Recorded Future ブラウザ拡張機能を使用すると、サンドボックスのデトネーションから抽出された観測可能なデータに関する追加のコンテキストを取得し、サンプルの動作と悪意を調査できます。
前提条件
- Recorded Future ブラウザ拡張機能をダウンロード ( Chrome 、 Firefox 、 Edge )
-
SecOpsおよびThreat Intelligenceモジュールへのアクセス
- これはパート3にのみ適用されます
パート1:セットアップ
ステップ1
設定で、「ページ内のリスクスコアを表示」のトグルがオンになっていることを確認します。
ステップ2
次に、「詳細オプション」で、「低以上」のページ内スコアを表示するように選択します。
パート2:サンドボックスデトネーションにおけるIOCの特定
ステップ3
Recorded Future サンドボックスで、実行されたサンプルの概要ページから、悪意があると検出された特定の VM レポートに移動します。
ステップ4
ここから、ブラウザ拡張機能は問題のファイルのハッシュ値の以前の出現を検出する可能性があり、ポータルに移動して調査することができます。
*Recorded Future が持つハッシュの参照はデトネーションのみである可能性が高いため、拡張機能からインラインで取得される悪意のあるスコアは、確認している送信内容からのものである可能性が高いことに注意してください。
この例では、サンドボックスが PowerShell によるネットワーク リクエストを検出したことがわかります。これはこのプロセスの典型的な動作ではなく、悪意の兆候である可能性があります。
ステップ5
レポートの「ネットワーク」セクションまで下にスクロールして詳細を確認します。ここで、Powershell がロシアベースの IP にリクエストを送信し、いくつかの興味深いリスク ルール (最近疑わしい C&C サーバー) がトリガーされていることがわかります。
パート3:IPの調査
注: Recorded Future ポータルにアクセスできない場合は、独自のセキュリティ ツールで IP を調査してください。
ステップ6
ここで、ブラウザ拡張機能からポータルのIntelligence Cardに切り替えます。
この例では、この IP は、Recorded Future リスク ルールと技術リンクの両方を使用して、過去に Qakbot C&C サーバーとして検出されています。また、爆発のネットワークトラフィックで検出された他のIPの1つ(
) は以前にも Qakbot IP として検出されていました。
ステップ7
この IP の参照を調べてみると、6 月 8 日に Network Intelligence によって Qakbot C2 として検出されたことがわかります。
ステップ8
PowerShell はQakbot Intelligence Cardで攻撃ベクトルとして挙げられていますが、サンドボックスの攻撃でTTPsとしても挙げられている Qakbot と Powershell および System Information Discovery の他のインスタンスを照会することもできます。