こんにちは、ぎんたです。
VirusTotalって何だろう。
VirusTotalってなんとなく使っているけど、どんな機能があるんだろう?
VirusTotalを使ったインシデントに関する分析手法が知りたい?
このように思われている方がいるかもしれません。
SOCのアナリスト業務を行っている方や情報システム管理を行っている方は、アラートや問い合わせ対応などで使う場面が多いと思います。
今回は、インシデント調査に役立つファイル・URLの解析方法、VirusTotalの機能について解説していきます。
VirusTotalとは何か
VirusTotalは、多くのアンチウイルスソリューションを用いて分析できるサービスです。
こちらの「VirusTolataのサイト」からアクセスできます。
有償と無償のサービスがありますが、本記事では無料でできる部分を紹介したいと思います。
ファイル解析時のVirusTotalの使い方
SOCでのアラート確認の際、不審なファイルを調査することがあります。
発見したファイルが悪性のものであるかについて、簡易的に解析したいと思うことがあるかもしれません。
VirusTotalを使えば、異なるアンチウイルスソリューションによる解析結果を確認し、悪性の有無を判断することができます。
やり方は簡単です!
一つ目の方法は、ファイルをVirusTotalのサイトにアップロードする方法です。
![virustotalファイルアップロード](https://gintachan.com/wp-content/uploads/2023/05/image-6.png)
2つの方法は、事前にツールなどで出力したファイルのハッシュ値を入力するだけです。
![virustotalハッシュ入力](https://gintachan.com/wp-content/uploads/2023/05/image-7.png)
アップロードされたファイルは、VirusTotalを有料で契約しているユーザによってダウンロードできることに注意が必要です。
このため、ファイルに機密情報が含まれている可能性があれば、アップロードでの解析は控えた方がよいでしょう。
以下は、VirusTotalの解析結果の例です。
![virustotalの解析結果](https://gintachan.com/wp-content/uploads/2023/05/image-8.png)
この画像から、69社のセキュリティソリューションのうち、54社で悪性のファイルとして検出していることが分かります。
タグを確認すると、ファイルの分類が分かります。
![virustotalのタグ](https://gintachan.com/wp-content/uploads/2023/05/image-9.png)
ここでは、「peexe」と記載されており、実行ファイルであることが分かります。
VirusTotalの結果に表示されるタブの使い方
VirusTotalにはいくつかのタブがあります。
ファイルを解析する上で有用な情報が数多く含まれている箇所になるので、理解しておくとよいでしょう。
ここでは、「Detection」「Details」「Relations」「Behavior」「Community」についてそれぞれ解説します。
Detection
各ベンダーが悪意のあるファイルをラベル付きで表示します。
![virustotalのDetectionタブ](https://gintachan.com/wp-content/uploads/2023/05/image-10.png)
この例では、「Emotet」のラベルをつけているベンダがいくつかあります。
Details
ファイルの情報やVirusTotalの履歴に関する詳細を確認できます。
たとえば、「Basic properties」の箇所では、MD5などのハッシュ値を確認できます。
![virustotalのdetailsタブ](https://gintachan.com/wp-content/uploads/2023/05/image-11.png)
「History」の箇所では、VirusTotalにファイルを提出した日付、最後に分析した日付などが表示されます。
![virustotalのdetails内のHistoryの内容](https://gintachan.com/wp-content/uploads/2023/05/image-12.png)
Relations
ここでは、VirusTotal内のセキュリティベンダによるスキャンで判明したファイルの通信先などの詳細情報を表示します。
この例では、IPアドレスの情報のみが表示されています。
![virustotalのrelationの結果](https://gintachan.com/wp-content/uploads/2023/05/image-13.png)
また、「Detections」の箇所ではIPアドレスの評価を見ることができ、ファイルの通信先が疑わしいものであるか判断できます。
ここでは、それぞれのIPアドレスで3,4件が悪性の通信先として評価されていることを確認できます。
Behavior
このタブでは、VirusTotal内のセキュリティベンダによるスキャンで判明したファイルの動作一覧を表示します。
ネットワーク接続、ファイルの読み取り/削除、レジストリ操作、プロセス操作などの動作が含まれています。
この内容を確認することで、ファイルが行った動作が悪意のあるものかを判断することができます。
![virustotalのbehaviorの結果](https://gintachan.com/wp-content/uploads/2023/05/image-14.png)
![virustotalのbehaviorのfile Droppedの内容](https://gintachan.com/wp-content/uploads/2023/05/image-15.png)
この例の場合、ファイルを実行した結果、上記画像掲載のファイルがファイルシステム上に作成される可能性があります。
Community
このタブでは、コミュニティによって記載されたコメントを確認できます。
ファイルの入手先、サンドボックスによる解析結果、マルウェアの分類(emotetなど)、他機関の調査レポートや見解、その他詳細な情報を見つけることができます。
解析時にコミュニティタブをチェックすると、このような有益な情報を得ることができる場合があるので、確認すると良いでしょう。
![virustotalのcommunityの内容](https://gintachan.com/wp-content/uploads/2023/05/image-16.png)
URLの解析時のVirusTotalの使い方
ファイル解析だけでなく、URLアドレスの解析も可能です。
URLタブから調査したいアドレスを照会します。
![virustotalのURL検索画面](https://gintachan.com/wp-content/uploads/2023/05/image-17.png)
![](https://gintachan.com/wp-content/uploads/2023/05/4ZLX31z8_400x400-1-150x150.jpg)
ドメイン名のみを入力した場合、結果が異なるものになることがあるよ。
見逃しを防ぐために、「ドメイン名/」以下の内容も含めた検索も併せてするといいよ。
上記のアドレスを検索した結果、以下のような結果になりました。
![virustotalのURL検索結果](https://gintachan.com/wp-content/uploads/2023/05/image-18.png)
![virustotalのURL検索結果](https://gintachan.com/wp-content/uploads/2023/05/image-18.png)
21件のセキュリティベンダーが悪性のアドレスと判定しています。
また、Communityのタブを確認すると、調査したURLがemotetに関係しているものであことが分かります。
![virustotalのCommunityの内容](https://gintachan.com/wp-content/uploads/2023/05/image-19.png)
![virustotalのCommunityの内容](https://gintachan.com/wp-content/uploads/2023/05/image-19.png)
まとめ
今回は、VirusTotalを使った解析方法、それぞれの機能について解説していきました。
- VirusTotalを使い、分析したいファイル・URLの調査をおこなえる
- 解析結果のタブを見ることで、通信先、作成されるファイル、コミュニティの評価などの有用な情報を得ることができる
VirusTotalを有効に使い、インシデント調査で有効に活用しましょう!
以上、きんたでした。
サイバーセキュリティを学ぶ上で必要な攻撃と解析に関する他の記事は、以下のリンクで確認できます。
学習に関しましては、以下のセキュリティの勉強法、おすすめの学習本・動画の記事が多くの方に読まれています。
資格の記事については以下の記事がおすすめです。
ITエンジニアへの転職については以下の記事がおすすめです。
その他学習・転職関連に関しましては、以下の記事もあわせて読まれています。
ぜひご覧ください!