こんにちは、refです。
今回は不審な通信発生に対して、マルウェア感染が起因しているかを明らかにする方法をまとめます。
なおこの記事はマルウェア解析ではなく、マルウェア調査を目的としているので、解析の観点はほとんど記載していません。
本調査方法は私が調査する場合のメインの方法を記載していますが、これに合致しないからといってマルウェアに感染していないとは言い切れないことと、知識が浅いことより誤っている箇所がある可能性をご了承ください。
それでは本編です。
調査の流れ
不審な通信(IPアドレスやドメイン、URLなど)が発生したときの調査方法は以下の通りです。
1.レピュテーション情報の確認
2.マルウェアの特定
3.マルウェアの追加情報調査
あえて2と3は分割して書きましたが、実際はほぼ同時に行います。
それぞれの調査段階で使用するサービスとその目的を次項以降でご紹介します。
1.レピュテーション情報の確認
VirusTotalを利用します。悪性判定を受けているかを確認すると同時に、不審なファイルや通信先との関連が無いか、大まかに把握します。
https://www.virustotal.com/gui/home/upload
2.マルウェアの特定
ここでは、ドメインやIPアドレスからマルウェアを特定するためのサービスを列挙しています。
Hybrid AnalysisとJoe Sandboxは、ファイルから発せられたトラフィックの結果を表示してくれるので、不審な通信を発する原因となったマルウェアを特定することができます。
Hybrid Analysis
https://www.hybrid-analysis.com/
Joe Sandbox
URL haus
Fedo Tracker
https://feodotracker.abuse.ch/
ThreatFox
その他の情報を取得するために、以下のサービスも利用します。
対象のIPアドレス等に対する、評価・情報が確認できます。
AbuseIPDB
Open Threat Exchange
3.マルウェアの追加情報調査
追加の調査として、マルウェアの実態や挙動、C2サーバーなどの情報を確認します。
Hybrid AnalysisとJoe Sandboxのレポートだけでも確認できますが、お好きなものを使ってください。
Hybrid Analysis
https://www.hybrid-analysis.com/
Joe Sandbox
https://www.virustotal.com/gui/home/upload
Hatching Triage
ANY.RUN
InQuest
マルウェアの種類まで特定できたら、その特徴を以下サービスで確認します。
malpedia
https://malpedia.caad.fkie.fraunhofer.de/
実例を用いた調査
先ほど述べた調査方法・サービスをもとに、実際に不審な通信を検知した場合の調査の流れを確認します。
(意図しないアクセスを防ぐために、それぞれのサービスでの検索結果へのリンクは貼っていません。)
今回の調査対象とする不審な通信は、ドメイン「www[.]dnautik[.]com」です。
これは、2023年3月8日にNTTセキュリティ・ジャパン株式会社さんが運営しているTwitterのアカウントで公開されたEmotet設置ドメインになります(もう答え出てますが、、)。
SOCにて本日ダウンロード通信を観測した、Emotetが設置されているドメイン。#Emotet
— NTTセキュリティ (@GlobalNTT_JP) 2023年3月8日
www[.]dnautik[.]com
lisaerp[.]com
melkovsky[.]com
xinyuhuang[.]com
3313v[.]com
baumart[.]lv
プロキシサーバーでのフィルタリングやログ調査にご活用ください。
参考:https://twitter.com/GlobalNTT_JP/status/1633400901242347521?s=20
それでは調査を開始します。
1.レピュテーション情報の確認
まずVirusTotalで、ドメイン「www[.]dnautik[.]com」のレピュテーション情報を確認します。
11のセキュリティベンダーからMalwareもしくはMalicious判定を受けていることが確認できます。
RELATIONSタブを確認すると、悪性判定を受けているファイルとの紐づきも確認できます。
2.マルウェアの特定
次に、ドメイン「www[.]dnautik[.]com」がマルウェアに関連したものであるか確認します。
当該ドメインを検索したところ、以下サービスで結果が表示されました。
Hybrid Analysis
Joe Sandbox
URL haus
URL hausで結果が表示されたことより、当該ドメインはマルウェア配布に使用されていると推測することができますが、今回は結果が分かりやすかったHybrid Analysisを例に挙げます。
2件結果が出て、片方はwordファイルでしょうか、malicious判定を食らっているので見てみます。
レポートを見る感じ、このwordファイル(sha256:d7e61d7d1f31426d1c59eeab4e60fdd433b6889a548b94129e0ae34fb766a7cf)が当該ドメインを含むHTTPトラフィックを発しているようです。
3.マルウェアの追加情報調査
ファイル(sha256:d7e61d7d1f31426d1c59eeab4e60fdd433b6889a548b94129e0ae34fb766a7cf)を調べてみます。
今回はVirusTotalとHatching Triageで調べました。
・・・Emotetですね。
ここから先は目的により調査内容が変わってくると思いますが、ファイルの情報、実行時の挙動、IOC情報等を調べたりします。(本記事では省略します)
ということで、ドメイン「www[.]dnautik[.]com」が検知された原因は、Emotetダウンローダーを開いたことによるものと仮定してよさそうです。
相当省略しましたが、特定までの流れはこんな感じです。
さいごに
本記事は、不審な通信がマルウェア感染によるものかの調査を迅速かつ的確にできたらいいなという気持ちで作成しました。
これを書いたことで、頭のなかにやんわり入っていた知識と手順がまとまとまったのでうれしいです。