Recorded Future Sandbox は電子メールを直接分析し、添付ファイルと URL をすばやく抽出して仮想マシン (VM) で実行できます。ただし、そのメカニズムは他の場所で見られるものとは少し異なる可能性があります。この記事では、この機能の仕組みと、機能を最大限に活用する方法について詳しく説明します。
メールのアップロード
メールは.eml形式で送信できますおよび.msgフォーマット。これらは実質的に、電子メールのテキストと添付ファイルおよびその他のデータを含むアーカイブ ファイルです。サンドボックスはそれらを.zipと同じように扱い、抽出します。静的解析フェーズでは、同様の形式が使用されます。
次の例では、メールにはリンクが埋め込まれた短いテキストと、Word文書と.zipの2つの添付ファイルが含まれています。Excel ドキュメントを含むファイル。
アップロードされると、すべての添付ファイルが構成ページのファイル ツリー セクションに表示されます。デフォルトでは、サンドボックスは動作分析の恩恵を受ける可能性のあるファイルを自動的に選択し、サポートされているファイル形式のリストに表示されます (詳細については、こちらのドキュメントをご覧ください)。
添付ファイルの選択
上記のスクリーンショットのファイル ツリー セクションを見ると、注意すべき点がいくつかあります。
- .docxと.xlsxはサポートされているファイルタイプなので、VMの動作分析ではこれらが自動的に選択されます。
- メールのテキストコンテンツは.txtとして保存されますアーカイブ内のファイル。.txtは動作分析ではサポートされていないため、選択されません。
- .emlと.zipアーカイブ形式であり、実際のコンテンツをラップするだけなので、動作分析の段階では選択されません。
- URLが抽出され、右側に個別に表示されます
自動ファイル選択を手動で上書きすることは可能ですが、関連するソフトウェアがインストールされていないため、サポートされていないファイルタイプは VM 内で期待どおりに反応しない可能性があることに注意してください。最適なサンドボックス エクスペリエンスを得るには、動作分析用に自動的に選択されたファイルのみを送信します。
重要事項: .emlファイルの送信ファイルを動作分析に使用しても、有用な結果は得られません。最良の結果を得るには、添付ファイルと URL を直接選択する必要があります。
API
送信 API は、電子メールでも.zipなどの他のアーカイブ ファイルと同じように機能します。添付ファイルは上記のように抽出および選択され、デフォルト設定(インタラクティブフラグがfalseに設定されている)では、関連するファイルごとに動作分析が自動的に起動され、それ以上の手順は必要ありません。
API 経由でサンプルを送信する方法に関するドキュメントと例は、こちらから入手できます。
URLの選択
上のスクリーンショットに戻ると、電子メールに埋め込まれた URL が抽出され、右側のセクションに表示されます。
動作分析のために URL を送信するには、その横にある「分析」ボタンをクリックします。これにより、そのリンクの新しい URL 送信が開始され、ファイル分析とは別に構成オプションを選択できます (たとえば、Tor ネットワークを有効にするなど)。
この方法で選択しない限り、URL は自動的に選択されず、分析のために送信されません。
API
抽出された URL は分析の静的レポートに表示され、新しいリクエストを介して URL 分析として再送信できます。
プロセスは次のようになります。
ステップ1. .emlを送信するサンドボックスへのファイル
リクエスト:
curl -H '認証: Bearer <API_KEY>' -F 'file=@./eml_example.eml'
-F 'インタラクティブ=true' https://tria.ge/api/v0/samples
応答:
{"id":"250212-mslr9azrbv","status":"pending","kind":"file","filename":
"eml_example.eml","送信日時":"2025-02-12T10:43:42Z"}
上記のリクエスト内のインタラクティブフラグに注意してください。電子メール内の URL のみを確認し、添付ファイルについては考慮しない場合は、このフラグにより、見つかったファイルに対してすぐに分析タスクをスケジュールするのではなく、サンドボックスは静的分析の後に停止して待機します。必要に応じて、上記の例ではこれを省略できます。
ステップ2: 静的解析レポートを取得する
リクエスト:
curl -H '認証: Bearer <API_KEY>'
https://tria.ge/api/v0/samples/250212-mslr9azrbv/reports/static| jq
-r .files[0].metadata.urls
応答:
[
「https://hatching.io/blog/#category=all」
]
ここでは、ステップ 1 で返された ID 値を使用して静的分析レポートを取得し、 jqコマンドを使用して URL フィールドのみをフィルターします。
分析には複数のファイルが含まれる場合がありますが、この場合、.eml/.msg ファイル自体はリスト内のインデックス 0 であるため、それを直接ターゲットにすることができます。ユースケースによっては、ファイル リスト全体を反復処理することが最適な場合があります。たとえば、PDF ファイルでは、静的分析中に URL が抽出されることもあるため、これにより、その情報ソースからのすべての URL が検出されます。
ステップ3: URL分析を送信する
リクエスト:
curl -H '認証: Bearer <API_KEY>' -F
'url=https://hatching.io/blog/#category=all'
https://tria.ge/api/v0/samples
応答:
{"id":"250212-mwgygawc2c","status":"pending","kind":"url","url":
「 https://hatching.io/blog/#category=all」、 「提出日」:「2025-02-12T10:48:44Z 」}
分析では、VM のデフォルト設定で URL が実行されるようになりました。ブラウザで URL にアクセスすると、分析をライブで表示したり、ライブ インタラクション機能にアクセスしたりできます。使用するサンドボックス インスタンスの URL の末尾に ID 値を追加するだけです (例: https://tria.ge/250212-mwgygawc2c)。