インシデント調査に役立つVirusTotalの使い方

※当サイトはプロモーションが含まれています

こんにちは、ぎんたです。

VirusTotalって何だろう。

VirusTotalってなんとなく使っているけど、どんな機能があるんだろう?

VirusTotalを使ったインシデントに関する分析手法が知りたい?

このように思われている方がいるかもしれません。

SOCのアナリスト業務を行っている方や情報システム管理を行っている方は、アラートや問い合わせ対応などで使う場面が多いと思います。

今回は、インシデント調査に役立つファイル・URLの解析方法、VirusTotalの機能について解説していきます。

スポンサーリンク

目次

スポンサーリンク

VirusTotalとは何か

VirusTotalは、多くのアンチウイルスソリューションを用いて分析できるサービスです。

こちらの「VirusTolataのサイト」からアクセスできます。

有償と無償のサービスがありますが、本記事では無料でできる部分を紹介したいと思います。

ファイル解析時のVirusTotalの使い方

SOCでのアラート確認の際、不審なファイルを調査することがあります。

発見したファイルが悪性のものであるかについて、簡易的に解析したいと思うことがあるかもしれません。

VirusTotalを使えば、異なるアンチウイルスソリューションによる解析結果を確認し、悪性の有無を判断することができます。

やり方は簡単です!

一つ目の方法は、ファイルをVirusTotalのサイトにアップロードする方法です。

virustotalファイルアップロード

2つの方法は、事前にツールなどで出力したファイルのハッシュ値を入力するだけです。

virustotalハッシュ入力

アップロードされたファイルは、VirusTotalを有料で契約しているユーザによってダウンロードできることに注意が必要です。

このため、ファイルに機密情報が含まれている可能性があれば、アップロードでの解析は控えた方がよいでしょう。

以下は、VirusTotalの解析結果の例です。

virustotalの解析結果

この画像から、69社のセキュリティソリューションのうち、54社で悪性のファイルとして検出していることが分かります。

タグを確認すると、ファイルの分類が分かります。

virustotalのタグ

ここでは、「peexe」と記載されており、実行ファイルであることが分かります。

Wordファイルに含まれるマクロに悪性のコードが含まれている場合、タグの欄には、「doc」「macros」と記載されることもあります。

VirusTotalの結果に表示されるタブの使い方

VirusTotalにはいくつかのタブがあります。

ファイルを解析する上で有用な情報が数多く含まれている箇所になるので、理解しておくとよいでしょう。

解析した検体によっては、該当のタブが無い場合もあります。

ここでは、「Detection」「Details」「Relations」「Behavior」「Community」についてそれぞれ解説します。

Detection

各ベンダーが悪意のあるファイルをラベル付きで表示します。

virustotalのDetectionタブ

この例では、「Emotet」のラベルをつけているベンダがいくつかあります

Details

ファイルの情報やVirusTotalの履歴に関する詳細を確認できます。

たとえば、「Basic properties」の箇所では、MD5などのハッシュ値を確認できます。

virustotalのdetailsタブ

「History」の箇所では、VirusTotalにファイルを提出した日付、最後に分析した日付などが表示されます。

virustotalのdetails内のHistoryの内容

Relations

ここでは、VirusTotal内のセキュリティベンダによるスキャンで判明したファイルの通信先などの詳細情報を表示します。

通信先の情報として、ドメイン、URL、IPアドレスが表示されますが、すべての情報が表示されるとは限りません。

この例では、IPアドレスの情報のみが表示されています。

virustotalのrelationの結果

また、「Detections」の箇所ではIPアドレスの評価を見ることができ、ファイルの通信先が疑わしいものであるか判断できます。

ここでは、それぞれのIPアドレスで3,4件が悪性の通信先として評価されていることを確認できます。

Behavior

このタブでは、VirusTotal内のセキュリティベンダによるスキャンで判明したファイルの動作一覧を表示します。

ネットワーク接続、ファイルの読み取り/削除、レジストリ操作、プロセス操作などの動作が含まれています。

この内容を確認することで、ファイルが行った動作が悪意のあるものかを判断することができます。

virustotalのbehaviorの結果
virustotalのbehaviorのfile Droppedの内容

この例の場合、ファイルを実行した結果、上記画像掲載のファイルがファイルシステム上に作成される可能性があります。

Community

このタブでは、コミュニティによって記載されたコメントを確認できます。

ファイルの入手先、サンドボックスによる解析結果、マルウェアの分類(emotetなど)、他機関の調査レポートや見解、その他詳細な情報を見つけることができます。

解析時にコミュニティタブをチェックすると、このような有益な情報を得ることができる場合があるので、確認すると良いでしょう。

virustotalのcommunityの内容

URLの解析時のVirusTotalの使い方

ファイル解析だけでなく、URLアドレスの解析も可能です。

URLタブから調査したいアドレスを照会します。

virustotalのURL検索画面
ぎんた

ドメイン名のみを入力した場合、結果が異なるものになることがあるよ。
見逃しを防ぐために、「ドメイン名/」以下の内容も含めた検索も併せてするといいよ。

上記のアドレスを検索した結果、以下のような結果になりました。

virustotalのURL検索結果

21件のセキュリティベンダーが悪性のアドレスと判定しています。

また、Communityのタブを確認すると、調査したURLがemotetに関係しているものであことが分かります。

virustotalのCommunityの内容

まとめ

今回は、VirusTotalを使った解析方法、それぞれの機能について解説していきました。

振り返り
  • VirusTotalを使い、分析したいファイル・URLの調査をおこなえる
  • 解析結果のタブを見ることで、通信先、作成されるファイル、コミュニティの評価などの有用な情報を得ることができる

VirusTotalを有効に使い、インシデント調査で有効に活用しましょう!

以上、きんたでした。

サイバーセキュリティを学ぶ上で必要な攻撃と解析に関する他の記事は、以下のリンクで確認できます。

学習に関しましては、以下のセキュリティの勉強法、おすすめの学習本・動画の記事が多くの方に読まれています。

資格の記事については以下の記事がおすすめです。

ITエンジニアへの転職については以下の記事がおすすめです。

その他学習・転職関連に関しましては、以下の記事もあわせて読まれています。

ぜひご覧ください!

スポンサーリンク

よかったらシェアしてね!
目次