ANY.RUN の最新 Sandbox:インタラクションを自動化する高度なメカニズムとは?

ANY.RUN Sandbox Now Automates Interactive Analysis of Complex Cyber Attack Chains

2024/11/20 HackRead — ANY.RUN が発表したのは、自動インタラクション機能内の高度なメカニズムである、Smart Content Analysis リリースである。このメカニズムを搭載するサービスにより、複雑なマルウェア/フィッシング攻撃を自動的に実行できるようになり、ユーザーによる調査は迅速化され、悪意の動作に関する詳細な洞察の取得が容易になる。

Smart Content Analysis について

Smart Content Analysis とは、ユーザーの介入を必要とすることなく、ANY.RUN サンドボックスにおける多段階のサイバー攻撃を実行するメカニズムのことである。そのためのシナリオは、以下の3つの主要な手順で実行される。

  • アップロードされたファイルに対するスキャンにより、URL やメール添付ファイルといった重要なコンポーネントを見つけ出す。
  • QR コードに埋め込まれた URL や、セキュリティ・フィルターによって書き換えられた URL などの、攻撃を前進させるための重要なコンポーネントを特定する。
  • ブラウザーによる URL のオープンや、メール・アーカイブの添付ファイルに存在するペイロードの実行により、その後に発生する動作を観察し、制御された環境において悪意のコンテンツに対処する。
Automated Interactivity toggle inside ANY.RUN sandbox 
自動インタラクションによる多段階攻撃の起爆

この最新アップグレードにより、ANY.RUN のサンドボックスは、複雑なサイバー攻撃の各段階で発見される、以下のコンテンツを自動的に実行していく:

  • QR コード内の URL
  • 変更されたリンク
  • 多段階リダイレクト
  • 電子メールの添付ファイル
  • アーカイブを取り込んだペイロード

自動インタラクションで分析された、以下の多段階フィッシング攻撃について考えていこう。

The phishing email analyzed with Automated Interactivity 

このシステムは、ユーザーが Outlook 経由で送信した .eml ファイルを自動的に開き、PDF 添付ファイルを検出し、その内容をスキャンする。

The static analysis module in ANY.RUN sandbox reveals the link hidden in the QR 

PDF 内で QR コードを識別し、そこに埋め込まれた URL を即座に抽出し、ブラウザーでオープンする。

ANY.RUN sandbox automatically solving CAPTCHA challenges 

検出を回避するために多用される CAPTCHA チャレンジに直面した場合であっても、この機能により解決され、攻撃の次の段階へと進んでいく。

The final phishing page designed to steal victims’ credentials 

最終的に、対象となるフィッシング・ページへと正常に到達し、攻撃の完全な検出を達成できる。それに加えて、収集した脅威に関する、追加のコンテキストも提供される。

新しい脅威への適応

ANY.RUN の Smart Content Analysis は、変化する脅威の状況に適応するよう、適切に構築されている。ANY.RUN の脅威調査チームから定期的に提供される攻撃シナリオの更新により、システムは新しい攻撃方法に合わせて調整され、最高の回避力を示す最新の脅威にも対処できる。

Smart Content Analysis による探索

この自動化されたインタラクションにより、セキュリティ専門家たちは、脅威の調査を合理化し、改善していける。

手作業による労力の軽減:無駄なクリックがなくなる。このサンドボックスにより、反復的なアクションが処理されるため、全体像への集中が可能になる。

深層における迅速な洞察:隠れた脅威の層を明らかにするシミュレーションにより、表面的な検出を超える結果が提供される。

迅速な分析:単純なフィッシング・リンクから、階層化された攻撃チェーンにいたるまでの、自動化が高速で実行されるため、分析が加速する。

ANY.RUN のインタラクティブ・サンドボックスに関しては、14日間の無料トライアルが提供されている。ユーザーは、それをリクエストすることで、自動インタラクティブ機能を無料で試すことが可能になる。

𝐀𝐍𝐘.𝐑𝐔𝐍 について

Windows/Linux 環境をターゲットとして、マルウェア分析用のインタラクティブ・プラットフォームを提供する ANY.RUN は、世界中の 500,000 人を超えるサイバー・セキュリティ専門家たちにサービスを提供している。TI Lookup/YARA Search/Feeds などの、高度な脅威インテリジェンス・ツールにより、ANY.RUN はインシデント対応を強化し、サイバー脅威に効果的に対抗するための、重要なデータをアナリストたちに提供している。

侵害の経路を自動トラッキングして、マルウェア分析の効率を高めようとする ANY.RUN です。たしかに、このあたりの処理が自動化されると、研究者の時間と労力が浪費されずに済みますね。よろしければ、2022/09/14 の「マルウェアを解析する:ANY.RUN サンドボックスを用いたハンティングの流れとは?」も、ご参照ください。