VT Graph とは

VTGraph は 2018年1月に発表された新しい機能で、VirusTotal でスキャンされた検体やドメイン、URL をノードで表現し、各ノードの関連を線でつなぎつながりを視覚的に分かるようにする機能です。類似のものでマルテゴが有名ですが、それを VirusTotal でスキャンされた各アイテムに特化したような機能です。マルテゴは VTGraph に SNS 間のつながりを持たせたより強力な OSINT ツールですが、そういった攻撃者のアトリビューションを調査する目的でなければ、VTGraph を使って検体のキャンペーン調査なども可能です。

また、マルテゴでもよくあるケースとしてノードが増えてくるとノード間を紐づける線が大量に必要になり、視認性が著しく落ちる、ということがあります。VTGraph ではノードのカテゴリごとにひとまとまりにまとまり、その中心にカテゴリを表すノードが表示されます。ノード間のつながりはカテゴリとつなげることにより極力つながりの線を減らしており、とても見やすいです。

URL やドメインの関連についてのおさらい

VirusTotal で検索された検体やドメイン、URLは検索される際に様々なメタ情報が抽出されます。同時にサンドボックスによる解析で検体からは埋め込まれた通信先情報やダウンロードされたURL、通信先のIPアドレスなど様々な情報が抽出され VirusTotal のデータベースに格納されます。この格納された情報を元に、例えば

検体の通信先 ⇒ その通信先のドメイン ⇒ そのドメインのパッシブDNS（過去に紐づけられたIPアドレス） ⇒ そのIPアドレスに紐づけられたドメイン ⇒ そのドメインのサブドメイン ⇒ そのサブドメインを使った URL ⇒ その URL からダウンロードされるマルウェア ⇒ そのマルウェアと似た特徴をもつほかのマルウェア

といったように、どんどん関連する情報をつなげていくことができます。

VirusTotal ではこの関連する情報は Relations タブで表示されます。もちろん、各アイテムの Relations を見ながら手動で追っていくことも可能ですが、VTGraph では各アイテムをダブルクリックするだけで自動で関連するノードを検索して表示してくれるため、非常に高速に関連情報をたどることができます。

VT Graph の使い方

まず VTGraph を使うための条件として、VirusTotal にアカウント登録する必要があります。無料のアカウントでも VTGraph を（機能は制限されますが）使用することができますので、少しでも VirusTotal を使う機会がある人はアカウント登録した方が良いでしょう。

さて、VTGraph の使い方ですが、一番よく使うのはファイルや URL、ドメインなどのアイテムを表示しているときに右上に表示されるボタンです。このボタンクリックで VTGraph が起動し、その時点で関連情報として取得可能なノードを表示してくれます（このタイミングでは孫引きはしないです）。

VTGraph が表示されたら深堀りしたいノードをダブルクリックすると、関連する項目が見つかればノードが増えていきます。表示できるのは各ノードを VirusTotal で表示したときに Related に出てくる情報です。例外的なのが URL で、VirusTotal で表示したときには Related は表示されないと思いますが、VTGraph でなら関連する項目が表示されます。

VirusTotal では関連を把握していない（Relatedに出てこない）けど、調査の中で関連性を見つけている項目を追加したい場合はどうすればよいでしょうか？この場合は左側のノード情報を表示する場所の追加ボタンからノードを追加することができます。追加できるノードはファイル（ハッシュ値で検索）、Url、ドメイン、IP アドレスで、追加すると点線で繋げられます。なお、ここで追加したノードは VTGraph で深堀りしたノードとは違いダブルクリックでの関連ノード検索は行われないので注意してください。