Recorded Future Sandboxは、大容量の処理能力とマルウェア構成抽出機能を備えたマルウェア分析サンドボックスです。脅威インテリジェンスによって分析が自動的に強化されるため、脅威を迅速に検知し、対策を講じることができます。
技術的特徴
- 350以上の一般的な家族の分類
- カスタム x86 静的エミュレーション
- TLS/SSL復号化
- PCAP、ドロップされたファイル、メモリダンプへのアクセス
- ユーザーが送信したYARAルールのサポート
- ライブVMインタラクション
Recorded Futureサンドボックスポータル
以下に示すように、トップメニューから Recorded Future Sandbox にアクセスできます。
分析レポート
以前の分析タスクに関連するすべてのレポートは、「レポート」セクションにアクセスすることで一覧表示されます。
レポート セクションにアクセスすると、次のオプションが表示されます。
- マイサンプル - 現在のユーザーが送信したすべてのサンプルのリスト
- 組織サンプル - 組織のユーザーが提出したすべてのサンプルのリスト
- 検索 - ハッシュ、マルウェアファミリー、タグ、URL、ウォレット、メールに基づいて、演算子(AND、OR、NOT)を使用して検索機能を有効にします。詳細については、検索専用セクションをご覧ください。
いずれかのレポートを選択すると、レポートの「 Overview 」ページにリダイレクトされ、分析に含まれていた静的レポートまたは動的/動作レポートにアクセスするためのタブが表示されます。
Overviewレポート
すべての分析レポートには、 Overviewタブが含まれており、そこには一般情報、マルウェア構成、ターゲット、MITRE ATT&CKマトリックス、およびタスクが含まれます。 各セクションの説明は以下に記載されています。
一般的な
一般セクションでは、 分析結果と判定に基づき、サンプル に関連付けられた スコア と様々な タグ が表示されます。Recorded Future Sandboxは、約350種類のマルウェアファミリーを認識し、識別時にタグを割り当てます。
また、送信されたファイルのターゲットURLとサンプルID(サンプルレポートを識別し、プラットフォーム内で検索するために使用できる)も含まれます。
マルウェア設定
Recorded Future Sandbox は、150 種類のマルウェア ファミリについて、レポートのこのセクションに示されている完全な構成を抽出できます。
この機能に基づいて、このセクションでは、提出物で複数のファミリが識別された場合など、マルウェア構成で見つかったいくつかの要素を示します。これらの要素の例は次のとおりです。
- ランサムウェアのメモ、暗号化されたファイル拡張子などの属性
- コマンドとコントロール
- ボットネットID
- マルウェアのバージョン
- 公開鍵
- その他のID
ターゲット
このセクションでは、 Overviewレポートに、サンプル (さまざまなハッシュとサイズによって識別) ごとに、サンプルの動作と一致し、判定とスコアリングに寄与した判定とシグネチャが表示されます。 各シグネチャには、検知(例:トロイの木馬、レッドライン)または実行されるアクティビティの種類(例:収集、検出)に関連するタグが付けられています。
MITRE ATT&CKマトリックス
このセクションでは、MITRE ATT&CK フレームワークに基づいて、すべてのTTPsとそれに関連する戦術を示します。 各TTPsクリックすると、MITRE Web サイトの説明に移動できます。
タスク
このセクションでは、サンプルに対して実行されたすべてのタスクを示します。これらは、静的または動作分析タスクになります。各タスクは、それぞれで識別されたタグとしてスコアと判定とともに表示されます。いずれかのエントリをクリックすると、ユーザーは対応する各レポートにピボットできるようになります。
サイドメニュー
サイド メニューのOverviewレポートでは、ユーザーは次のことができます。
- サンプルを再提出して別の分析を行う
- サンプルをダウンロードする(同じ組織内でのみ利用可能)
- フィードバックを提供する
- PDFに印刷
-
マルウェアインテリジェンスへの転換
脅威インテリジェンスライセンスが必要です - 分析を削除する
静的解析レポート
提出されたすべてのサンプルに対して静的解析が実施され、静的解析レポートが提供されます。レポートを開くには、上部ナビゲーションの「静的」タブをクリックしてください。
静的分析レポートには、次のセクションがあります。
一般的な
サンプルのSHA256ハッシュ、ファイルのサイズ、静的解析スコアを表示します。
マルウェア設定
静的解析によって直接入手可能な場合、マルウェアの設定詳細を表示します。ただし、そのようなケースはまれです。
署名
サンプルの静的解析中に一致したすべてのシグネチャを表示します。
ファイルエクスプローラー
静的分析の一部であったすべてのファイルを、関連するタイプ、オペレーティング システム、およびアーキテクチャ タイプとともに一覧表示します。
サイドメニュー
静的レポートのサイドメニューでは、以下の操作が可能です。
- サンプルを再提出して別の分析を行う
- サンプルをダウンロードする(同じ組織内でのみ利用可能)
- フィードバックを提供する
- 分析を削除する
動的/行動分析レポート
サンプルが動的/行動分析のために提出された場合、関連するレポートが生成され、サンプルに対して利用可能になります。サンプルを分析する必要があるオペレーティングシステムが複数ある場合、または自動送信プロセスによって複数のオペレーティングシステムが特定された場合は、複数のレポートが生成されます。
動的レポートの「レポート」タブには、複数のセクションが表示されます。
一般的な
送信されたファイルのファイル サイズ、サンプル ID (サンプル レポートを識別し、プラットフォームで検索するために使用できます)、およびさまざまな種類のハッシュ (MD5、SHA1、SHA256、SHA512) のリストが含まれます。
一般セクションでは、Recorded Future 動的分析の結果と判定に基づいて 、サンプルに関連付けられた スコア と各種 タグも 表示されます 。Recorded Sandboxは約350種類のマルウェアファミリーを認識し、識別時にタグが割り当てられます。
マルウェア設定
動的解析によって構成の識別と抽出が可能になった場合は、このセクションでそれについて説明します。
署名
このセクションには、サンプル行動と一致した判決と署名、およびそれに関連付けられたスコアが含まれており、これらは最終的な判決とスコアリングに反映されます。各署名には、 (例: トロイの木馬、レッドライン) または実行されるアクティビティの種類 (例: 収集、発見) に関連するタグが表示されます。
プロセス
何らかのリスクがあると特定されたプロセスの一覧と、分析の全体スコアに集計される各プロセスのローカルスコアが表示されます。プロセスIDにカーソルを合わせると、プロセスへのリンクをコピーして共有したり、分析ログを表示したりできます。
ネットワーク
このセクションでは、動的解析中に発生したすべてのドメインリクエストと、すべてのTCPおよびUDP接続について説明します。また、関連国の分布を世界地図上にプロットする機能も備えている。
MITRE ATT&CKエンタープライズ
このセクションでは、MITRE ATT&CKフレームワークに基づいて、すべてのTTPsとそれに関連する戦術を紹介します。 各TTPsクリックすると、MITREのウェブサイトにある説明ページに移動します。
リプレイモニター
これは、仮想マシンのディスプレイを通して表示される動的解析の再生と、フレーム巻き戻し、再生/一時停止、フレーム送り、全画面表示といった操作ボタンを示しています。
ダウンロード
動的解析中に生成されたファイルをダウンロードするか、追加解析のために提出してください。
動的解析が実行されたシステムに関連付けられたサンドボックスによって生成されたメモリダンプをダウンロードすることもできます。
サイドメニュー
動的解析レポートのサイドメニューでは、以下の操作が可能です。
- サンプルを再提出して別の分析を行う
- フィードバックを提供する
- PDFに印刷
- 動的解析に関連付けられたPCAPNGをダウンロードしてください
- 分析を削除する
このセクションでは、分析の期間、プラットフォーム、画像名、送信時間などの動的分析に関する詳細も示されます。
URLスキャン
送信されたすべてのURLには、URLScanによる分析と関連レポートが作成されます。分析レポートから「URLScan」タブをクリックしてください。
URLスキャン
このセクションには、さまざまな視点からの総合的な評価、スコア、タグが含まれています。
添付のリンクをクリックすると、元のレポートをご覧いただけます。
スクリーンショット
ブラウザでURLにアクセスする過程で撮影されたスクリーンショットはすべてここに含まれています。
サイドメニュー
サイドメニューのURLScanレポートでは、以下の操作が可能です。
- 別の分析のためにURLを再送信してください
- urlscan.io で提出物をご覧ください
- フィードバックを提供する
- PDFに印刷
- 分析を削除する