VirusTotal cheat sheet makes it easy to search for specific results
2022/12/20 BleepingComputer — VirusTotal が公開したチートシートは、このマルウェアの情報プラットフォーム上でクエリを作成するものであり、より具体的な検索結果を、研究者たちは得られるようになる。このチートシートは、検索結果の絞り込みに役立つファイル検索修飾子を、どのように組み合わせれば、特定のデータを検出できるのかを示している。
ターゲットを絞った検索
月曜日のブログ投稿で、Google の Security Engineer である Alexey Firsh は、このチートシートを使用方法を示している。具体的に言うと、特定のエンティティ/アクティビティのグループ/ドキュメント/ネットワーク/非 Windows マルウェアのサンプルなどに関連する、ファイル検索の方法を例示している。
特定の “entity” 検索修飾子を使用することで、IPアドレス/ドメイン/URL/ファイルなどに応じて、ファイルを検索できる。今後、この一式の修飾子に、VirusTotal のコレクションも追加される予定だという。
Firsh によると、脅威アクターを追跡する研究者たちは、各マルウェアのファミリー名/キャンペーン名と、VirusTotal 上のアンチウイルス・エンジンの評定を、組み合わせることができるとのことだ。この方法は、高度な攻撃者の検出に適しており、VirusTotal プラットフォームの各ユーザーによりキュレートされたコレクションから、関連データを検索できる。
クラウド・ソーシングのルール (YARA/IDS/Sigma) に基づいた絞り込みや、クエリとの混合検索も可能だ。
VirusTotal のチートシートでは、特定ベンダーの署名入りデータ/特定サーバからのメールに添付ファイルの有無を、ファイル検索修飾子でフィルタリングする実例を取り上げている。
Android/macOS/Symbian などの、Windows 以外の OS のファイルを検索するためのキーワードも使用できる。
Android のケースにおいては、オープンソースの Androguard ツールを用いてサンプルは処理され、コード文字列/マニフェスト・エンティティ/証明書署名などの、パッケージ内部の調査が可能になる。
新しい機能として、パッケージ名の明示的な検索がある。ただし、この機能が対応するのは、2022年3月以降にインデックスされたファイルに限定される。
現時点において、VirusTotal のチートシート (PDF) は僅か3ページだが、悪意のファイル/疑わしいファイルを検出するための、キーワードの組み合わせや、複数のカテゴリーを満載している。したがって、既知/未知のアクターによる操作とマルウェアを関連付ける場合や、新たに潜む脅威を発見するときの近道にもなる。
VirusTotal は、プラットフォーム上のインテリジェンス検索を、より簡単に、より素早く、絞り込んだかたちで実現する、新しいオプションでチートシートを更新していく予定だという。
VirusTotal の機能や使い勝手が、どんどんと良くなっているようですね。VirusTotal に関しては、2021年10月14日の「VirusTotal 調査:8,000万件のランサムウェアを分析してみた」や、12月11日の「VirusTotal Collections が登場:Indicators of Compromise (IoC) の共有を推進する」、2022年8月3日の「VirusTotal 報告:マルウェア攻撃で用いられる偽装の手口3パターンとは?」などがあります。
IoT OT Security News 
You must be logged in to post a comment.