ReversingLabs

更新

この記事では、ReversingLabs のIntelligence Card Extensionについて説明します。フィードバックや改善のアイデアは大歓迎です。https ://ideas.recordedfuture.comから送信できます。

 

ReversingLabsについて

ReversingLabsは、高度なサイバー脅威の検知と分析のための画期的なソリューションを提供するプロバイダーです。

ハッシュIntelligence Cardの拡張

2017 年にRecorded Futureと ReversingLabs の間で確立されたパートナーシップを通じて、すべてのRecorded Futureクライアントは Hash Intelligence Cardに関する以下の情報にアクセスできます。

  • ファイルの評判
  • サンプルファイルの統計情報(該当する場合はマルウェアファミリーを含む)
  • ファイルのその他のハッシュ(例:SHA1、SHA256、SHA512、MD5)

拡張機能はインテリジェンス カードの上部近くに表示され、「Hash Data Powered by ReversingLabs」と呼ばれます。

スクリーンショット_2018-06-13_at_1.12.50_PM.png
ReversingLabsのサブスクリプションを別途お持ちのお客様は、追加情報を含むReversingLabs拡張機能の商用アクセス限定バージョンを有効にすることもできます。この拡張機能の有効化にご興味がある場合は、 Intelligence Cardの使い方」ページをご覧ください。

制限付き特権による商用アクセス 認証情報:

  • ReversingLabsハッシュアルゴリズム(RHA)によって決定された類似ファイルのSHA1ハッシュ
  • ウイルス対策(AV)スキャナの概要と詳細な結果
  • ReversingLabsの高度なThreat分析ポータルへのリンク
  • マルウェアファミリーに関連する脅威アクター

例( 40f1b160b88ff98934017f3f1e7879a5の検索から):

スクリーンショット_2018-06-13_at_12.48.55_PM.png

完全特権による商用アクセス 認証情報:

ReversingLabs の完全な権限を持つ商用拡張機能の認証情報には、限定された権限を持つ Reversing Labs の拡張機能の認証情報に対する追加情報が含まれます

  • 関連するマルウェア ファミリーの最近のハッシュは、最初に確認された日付に基づいて並べ替えられています。
  • Recorded FutureデータとReversingLabsデータからの広範な脅威アクターマッピング

例( 40f1b160b88ff98934017f3f1e7879a5の検索より):

スクリーンショット_2018-06-13_at_12.12.33_PM.png

どちらの場合も、 Recorded Futureでは、ReversingLabs の応答の次の要素に基づいてピボットできます。

  • ファイルハッシュ
  • マルウェアファミリー名
  • 脅威アクター名

マルウェアIntelligence Card拡張

マルウェアに関する ReversingLabs のThreat Intelligenceには、ReversingLabs に対する完全な権限を持つクライアントがマルウェアIntelligence Cardでアクセスできます。 クライアントは次の情報にアクセスできます。

  • 情報収集の時間範囲
  • マルウェアが属するカテゴリ
  • 最近および以前の検知と追加情報:
  • Recorded FutureデータとReversingLabsデータからの広範な脅威アクターマッピング
  • ReversingLabsの高度なThreat分析ポータルへのリンク

例(PlugXでの検索より):

スクリーンショット_2018-06-13_at_12.14.15_PM.png

Recorded Futureでは、ReversingLabs の応答の次の要素に基づいてピボットできます。

  • ファイルハッシュ
  • 脅威アクター名

IPアドレスとドメインIntelligence Cardの拡張

ReversingLabs の次のThreat Intelligenceを使用して、任意の IP アドレスおよびドメインIntelligence Card強化できます。

  • 指定されたIPアドレスまたはドメインにリンクされたSHA-1ファイルハッシュ

Recorded Futureでは、ReversingLabs の応答の次の要素に基づいてピボットできます。

  • ファイルハッシュ

例 (127.0.0.1 での検索から):

Vulnerability API権限にアクセスできるクライアント

クライアントは、ReversingLabs からの次の情報を使用してVulnerability Intelligenceカードを充実させることもできます。

  • 脆弱性を含む最近のファイルハッシュ
  • 過去4週間のスキャナー結果

例 (CVE-2017-11882 より):

スクリーンショット_2019-05-23_at_12.19.48_PM.pngスクリーンショット_2019-05-23_at_12.20.25_PM.png

 

その他のリソース

ReversingLabsの商用拡張機能は、制限された権限と完全な権限を持つ異なるAPIエンドポイントにアクセスします。

  • 限定的な権限
    • TCA-0101 ファイル評判 (マルウェアの存在)
    • TCA-0103 履歴スキャン記録 (Xref)
    • TCA-0301 RHAの機能類似性
    • TCA-0401 URIからハッシュ検索(指定されたURIに関連付けられたファイルハッシュのリスト)
  • 完全な権限
    • TCA-0101 ファイル評判 (マルウェアの存在)
    • TCA-0103 履歴スキャン記録 (Xref)
    • TCA-0301 RHAの機能類似性
    • TCA-0304 マルウェアファミリー検索(入力文字列に基づいてハッシュのリストを返す)
    • TCA-0312 APTインジケーター検索(APTツールまたはアクターに属する新しいマルウェアハッシュを返します)
    • TCA-0313 金融サービス指標検索
    • TCA-0314 小売業指標検索
    • TCA-0315 Ransomware検索
    • TCA-0316 CVE検索
    • TCA-0401 URIからハッシュ検索(指定されたURIに関連付けられたファイルハッシュのリスト)
  • Vulnerability権限
    • TCA-0311 垂直統計フィード
    • TCA-0316 垂直フィード検索

ReversingLabs Overview : https://www.youtube.com/watch?v=CCqMB5o EQTQ
ReversingLabs ハッシュアルゴリズム: https://www.youtube.com/watch?v=oizsQIF0YZU

This content is confidential. Do not distribute or download content in a manner that violates your Recorded Future license agreement. Sharing this content outside of licensed Recorded Future users constitutes a breach of the terms and/or agreement and shall be considered a breach by your organization.
この記事は役に立ちましたか?
4人中4人がこの記事が役に立ったと言っています

このセクションの記事

もっと見る