現在位置: ホーム / ゲストブログ / わかっておきたいセキュリティ: 第3回 マルウェア解析サンドボックス「Cuckoo」との連携 その2

わかっておきたいセキュリティ: 第3回 マルウェア解析サンドボックス「Cuckoo」との連携 その2

日進月歩で進化を続けるマルウェアへの対策を研究するマルウェア対策研究会の寅次郎さんから、昨今注目を浴びているセキュリティに関して、さまざまな視点でブログを投稿していただく本連載。第3回は、Cuckoo解析結果を統計的に、そして前回に引き続きCuckoo と連携可能なツール群の使用例を紹介します。(2017年2月22日)

マルウェア解析サンドボックス「Cuckoo」との連携 その2

前回、マルウェアの静的解析・動的解析を行うサンドボックス「Cuckoo(クックー)」と連携可能なツールを紹介しました。引き続き、Cuckoo解析結果を統計的に、そして、全文検索エンジン「Elasticsearch(イラスティックサーチ)」とグラフ化する「Kibana(キバナ)」の使用例について紹介します。

Cuckoo の解析結果は、HTML、PDF、MISP形式でも保存できますが、JSON 形式でも保存できます。(図3-1)

図3-1: Cuckoo解析結果(出力形式一覧)

 

JSON形式のレポートを確認すると、下記(図3-2)のように、Cuckoo解析結果が JSON 形式であることがわかります。

図3-2: Cuckoo解析結果 (JSON形式)

Cuckoo 解析結果の JSON 形式ファイルを 全文検索エンジンであるElasticsearch にインポートします。そして、Elasticsearch でインデックス化され、高速検索が可能になります。

Elasticsearch のプラグインである「Elastic HQ」をインストールするとElasticsearch をモニタリングできます。(図3-3)

図3-3: Elastic HQ

ここで、インデックスを確認すると、下記(図3-4)のように、使用量(ドキュメント数、サイズ)などがわかります。

図3-4: Elastic HQ (Index)

 

では、実際に、Kibana で結果を見ていきます。下記(図3-5)では、時系列で何件のデータ件数があるのか、表示をしています。

図3-5: Kibana (時系列)

図3-5下部には、詳細なJSONデータが表形式で表示されています(図3-6)。

図3-6: Kibana (表形式データ)

Kibana では、グラフ化できますので、関連する「IPアドレス」と「国名」について、円グラフで表示しました。(図3-7, 図3-8)

図3-7: Kibana (IPアドレス)

 

図3-8: Kibana (国名)

図3-7で示された IP アドレスは、マルウェアに関連する IP アドレスの可能性が高いので、それらの IP アドレスと通信しているかどうか確認すること(例:アクセスログの確認など)を推奨します。それらのIPアドレスにアクセスすると、マルウェア感染することもあります。また、C&C(コマンド アンド コントロール)サーバである可能性もありえます。


余談になりますが、Kibana にはダッシュボード機能もありますので、活用すると、モニタリングの工数を減らせると思います。(図3-9)

図3-9: Kibana (ダッシュボード)

 

参照:

・Elasticsearch
 https://www.elastic.co/jp/products/elasticsearch/

・Elastic HQ
 http://www.elastichq.org/

・Kibana
 https://www.elastic.co/jp/products/kibana/




著者:
寅次郎

マルウェア対策研究会
 日進月歩で進化を続けるマルウェアに対して、対策を研究する団体
各種お問い合わせ

サイオスOSSよろず相談室(1)

問い合わせボタン

最新の情報
わかっておきたいセキュリティ: 第4回 IRMA (Incident Response Malware Analysis) 2017年03月29日
わかっておきたいセキュリティ: 第3回 マルウェア解析サンドボックス「Cuckoo」との連携 その2 2017年02月22日
[第14回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その4 2017年02月08日
[第13回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その3 2017年02月01日
[第12回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その2 2017年01月25日
[第11回] Linux/OSS エバンジェリスト古賀政純の『オープンソース・Linux超入門』 システム要件において検討すべき点 その1 2017年01月18日
Python人材育成の支援を目的としたPythonエンジニア育成推進協会の活動とは? 2016年12月21日
わかっておきたいセキュリティ: 第2回 マルウェア解析サンドボックス「Cuckoo」との連携 2016年12月14日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第3回 オープンソースライセンスの使い方をわかっておきたい 2016年12月08日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第2回 色々なオープンソースライセンスをわかっておきたい 2016年11月30日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第1回 著作権とライセンスをわかっておきたい 2016年11月17日
わかっておきたいセキュリティ: 第1回 マルウェア解析サンドボックス「Cuckoo」 2016年11月02日
[第10回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』 Linuxサーバーシステム導入前の検討~ RHELを知る ~ 2016年10月26日
[第9回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』 Linuxサーバーシステム導入前の検討~ Ubuntu Serverを知る ~ 2016年10月19日
[第8回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』  Linuxサーバーシステム導入前の検討~ SUSEを知る ~ 2016年10月12日
[第7回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「初心者でもわかる、Linuxサーバーシステム活用者が知っておくべきポイント」(後編) 2016年08月09日
[第6回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「初心者でもわかる、Linuxサーバーシステム活用者が知っておくべきポイント」(前編) 2016年08月02日
[第5回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「ミッションクリティカルシステムとオープンソース・Linux」(後編) 2016年06月22日
[第4回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「ミッションクリティカルシステムとオープンソース・Linux」(前編) 2016年06月16日
[第3回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「CEOが知っておくべきオープンソース革新」(後編)~ 2016年05月25日
最新の情報 - もっと...