概要
VirusTotal Enterprise (VirusTotal Premium Services) の一機能であるVirusTotal Intelligenceでは、大きく分けて以下の1〜3のことが可能です。本記事では、2つ目の「高度な検索」について解説します。
- ファイルアップロードによる悪性判定
- アップロードされたファイルは、自社以外の第三者の目に公開されます。
有償オプションサービスのPrivate Scanningで行うことで、完全にプライベートな環境でファイルを分析することが可能です。 - アップロードすることにより可能なことは以下の3つです。
- サンドボックス分析
- アンチウイルスソフトベンダーによる検知状況チェック
- その他
- アップロードされたファイルは、自社以外の第三者の目に公開されます。
- 高度な検索
- ファイル検索
- ハッシュ値による検索
- 修飾子による検索
- Content Search(VT Grep)による検索:ファイルに含まれるバイナリ、コード、文字列で検索することが可能。正規表現による検索もサポート。
- URL検索
- IPアドレス検索
- ドメイン検索
- ファイル検索
- ファイルのダウンロード
- 上記「2. 高度な検索」によりヒットしたファイルは、すべてダウンロードすることが可能です。
- 例えば、トレンドになっているマルウェアファミリーの検体をダウンロードし、IDA Proで解析を行うといったことも可能です。
「高度な検索」について
「高度な検索」では、装飾子を用いた検索と、装飾子を用いない(クエリビルダを用いた)検索の両方が可能ですが、装飾子を用いた検索の方がより複雑な検索が可能です。
「高度な検索」では、ファイル、URL、ドメイン、IPの検索などが可能ですが、そのうちファイル検索(装飾子を用いない)について説明します。
- ファイルの種類
実行ファイル、インターネット系ファイル、文書、画像、音声、動画、圧縮ファイル、Apple系ファイルが指定可能です。装飾子を用いた検索では、より細分化した詳細な検索が可能です。
例えば実行ファイルの場合、peexe, pedll, ne, neexe, nedll, mz, msi, com, coff, elf, krnl, rpm, linux, macho, dmg, windows, win16, win32, pe, installer, dos, deb が指定可能です。 - 悪性判定ベンダー数
- ファイルの最小サイズ
- ファイルの最大サイズ
- アンチウイルスソフトによる検知名(例:Trojan.Isbar)
- Behavior(サンドボックス)レポートに含まれる文字列(例:pexe、dmg、apks)
- メタデータに含まれる文字列
- 署名に含まれる文字列
- 検体がダウンロードされる時のURL に含まれる文字列
- ファイル名
- tag(VirusTotalによって付与されたタグ情報)
- 初めてアップロードされた日付
- 最後にアップロードされた日付
- アップロード回数
- アップロード元の数(1つのアップロード元が、複数回アップロードしていてもカウントは増えない)
- 署名の有無
- P2P C&C通信を行うファイルかどうか
- 「多数のドメインを解決しようと試みるものの、NXDOMAIN応答が多く返ってくる」という性質を持つファイルかどうか
- DGA(Domain Generate Algorithm)を用いて、C&Cドメインと通信するファイルかどうか
※DGAは、C&Cサーバーのドメインを頻繁に変更することにより、マルウェアからC&Cサーバーへのコールバックを隠蔽するための仕組みのこと。
装飾子による検索の絞り込み
「高度な検索」で用いることのできる装飾子は50以上存在しますが、その一例を取り上げます。
複数の装飾子を組み合わせて用いることで、検索したいファイルを絞り込みます。
なお、すべての装飾子とその説明については、このページを参照してください。また、ファイル検索修飾子 チートシート もあります。
装飾子の例
- la:日時範囲を指定することで、その日時範囲にVirusTotalで最後に解析されたファイルを返します。
【例】la:2012-08-21T16:00:00, la:2009-01-01T19:59:22-, la:2012-08-21T16:59:22+, la:2011-08-21T16:00:00+ la:2012-08-21T16:59:22- - children_positives(またはcp):ファイルの子ファイルの最大検出数に応じて、ファイルを返します。子ファイルのあるファイルとしては、アーカイブファイルやROMなどがあります。
【例】children_positives:10+, cp:5- - submitter:指定した国がファイルアップロード元になったファイルを返します。国の指定には、ISO 3166-1国名コードが用いられます。
【例】submitter:CN , submitter:web submitter:BR - first_submitter:指定した国が最初のファイルアップロード元になったファイルを返します。国の指定には、ISO 3166-1国名コードが用いられます。
- ssdeep:指定されたssdeepハッシュを持つファイルと類似したファイルをすべて返します。
【例】ssdeep:”24576:KrKqlGCPcJKwybUDwEZZODYmR9G+gnbkk6XRJfe3DqYO/KpLwFfngWX4VmJPakl:KrKo4ZwCOnYjVmJPaO”