicious 判定となる場合があるため注意が必要です。そういう意味では VT の結果と違う場合があるので確認する価値があります。
Web Security Guard(http://www.websecurityguard.com/)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
Kaspersky(https://virusdesk.kaspersky.com/)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
指定した URL のファイルが Malicious かどうかを確認するだけです。
malwares.com URL checker(https://www.malwares.com/)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
VT の結果をパースして表示しているだけの気がします。。。
Netcraft(https://searchdns.netcraft.com/)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
ブラックリストを提供しているスキャンエンジン
ブラックリストとしてリストを提供しているサイトは以下の通りとなります。次に紹介するのはリストの中でも多少の不可情報とともに表示してくれているものです。
CLEAN MX(https://support.clean-mx.com/clean-mx/phishing.php)
サインイン:不要(検索に必要)、10分メール:×、オンデマンド解析:×、リンク解析:×
VX Vault(http://vxvault.net/)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
Malware Domain Blocklist(https://www.malwaredomains.com/?page_id=66)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
Malwared(https://malwared.malwaremustdie.org/db/fulllist.php)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
MalwareDomainList(https://www.malwaredomainlist.com/mdl.php)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
OpenPhish(https://openphish.com/feed.txt)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
Malc0de database(http://malc0de.com/database/)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
Malwarebytes hpHosts(https://hosts-file.net/?s=Browse)
サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×
ダッシュボードを提供しているもの
BADWARE(https://badware.info/)
サインイン:要、10分メール:可、オンデマンド解析:×、リンク解析:×
サインイン後はスキャンできるようになるが結果を表示させる方法が不明
Blueliv(https://trial.blueliv.com/sign_up)
サインイン:要、10分メール:可、オンデマンド解析:×、リンク解析:×
URLの調査に必要な機能はない印象
Comodo Site Inspector(https://login.cwatch.comodo.com/login)
サインイン:要、10分メール:可、オンデマンド解析:×、リンク解析:×
フリーの場合は1サイトのみ登録可能でいくつかのスキャンができるが、とにかく動作の安定感がない印象。
VT の URL スキャンにはないエンジンだが有益なもの
以下は VirusTotal の URL の判定をした時に利用されるスキャンエンジンではありませんが、知っておくと便利なメジャーなセキュリティベンダのスキャンエンジンです。いずれも無料で使用することができます。
Norton Safe Web(https://safeweb.norton.com/)
BlueCoat SiteReview(https://sitereview.bluecoat.com/)
カテゴリ判定をしてくれます。
TrendMicro Site Safety Center(https://global.sitesafety.trendmicro.com/)
McAfee Threat Center(https://www.mcafee.com/enterprise/en-sg/threat-center.html)
サイト中段に検索ボックスがあります。