Recorded Future Sandbox にファイルまたは URL を送信する場合、分析プロセスを最大限に活用するために活用できるさまざまな構成オプションがあります。特にファイルの場合、より重要な例の 1 つは、ファイルの実行に使用されるコマンドを構成する機能です。この機能は、ファイルの最初の送信後、プラットフォームが仮想マシン分析の静的レポート、ファイル ツリー、および構成オプションを表示したときに使用できます。ファイル ツリー内の関連エントリの横にあるコマンド ライン アイコンをクリックするだけで、テキスト フィールドが開きます。
ここでカスタム引数が追加されていない場合、サンドボックスはターゲットのファイル タイプに基づいてデフォルトのコマンドを選択します。たとえばDLLはregsvr32.exe [filename.dll]で実行できます。またはrundll32.exe [ファイル名.dll],#1サンドボックスがファイル内で検出したコンテンツの種類によって異なります。
ただし、特に DLL の場合、このようなデフォルトのエントリ ポイントを使用してもファイルを実行できない場合があります。ファイルがドロッパーによって展開される第 2 段階のペイロードとして意図されている場合、サンドボックスが自動的に予測できないカスタム オプションが含まれている可能性があるため、これらのコマンド ラインを独自のニーズに合わせて変更できる柔軟性を提供することが重要です。
サンドボックス内でこの機能を使用するには、主に 2 つの方法があります。
1. デフォルトオプションにパラメータを追加する
プレーンテキスト文字列をコマンドライン引数フィールドに追加すると、サンドボックスで使用されるデフォルトのコマンドの末尾に追加されます。これは、実行可能ファイルが正しく動作するために特定のパラメータが必要な場合に役立ちます。たとえば、2022 年に出現した Royal ランサムウェアは、パラメータ-idとそれに続く 32 桁の値が指定されている場合にのみ暗号化を実行します。下の画像は、これらの引数あり (左) となし (右) でトリガーされた動作シグネチャの違いを示しています。
2. デフォルトオプションを上書きする
既存のコマンドの末尾に引数を追加するだけでなく、デフォルトのオプションを完全に上書きする必要がある場合もあります。たとえば、DLL で別のエントリ ポイントを使用する必要がある場合、上記のように文字列を追加するだけでは機能しません。
これをサポートするために、サンドボックスには、送信されたサンプルの VM 内のファイルパスを表す変数%PAYLOAD%があります。有効な Windows DLL ハンドラーと組み合わせて使用すると、デフォルトの設定が完全に上書きされ、ファイルの起動時に新しいコマンド ラインが使用されます。
rundll32.exe %PAYLOAD% 、エントリポイント
たとえば、2021 年にGoogle のThreat分析グループがセキュリティ研究者を標的とした北朝鮮のキャンペーンの一環として強調した DLL には、この記事で説明した両方のアプローチを組み合わせた特定の要件があります。 サンドボックスで引数を一切指定せずに実行すると、ファイルは何も動作せず、1/10 のスコアを受け取ります (レポートへのリンク)。
しかし、ファイルを少し調べて実際のエントリ ポイントを解明すると、送信時に次のようなコマンド ライン引数が使用され、エントリ ポイントは「CMS_dataFinal」となり、追加の引数も指定する必要があることがわかります。
これにより、アクティビティが大幅に増加し、結果が 1/10 ではなく 8/10 になります。以下のスクリーンショットでは、 %PAYLOAD%変数が、仮想マシンに保存されているターゲット サンプル ファイルへの完全なパスに拡張される様子を確認できます (レポートへのリンク)。
