解析メモ

マルウェア解析してみたり解析に役に立ちそうと思ったことをメモする場所。このサイトはGoogle Analyticsを利用しています。

VirusTotal Intelligence の使い方 ~URLスキャン検索エンジンの詳細情報~

f:id:k1z3:20191104111150p:plain

VirusTotal で URL を検索した際の検知結果は Malicious や Phishing など表示されますが、マルウェア(ファイル)のスキャン結果の様に具体的にどこがどう悪いかは表示されません。 その為、なぜ検知結果が悪性なのかが判断できない場合があります。

f:id:k1z3:20191124184047p:plain

この場合、各スキャンエンジンが提供しているオンラインスキャナを利用して詳細を確認できる場合があります。 詳細を確認できるスキャンエンジンはごく一部ですが、たまに役に立つので覚えておくとよいと思います。

VT の結果より詳しい情報を得られるスキャンエンジン

以下は VirusTotal での検知結果よりも詳しい情報が得られるスキャンエンジンです。詳しい情報とは検知理由に関するもので、Whois 情報などの VT でも確認できる情報が出てくるだけのものは省きます。

desenmascara.me(http://desenmascara.me/

f:id:k1z3:20191124201539p:plain サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:×

サイトが偽物かどうか確認できるスキャナです。明快に「本物」「偽物」を判断できると思います。ファイルを指定した URL には対応しておらず、ドメインレベルでの判定となります。

Dr.Webhttps://www.drweb.co.jp/

f:id:k1z3:20191124191059p:plain サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:×

サイトの一番下に URL およびファイルスキャナがあります。指定した URL から落ちてくるファイルをスキャンした結果を返しているようです。

Forcepoint ThreatSeeker(https://csi.forcepoint.com/

f:id:k1z3:20191124191350p:plain サインイン:不要、10分メール:不可、オンデマンド解析:〇、リンク解析:〇

どのファイルが問題があったのか詳しく表示してくれます。URL がレポート形式なので他社に結果を伝える時も便利です。 サインインしていない場合は1日5レポートまでですが、サインアップすることで25レポートまで増やせるようです。 なお、利用回数は IP アドレスで管理している可能性があります。

Quttera(https://quttera.com/

f:id:k1z3:20191124202117p:plain サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:〇

サイト中段に URL の入力窓があります。 指定した URL に含まれるリンクを解析し、各ファイルが blacklist に入っているかどうかを確認することができます。 ファイル個別に BL に入っているか確認することができます。

SCUMWARE.org(https://www.scumware.org/search.php

f:id:k1z3:20191124204051p:plain サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

指定した値が DB に含まれているかどうかを確認することができ、含まれていた場合はその Threat Type として判定理由を確認することができます。 なお、使う前に CAPTCHA 認証が必要です。

SecureBrain(http://check.gred.jp/

f:id:k1z3:20191124204706p:plain サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:〇

Gred の名前で知られています。安全か危険かを色で明快に把握できるスキャンエンジンで、検索前にリンク解析のチェックを入れることで参照しているファイルの確認も行ってくれます。

Sucuri SiteCheck(https://sitecheck.sucuri.net/

f:id:k1z3:20191124214815p:plain サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:〇

スキャンした URL やそのリンク先が BlackList に登録されている値にリダイレクトされるかどうかを判定しているようです。ファイル単位で解析してくれるので判定理由が明確です。

Phishtank(https://www.phishtank.com/index.php

f:id:k1z3:20191126005708p:plain サインイン:不要(検索は必要)、10分メール:〇、オンデマンド解析:×、リンク解析:×

Phishing サイト情報に特化しています。スクリーンショットを確認できるのでアクセスせずともある程度のサイト概要をつかむことができます。なお、登録しないと詳細が見れません。

URLhaus/Spamhaus(https://urlhaus.abuse.ch/browse/

f:id:k1z3:20191126010414p:plain サインイン:不要(検索は必要)、10分メール:×、オンデマンド解析:×、リンク解析:×

タグでどんなマルウェアがホストされているのかを確認することができます。検索には twitter 連携が必要です。

StopBadware(https://www.stopbadware.org/clearinghouse/search

f:id:k1z3:20191126012805p:plain サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

ブラックリスト入りしている場合はいつリストに入ったのかがわかるようになっています。

ZeroCERT(https://zerocert.org/https://center.zerocert.org/safeguard/

f:id:k1z3:20191126012053p:plain サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:×

スクリーンショットの取得やファイル情報など便利な機能はついている印象。様々なスキャンエンジンへのリンクが References として表示されるので便利でした。

NotMining(https://notmining.es/

f:id:k1z3:20191126013138p:plain サインイン:不要、10分メール:-、オンデマンド解析:〇、リンク解析:×

マイニングスクリプトが仕掛けられているかどうかを確認することができます。

VT の結果と情報量が変わらないスキャンエンジン

Fortinet(https://fortiguard.com/webfilter

f:id:k1z3:20191124200620p:plain サインイン:不要、10分メール:-、リンク解析:×

FortiGuard の判定理由を確認することができます。どのファイルが悪いのかは出ず、カテゴリの判定のみとなります。判定されたカテゴリは VirusTotal で確認できるものと同じなので、あえてこのスキャナで検索するのはスクリーンショット目当てかカテゴリ説明の記述を確認するとき、もしくは使用しているセンサ(FortiGuard)が検知できるかを確認する時でしょう。

Google Safebrowsing(https://transparencyreport.google.com/safe-browsing/search

f:id:k1z3:20191124200713p:plain サインイン:不要、10分メール:-、リンク解析:×

Chrome などで危険なサイトをブラウジングしているとたまに出る赤い警告画面の情報元です。ただ、情報が常に同期されているわけではないようで、VT の結果が Clean でもこちらで確認すると Malicious 判定となる場合があるため注意が必要です。そういう意味では VT の結果と違う場合があるので確認する価値があります。

Web Security Guard(http://www.websecurityguard.com/

f:id:k1z3:20191124215310p:plain サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

Kasperskyhttps://virusdesk.kaspersky.com/

f:id:k1z3:20191126010921p:plain サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

指定した URL のファイルが Malicious かどうかを確認するだけです。

malwares.com URL checker(https://www.malwares.com/

サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

VT の結果をパースして表示しているだけの気がします。。。

Netcrafthttps://searchdns.netcraft.com/

サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

ブラックリストを提供しているスキャンエンジン

ブラックリストとしてリストを提供しているサイトは以下の通りとなります。次に紹介するのはリストの中でも多少の不可情報とともに表示してくれているものです。

CLEAN MX(https://support.clean-mx.com/clean-mx/phishing.php

サインイン:不要(検索に必要)、10分メール:×、オンデマンド解析:×、リンク解析:×

VX Vault(http://vxvault.net/

サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

Malware Domain Blocklist(https://www.malwaredomains.com/?page_id=66

サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

Malwared(https://malwared.malwaremustdie.org/db/fulllist.php

サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

MalwareDomainList(https://www.malwaredomainlist.com/mdl.php

サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

OpenPhish(https://openphish.com/feed.txt

サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

Malc0de database(http://malc0de.com/database/

サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

Malwarebytes hpHosts(https://hosts-file.net/?s=Browse

サインイン:不要、10分メール:-、オンデマンド解析:×、リンク解析:×

ダッシュボードを提供しているもの

BADWARE(https://badware.info/

サインイン:要、10分メール:可、オンデマンド解析:×、リンク解析:×

サインイン後はスキャンできるようになるが結果を表示させる方法が不明

Blueliv(https://trial.blueliv.com/sign_up

サインイン:要、10分メール:可、オンデマンド解析:×、リンク解析:×

URLの調査に必要な機能はない印象

Comodo Site Inspector(https://login.cwatch.comodo.com/login

サインイン:要、10分メール:可、オンデマンド解析:×、リンク解析:×

フリーの場合は1サイトのみ登録可能でいくつかのスキャンができるが、とにかく動作の安定感がない印象。

VT の URL スキャンにはないエンジンだが有益なもの

以下は VirusTotal の URL の判定をした時に利用されるスキャンエンジンではありませんが、知っておくと便利なメジャーなセキュリティベンダのスキャンエンジンです。いずれも無料で使用することができます。

Norton Safe Web(https://safeweb.norton.com/

f:id:k1z3:20191128002842p:plain

BlueCoat SiteReview(https://sitereview.bluecoat.com/

f:id:k1z3:20191128002946p:plain

カテゴリ判定をしてくれます。

TrendMicro Site Safety Center(https://global.sitesafety.trendmicro.com/

f:id:k1z3:20191128003041p:plain

McAfee Threat Center(https://www.mcafee.com/enterprise/en-sg/threat-center.html

f:id:k1z3:20191128003142p:plain

サイト中段に検索ボックスがあります。