現在位置: ホーム / ゲストブログ / わかっておきたいセキュリティ: 第2回 マルウェア解析サンドボックス「Cuckoo」との連携

わかっておきたいセキュリティ: 第2回 マルウェア解析サンドボックス「Cuckoo」との連携

日進月歩で進化を続けるマルウェアに対して対策を研究する団体であるマルウェア対策研究会から、昨今注目を浴びているセキュリティに関して、さまざまな視点でブログを投稿していただく本連載。第2回は、寅次郎さんからCuckoo と連携可能なツール群を紹介します。

マルウェア解析サンドボックス「Cuckoo」との連携

はじめに、MISP(Malware Information Sharing Platform)について少し説明させてください。

MISP は、ルクセンブルクの CERT (Computer Emergency Response Team)、ベルギー防衛機関、それと、NATO / NCIRC (Computer Incident Response Capability) によって、作成された脅威情報共有オープンソースです。世界では、500近くの組織が参加しており、日本の組織も(執筆時時点で)9つの組織が参加しています。ただし、外資系企業の場合は、本社の国で登録してあることが多いようです。

図2-1: MISP加盟組織(日本)

 

図2-2 は、各組織が提供した脅威情報(イベント)のリストです。個々のイベントの詳細も閲覧できます。

図2-2: 脅威情報の共有

 

図2-3は、前回、Cuckooでマルウェア解析した結果をMISPにインポートした結果の画面(水色ハイライト)です。解析結果を他の組織と共有するか、しないかは、選択できます。

図2-3: Cuckoo解析結果のインポート

 

また、イベントとイベントの相関も確認できます。Cuckoo解析結果(イベント153)が以前のイベントとどのような関係にあるか、視覚的に捉えることができます。また、そのイベントが他の組織でも存在したかなどもわかります。

図2-4: イベントの相関図

 

次に、データ収集とデータの可視化が可能なツール「Maltego」について見ていきます。Kali Linux では、標準でインストールされています。

[Applications] →[01 - Information Gathering] →[maltegoce] と選択すれば実行できます。実行後は、ウィザードにしたがってユーザ登録すれば、Maltego CE (Community Edition) 版を無償で使用できます。(CE版には、出力数の制限などありますが、有償版は無制限です。)

 

まず、Cuckoo とMaltego を連携するために必要なパラメータを Cuckoo の Task ID にします。ここでは、「126」です。(図2-5)

図2-5: Cuckoo のTask ID

 

それと、事前に、「cuckooforcanri」トランスフォームを Maltego にインポートする必要があります。(「cuckooforcanri」については、本ブログ末に記載)

 

Maltego 上で、Cuckoo Task ID 「126」を設定し、Maltegoを実行した結果が、図2-6 です。画面中央の赤丸が、Cuckoo Task ID 「126」で、その赤丸を起点にして、Cuckoo で取得したデータが可視化されています。可視化することで、マルウェアがどのような振る舞いをして、次にどの調査をすれば良いのか、わかります。例えば、IPアドレスなのか、ドメイン名なのか、それとも、ドロップファイルの調査が必要なのか。または、有用な情報がなかったため、調査の継続は不要などといった判断をすることができます。

 

図2-6: Cuckoo と Maltego の連携

 

図2-6 を拡大すると、図2-7のように、詳細を確認できます。

 

図2-7: Cuckoo と Maltego の連携(拡大図)

 

参照:

・CIRCL (The Computer Incident Response Center Luxembourg) について

 https://www.circl.lu/mission/

・MISP Malware Information Sharing Platform and Threat Sharing

 https://www.circl.lu/services/misp-malware-information-sharing-platform/

 http://www.misp-project.org/

 https://github.com/MISP/MISP

・Kali Linux

 https://www.kali.org/

・Maltego CE

 https://www.paterva.com/web7/buy/maltego-clients/maltego-ce.php

・cuckooforcanari - Cuckoo Sandbox Local Maltego Transforms Project

 https://github.com/bostonlink/cuckooforcanari



著者

寅次郎

マルウェア対策研究会
 日進月歩で進化を続けるマルウェアに対して、対策を研究する団体
各種お問い合わせ

サイオスOSSよろず相談室(1)

問い合わせボタン

最新の情報
[第17回] Linux/OSS エバンジェリスト古賀政純の『オープンソース・Linux超入門』 Linuxサーバーのためのハードウェア設定 ~ ハードウェアに搭載されている電源管理・電力管理機能とLinuxの関係 ~ 2017年07月19日
[第16回] Linux/OSS エバンジェリスト古賀政純の『オープンソース・Linux超入門』 Linuxサーバーのためのハードウェア設定 ~ CPUの仮想化支援機能 ~ 2017年07月05日
[第15回] Linux/OSS エバンジェリスト古賀政純の『オープンソース・Linux超入門』 Linuxサーバーのためのハードウェア設定 ~ Hyper-Threading ~ 2017年06月21日
わかっておきたいセキュリティ: 第5回 VirusTotal at Home/Work「Malice」 2017年05月10日
わかっておきたいセキュリティ: 第4回 IRMA (Incident Response Malware Analysis) 2017年03月29日
わかっておきたいセキュリティ: 第3回 マルウェア解析サンドボックス「Cuckoo」との連携 その2 2017年02月22日
[第14回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その4 2017年02月08日
[第13回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その3 2017年02月01日
[第12回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その2 2017年01月25日
[第11回] Linux/OSS エバンジェリスト古賀政純の『オープンソース・Linux超入門』 システム要件において検討すべき点 その1 2017年01月18日
Python人材育成の支援を目的としたPythonエンジニア育成推進協会の活動とは? 2016年12月21日
わかっておきたいセキュリティ: 第2回 マルウェア解析サンドボックス「Cuckoo」との連携 2016年12月14日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第3回 オープンソースライセンスの使い方をわかっておきたい 2016年12月08日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第2回 色々なオープンソースライセンスをわかっておきたい 2016年11月30日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第1回 著作権とライセンスをわかっておきたい 2016年11月17日
わかっておきたいセキュリティ: 第1回 マルウェア解析サンドボックス「Cuckoo」 2016年11月02日
[第10回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』 Linuxサーバーシステム導入前の検討~ RHELを知る ~ 2016年10月26日
[第9回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』 Linuxサーバーシステム導入前の検討~ Ubuntu Serverを知る ~ 2016年10月19日
[第8回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』  Linuxサーバーシステム導入前の検討~ SUSEを知る ~ 2016年10月12日
[第7回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「初心者でもわかる、Linuxサーバーシステム活用者が知っておくべきポイント」(後編) 2016年08月09日
最新の情報 - もっと...