Recorded Future のマルウェア分析サンドボックスには大容量の機能があり、安全でカスタマイズ可能な環境でマルウェアを迅速に分析できます。マルウェア構成の抽出をサポートし、脅威インテリジェンスによる分析を自動的に強化することで、脅威を迅速に検出し、対処できるようになります。
概要
- 従来のマルウェア分析機能より3倍高速
- Windows、Linux、Android、macOS のファイル、URL、コード分析
- 大容量ファイルとアーカイブの分析をサポート
- ネットワークシミュレーションオプション
- 大規模な送信を自動化するための API アクセス
技術的特徴
- 350以上の一般的な家族の分類
- カスタム x86 静的エミュレーション
- TLS/SSL復号化
- PCAP、ドロップされたファイル、メモリダンプへのアクセス
- ユーザーが送信したYARAルールのサポート
- ライブVMインタラクション
使用制限
マルウェアサンドボックスへの送信は1日あたり1,000件までに制限されています。この1日あたりのクォータは月単位で適用され、月ごとに10%の超過が猶予されます。月間超過量の10%を超える場合を除き、サービスは停止されず、超過分は自動的に請求されません。
Recorded Futureサンドボックスポータル
Recorded Future ポータルのトップメニューから Recorded Future Sandbox にアクセスできます。
分析のためにファイルを送信する
サンドボックスダッシュボードから送信オプションをクリックします。
[参照] をクリックし、システム ファイル ブラウザーからファイルを選択するか、ファイルを専用セクションにドラッグ アンド ドロップします。
ファイルを選択すると、パスワードを入力するオプションが表示されます。ファイルがパスワードで保護されている場合、分析エンジンはパスワードを使用してファイルの内容にアクセスします。
「送信」をクリックして送信プロセスを完了するか、「クリア」をクリックしてプロセスをキャンセルします。
操作が完了し、ファイルがアップロードされると、分析を構成できます。
このステップではいくつかのオプションが利用できます。
ファイルツリー- 前のステップでアップロードされたすべてのファイル(アーカイブの内容を含む)のリストです。分析に含めるファイルをすべて選択してください。1つの分析ジョブで選択できるファイルは最大32個です。サポートされているすべてのファイルタイプの詳細については、こちらをご覧ください。
コマンドライン引数を追加- 分析可能な各ファイルをコマンドライン引数とともに実行できます。このオプションを有効にするには、「コマンドラインを追加」ボタンをクリックしてください。(注: コマンドライン引数は、動的分析に使用するオペレーティングシステムによって異なる場合があります。)
プロファイル- マルウェア分析に使用する設定をプラットフォームが決定する「自動」プロファイルを含む、分析に使用できるすべてのプロファイルのリスト。
静的- 送信されたファイルの静的分析結果を表示する画面に切り替えます。
画面の右上隅にある「カスタマイズ」タブを選択すると、動的解析が実行される環境の完全な構成が可能になります。
このニュース設定画面には、次のオプションがあります。
- プラットフォーム- 動的解析を実行するために選択できるすべてのオペレーティング システムの一覧を提供します。デフォルトでは「自動」オプションが選択されており、分析を実行するのに最適なオペレーティング システムをシステムが自動で識別できるようになります。注意:場合によっては、「自動」オプションを選択すると、サンドボックスが複数のオペレーティング システムで動的解析を実行することがあります。
- 言語- 動的解析が実行されるオペレーティング システムで使用されるデフォルトの言語とキーボードを選択できます。
- タイムアウト- 分析の期間を設定します。デフォルトでは、タイムアウトは 2.5 分に設定されています。
- ブラウザ- 動的分析に選択できるすべてのブラウザ(Google Chrome、Mozilla Firefox、Internet Explorer 11、Microsoft Edge)のリストを表示します。前のセクションで選択したオペレーティング システムのデフォルトのブラウザーで分析を実行するオプション (デフォルトで事前選択されています) もあります。
-
インターネット アクセス- 動的解析が実行されるオペレーティング システムのインターネット接続/アクセスの種類を設定します。次のオプションが利用可能です。
- オン - 動的解析中に完全なインターネットアクセスが提供されます
- オフ - 動的解析中はインターネットアクセスは提供されません
- Tor - 動的解析中のインターネットアクセスはTorネットワークを経由してルーティングされます
- 200 - 動的解析中にインターネットに接続すると、リクエストが成功したことを示す200 (OK) ステータス コードが返されます。
- 404 - 動的解析中にインターネットに接続した場合、オリジンサーバーがターゲットリソースの現在の表現を見つけられなかったか、または存在することを開示したくないことを示す404 (Not Found) ステータスコードが返されます。
- DNS 無効 - 動的分析中にインターネット アクセスは提供されますが、DNS は無効になります。これにより、ドメイン名の解決が無効になり、IP アドレスに基づいてのみインターネット経由のアクセスが可能になります。
- VPN - このオプションの下の地図を使用して地理位置情報の選択を有効にするには、これを選択します。分析 VM からのすべてのトラフィックを、サンドボックスがホストされているリージョンとは異なるリージョンにルーティングできるようにします。現在、EU および米国のエンドポイントをサポートしています。
デフォルト設定を変更せずに環境を設定したら、「分析」ボタンをクリックして動的分析を開始します。
「分析」ボタンを押すとすぐにライブ モニター セッションにリダイレクトされ、選択されたオペレーティング システム (手動または自動) で実行されている分析をライブで視聴したり操作したりすることができます。
複数のセッションが開始された場合 (たとえば、複数のオペレーティング システムで分析を実行する自動オプションによって)、画面の左側にリストされているアクティブ セッションのいずれかをクリックするか、右上隅にある各アクティブ セッションに対応するタブをクリックすることで、アクティブ セッション間を切り替えることができます。
ポータルでは、各セッションについて、セッションの長さ、セッションに提供されたオペレーティング システム、タスクの種類に関する情報が表示されます (例: 動作は、動的分析を実行するセッションまたはサンプルの動作を指します)。
セッションがアクティブな間 (時間は分析タスクの構成中に行われた選択によって異なります)、次のアクションを実行できます。
- 分析の延長 - 分析に割り当てられた時間を1分単位で延長します
- 終了 - 行動/動的解析タスクを終了します
- マウスのシミュレーション - 動的/動作分析タスク中にオペレーティングシステム内でマウス操作をシミュレートします。
分析タスクが完了すると、分析レポートにアクセスするオプションが表示されます。
分析のためにURLを送信する
サンドボックス ポータル ダッシュボードから、送信オプションをクリックします。
専用セクションに URL を入力/貼り付けます:
URL を追加したら、次のオプションを選択できます。
- URL: ブラウザで開かれる URL を直接分析します (この例では表示)
-
フェッチ: ファイルを取得し、サンドボックス内でファイルを実行します。
- 注意: Fetch は、アドレスからファイルを直接ダウンロードできる場合にのみ機能します。リダイレクトなどがある場合は機能しません。
- パブリックからのインポート: サンプル ID または tria.ge リンクに基づいて分析を実行します。
完全な分析を開始する前に、静的分析結果 (スコアとタグを含む) のプレビューと、下のスクリーンショットに示すボタンを使用して分析を開始または削除するオプションが表示されます。
同じウィンドウで、分析を実行する仮想マシンをカスタマイズできます。
次のカスタマイズ オプションが利用可能です。
- プラットフォーム- 動的解析を実行するために選択できるすべてのオペレーティングシステムのリストです。デフォルトの選択は「自動」で、解析を実行するのに最適なオペレーティングシステムがシステムによって自動的に特定されます。場合によっては、「自動」オプションを選択した場合でも、サンドボックスは複数のオペレーティングシステムで動的解析を実行することがあります。
- 言語- 動的解析が実行されるオペレーティング システムで使用するデフォルトの言語とキーボードを選択します。
-
インターネットアクセス- 動的解析を実行するオペレーティングシステムのインターネット接続/アクセスの種類。以下のオプションが利用可能です。
- オン - 動的解析中に完全なインターネットアクセスが提供されます
- オフ - 動的解析中はインターネットアクセスは提供されません
- Tor - 動的解析中のインターネットアクセスはTorネットワークを経由してルーティングされます
- 200 - 動的解析中にインターネットに接続すると、 リクエストが成功したことを示す 200 (OK) ステータス コード が返されます。
- 404 - 動的解析中にインターネットに接続した場合、オリジンサーバーがターゲットリソースの現在の表現を見つけられなかったか、または存在することを開示したくないことを示す404 (Not Found) ステータスコードが返されます。
- DNS 無効 - 動的分析中にインターネット アクセスは提供されますが、DNS は無効になります。これにより、ドメイン名の解決が無効になり、IP アドレスに基づいてのみインターネット経由のアクセスが可能になります。
- タイムアウト- 分析の継続時間を設定します。デフォルトのタイムアウトは2.5分です。
- ブラウザ- 動的解析に選択できるすべてのブラウザのリスト:Google Chrome、Mozilla Firefox、Internet Explorer 11、Microsoft Edge。また、前のセクションで選択したオペレーティングシステムのデフォルトブラウザで解析を実行するオプション(デフォルトで選択済み)もあります。
デフォルト設定を変更せずに構成を完了したら、「分析」ボタンをクリックして動的分析を開始できます。
「分析」ボタンを押すとすぐにライブ モニター セッションにリダイレクトされ、選択したオペレーティング システムで実行されている分析を視聴したり操作したりできるようになります。
複数のセッションを開始する場合 (複数のオペレーティング システムで分析を実行する自動オプションなど)、1) 画面の左側にリストされているアクティブ セッションのいずれかをクリックするか、2) 右上隅にある各アクティブ セッションに対応するタブをクリックすることで、アクティブ セッション間を切り替えることができます。
ポータルでは、セッションごとに、セッションの長さ、セッションのオペレーティング システム、タスクの種類 (例: 動作は動的分析を実行するセッションまたはサンプル動作を指します) に関する情報が表示されます。
セッションがアクティブな間、次のアクションを実行できます。
- 分析の延長 - 分析に割り当てられた時間を1分単位で延長します
- 終了 - 行動/動的解析タスクを終了する
- マウスをシミュレート - タスク中にオペレーティングシステム内でマウス操作をシミュレートします。