Recorded Future Sandbox - サンプル提出

Recorded Futureのマルウェア分析サンドボックスは、大容量の機能を備え、マルウェア構成の抽出をサポートし、 Threat Intelligenceによって分析を自動的に強化するため、脅威を迅速に検出して対処できます。

• 安全でカスタマイズ可能な環境でマルウェアを迅速に分析
• より大きく、より速く、よりカスタマイズ可能
• 収集、IOC、コンテキストを強化し、 Intelligence Graphによって作成されたモジュールとキュレーションされたインテリジェンスの機能を充実させます。

概要

• 従来のマルウェア分析機能より3倍高速
• Windows、Linux、Android、macOS のファイル、URL、コード分析
• 大容量ファイルとアーカイブの分析をサポート
• ネットワークシミュレーションオプション
• 大規模な送信を自動化するための API アクセス

技術的特徴

• 350以上の一般的な家族の分類
• カスタム x86 静的エミュレーション
• TLS/SSL復号化
• PCAP、ドロップされたファイル、メモリダンプへのアクセス
• ユーザーが送信したYARAルールのサポート
• ライブVMインタラクション

使用制限

マルウェアサンドボックスへの送信は1日あたり1,000件までに制限されています。この1日あたりのクォータは月単位で適用され、月ごとに10%の超過が猶予されます。月間超過量の10%を超える場合を除き、サービスは停止されず、超過分は自動的に請求されません。

Recorded Futureサンドボックスポータル

Recorded Future ポータルのトップメニューから Recorded Future Sandbox にアクセスできます。

分析のためにファイルを送信する

サンドボックス ポータル ダッシュボードから、送信オプションをクリックします。

[参照] をクリックし、システム ファイル ブラウザーからファイルを選択するか、ファイルを専用セクションにドラッグ アンド ドロップします。

ファイルを選択すると、パスワードを入力するオプションが表示されます。ファイルがパスワードで保護されている場合、分析エンジンはパスワードを使用してファイルの内容にアクセスします。

送信プロセスを完了するには「送信」をクリックし、プロセスをキャンセルするには「クリア」をクリックします。

操作が完了し、ファイルがアップロードされると、分析構成画面が表示されます。

このステップではいくつかのオプションが利用できます。

ファイルツリー- 前のステップでアップロードされたすべてのファイル（アーカイブの内容を含む）のリストが表示されます。分析に含めるファイルをすべて選択してください。1つの分析ジョブで選択できるファイルは最大32個です。サポートされているすべてのファイルタイプの詳細については、こちらをご覧ください。

コマンドライン引数を追加- 分析可能な各ファイルをコマンドライン引数とともに実行できるようになります。このオプションを有効にするには、「コマンドラインを追加」ボタンをクリックしてください。（注：コマンドライン引数は、動的分析に使用するオペレーティングシステムによって異なる場合があります。）

プロファイル- マルウェア分析に使用する設定をプラットフォームが決定する「自動」プロファイルを含む、分析に使用できるすべてのプロファイルのリストを提供します。

静的- 送信されたファイルの静的分析結果を表示する画面へのピボットを有効にします。

ユーザーは、画面の右上隅にある「カスタマイズ」タブを選択して、動的解析が実行される環境の完全な構成を実行できるビューを有効にすることができます。

このニュース設定画面には、次のオプションがあります。

• プラットフォーム- 動的解析を実行するために選択できるすべてのオペレーティング システムの一覧を提供します。デフォルトでは「自動」オプションが選択されており、分析を実行するのに最適なオペレーティング システムをシステムが自動で識別できるようになります。注意：場合によっては、「自動」オプションを選択すると、サンドボックスが複数のオペレーティング システムで動的解析を実行することがあります。
• 言語- 動的解析が実行されるオペレーティング システムで使用されるデフォルトの言語とキーボードを選択できます。
• タイムアウト- 分析の期間を設定します。デフォルトでは、タイムアウトは 2.5 分に設定されています。
• ブラウザ- 動的分析に選択できるすべてのブラウザ（Google Chrome、Mozilla Firefox、Internet Explorer 11、Microsoft Edge）のリストを表示します。前のセクションで選択したオペレーティング システムのデフォルトのブラウザーで分析を実行するオプション (デフォルトで事前選択されています) もあります。
• インターネット アクセス- 動的解析が実行されるオペレーティング システムのインターネット接続/アクセスの種類を設定します。次のオプションが利用可能です。
  • オン - 動的解析中に完全なインターネットアクセスが提供されます
  • オフ - 動的解析中はインターネットアクセスは提供されません
  • Tor - 動的解析中のインターネットアクセスはTorネットワークを経由してルーティングされます
  • 200 - 動的解析中にインターネットに接続すると、リクエストが成功したことを示す200 (OK) ステータス コードが返されます。
  • 404 - 動的解析中にインターネットに接続した場合、オリジンサーバーがターゲットリソースの現在の表現を見つけられなかったか、または存在することを開示したくないことを示す404 (Not Found) ステータスコードが返されます。
  • DNS 無効 - 動的分析中にインターネット アクセスは提供されますが、DNS は無効になります。これにより、ドメイン名の解決が無効になり、IP アドレスに基づいてのみインターネット経由のアクセスが可能になります。
  • VPN - このオプションの下の地図を使用して地理位置情報の選択を有効にするには、これを選択します。分析 VM からのすべてのトラフィックを、サンドボックスがホストされているリージョンとは異なるリージョンにルーティングできるようにします。現在、EU および米国のエンドポイントをサポートしています。

デフォルト設定を変更せずに設定が完了したら、「分析」ボタンをクリックして動的分析を開始できます。

「分析」ボタンを押すとすぐにライブ モニター セッションにリダイレクトされ、選択されたオペレーティング システム (手動または自動) で実行されている分析をライブで視聴したり操作したりすることができます。

複数のセッションが開始された場合 (たとえば、複数のオペレーティング システムで分析を実行する自動オプションによって)、画面の左側にリストされているアクティブ セッションのいずれかをクリックするか、右上隅にある各アクティブ セッションに対応するタブをクリックすることで、アクティブ セッション間を切り替えることができます。

ポータルでは、各セッションについて、セッションの長さ、セッションに提供されたオペレーティング システム、タスクの種類に関する情報が表示されます (例: 動作は、動的分析を実行するセッションまたはサンプルの動作を指します)。

セッションがアクティブな間 (時間は分析タスクの構成中に行われた選択によって異なります)、次のアクションを実行できます。

• 分析の延長 - 分析に割り当てられた時間を1分単位で延長します

• 終了 - 行動/動的解析タスクを終了します

• マウスのシミュレーション - 動的/動作分析タスク中にオペレーティングシステム内でマウス操作をシミュレートします。

分析タスクが完了すると、分析レポートにアクセスするオプションが表示されます。

分析のためにURLを送信する

サンドボックス ポータル ダッシュボードから、送信オプションをクリックします。

専用セクションに URL を入力/貼り付けます:

URL を挿入したら、次のオプションをクリックできるようになります。

• URL: ブラウザで開かれる URL を直接分析します。
• フェッチ: ファイルを取得し、サンドボックス内でファイルを実行します。
  
  • 注意: フェッチは、アドレスからファイルを直接ダウンロードできる場合にのみ機能します。リダイレクトなどがある場合は機能しません。
• パブリックからのインポート: これを使用すると、サンプル ID または tria.ge リンクに基づいて分析を行うことができます。

以前挿入した URL を分析したいので、URL ボタンをクリックします。

完全な分析を開始する前に、静的分析結果（スコアとタグを含む）のプレビューが、分析を開始するオプション（「分析」ボタンを押す）または分析を削除するオプション（「分析を削除」ボタンを押す）とともに表示されます。

同じウィンドウで、分析が実行される仮想マシンをカスタマイズするためのオプションがユーザーに表示されます。

このステップではいくつかのオプションが利用できます。

プラットフォーム- 動的解析の実行に選択可能なすべてのオペレーティングシステムの一覧を表示します。デフォルトでは「自動」オプションが選択されており、解析実行に最適なオペレーティングシステムがシステムによって自動的に特定されます。ただし、「自動」オプションを選択した場合でも、サンドボックスは複数のオペレーティングシステムで動的解析を実行する場合があります。

言語- 動的解析が実行されるオペレーティング システムで使用されるデフォルトの言語とキーボードを選択できます。

インターネットアクセス- 動的解析を実行するオペレーティングシステムのインターネット接続/アクセスの種類を設定します。以下のオプションが利用可能です。

• オン - 動的解析中に完全なインターネットアクセスが提供されます
• オフ - 動的解析中はインターネットアクセスは提供されません
• Tor - 動的解析中のインターネットアクセスはTorネットワークを経由してルーティングされます
• 200 - 動的解析中にインターネットに接続すると、 リクエストが成功したことを示す 200 (OK) ステータス コード が返されます。
• 404 - 動的解析中にインターネットに接続した場合、オリジンサーバーがターゲットリソースの現在の表現を見つけられなかったか、または存在することを開示したくないことを示す404 (Not Found) ステータスコードが返されます。
• DNS 無効 - 動的分析中にインターネット アクセスは提供されますが、DNS は無効になります。これにより、ドメイン名の解決が無効になり、IP アドレスに基づいてのみインターネット経由のアクセスが可能になります。

タイムアウト- 分析の継続時間を設定します。デフォルトでは、タイムアウトは2.5分に設定されています。

ブラウザ- 動的解析に選択可能なすべてのブラウザ（Google Chrome、Mozilla Firefox、Internet Explorer 11、Microsoft Edge）の一覧が表示されます。また、前のセクションで選択したオペレーティングシステムのデフォルトブラウザで解析を実行するオプション（デフォルトで選択されています）もあります。

デフォルト設定を変更せずに設定が完了したら、「分析」ボタンをクリックして動的分析を開始できます。

「分析」ボタンを押すとすぐにライブ モニター セッションにリダイレクトされ、選択されたオペレーティング システム (手動または自動) で実行されている分析をライブで視聴したり操作したりすることができます。

複数のセッションが開始された場合 (たとえば、複数のオペレーティング システムで分析を実行する自動オプションによって)、画面の左側にリストされているアクティブ セッションのいずれかをクリックするか、右上隅にある各アクティブ セッションに対応するタブをクリックすることで、アクティブ セッション間を切り替えることができます。

ポータルでは、各セッションについて、セッションの長さ、セッションに提供されたオペレーティング システム、タスクの種類に関する情報が表示されます (例: 動作は、動的分析を実行するセッションまたはサンプルの動作を指します)。

 

セッションがアクティブな間 (時間は分析タスクの構成中に行われた選択によって異なります)、次のアクションを実行できます。

• 分析の延長 - 分析に割り当てられた時間を1分単位で延長します

• 終了 - 行動/動的解析タスクを終了します

• マウスのシミュレーション - 動的/動作分析タスク中にオペレーティングシステム内でマウス操作をシミュレートします。

分析タスクが完了すると、分析レポートにアクセスするオプションが表示されます。レポートの読み方の詳細については、この記事をご覧ください。