本日、 Microsoft Sysinternalsの 25 周年を記念して、新しい Microsoft Sysmon レポートがVirusTotalで一般公開されたことを発表します。
IT プロフェッショナルであろうと開発者であろうと、おそらく既に Microsoft Sysinternals ユーティリティを使用して、Windows システムとアプリケーションの管理、トラブルシューティング、および診断を行っています。 Sysinternals ユーティリティの強力なログ機能は、セキュリティ分析と高度な検出を可能にする防御者にとっても不可欠なものになりました。システムのアクティビティに関する詳細情報を Windows イベント ログに記録するシステム モニタ (Sysmon) ユーティリティは、悪意のあるアクティビティを特定するためにセキュリティ製品でよく使用されます。
VirusTotal の新しい動作レポートには、Windows 10 上の Windows 実行可能ファイル (EXE) の Microsoft Sysmon ログの抽出が含まれており、待ち時間が非常に短く、Windows 11 がロードマップに含まれています。これは、Microsoft と VirusTotal の長いコラボレーションの歴史における最新のマイルストーンです。 Microsoft 365 Defenderは、VirusTotal レポートを正確な脅威インテリジェンス ソースとして使用し、VirusTotal は、Microsoft Defender ウイルス対策からの検出を、その武器庫の主要な検出ソースとして使用します。 Microsoft Sysinternals Autoruns、Process Explorer、および Sigcheck ツールは VirusTotal レポートを統合し、VirusTotal 自体は Sigcheck を使用して Windows ポータブル実行可能ファイルの詳細をレポートします。
セキュリティ業界は、Microsoft Sysmon の価値を長い間認識してきました。昨年、英国国立サイバー セキュリティ センター (NCSC) は、セキュリティの基本的なログ要件に関するチュートリアル、 Logging Made Easy (LME) を公開し、ホスト ベースのセキュリティ ログのソリューションとして Microsoft Sysmon を挙げました。セキュリティの専門家は、Microsoft Sysmon でソリューションを構築しています。 Microsoft Azure Sentinel には、データの解析と正規化など、Microsoft Sysmon に基づくいくつかのソリューションが含まれています。一方、TrustedSec は、Sysmon 構成に関する非常に役立つコミュニティ ガイドをリリースし、このツールが顧客にセキュリティの価値を提供する方法に注目しています。 Splunk は、 Sysmon イベントを脅威ハンティングに使用する方法を強調したブログ投稿もリリースしました。
図 1: VirusTotal の Microsoft Sysinternals レポート。
Microsoft Sysmon の独自の機能を VirusTotal に追加することで、セキュリティ コミュニティ全体が利用できるインテリジェンスが拡張され、ソリューションを利用、分析、通知できるようになり、すべてのセキュリティが向上します。
「私たちの世界を少しでも安全に保つための長いパートナーシップを強化する、Microsoft とのこの新しいコラボレーションに本当に興奮しています。 VirusTotal は、業界とコミュニティの協力に基づいています。さまざまなツールを使用してユーザーの提出物をスキャンし、ファイル、URL、IP アドレス、およびドメインを関連付けてさらに特徴付け、疑わしいシグナルを強調します。また、制御された環境で VirusTotal にアップロードされた実行可能ファイルを実行することで、攻撃者が使用するネットワーク インフラストラクチャ、感染したマシンで持続性を提供するレジストリ キー、およびその他の侵害の貴重な指標を発見します。 Microsoft Sysmon の統合は、VirusTotal Multisandbox プロジェクトの既存の行動分析ソリューションに重要な付加価値をもたらし、サイバーセキュリティ コミュニティ全体に利益をもたらします。」— Karl Hiramoto 氏、シニア ソフトウェア エンジニア、VirusTotal
Microsoft Sysmon レポートを見る
Sysmon のログ機能は、プロセス アクティビティ、コマンド ライン、ファイル システムとレジストリのアクティビティ、ネットワーク接続などの重要なシステム イベントをカバーします。 Sysmon のドキュメントには、利用可能なすべてのイベントとセキュリティ機能の詳細な説明が記載されています。
VirusTotal の新しい動作レポートの Sysmon ログには、Microsoft Sysmon セキュリティ イベントからの侵害の痕跡 (IoC) とシステム メタデータの豊富なセットの抽出が含まれます。
たとえば、コイン マイナー マルウェアのアクティビティは Sysmon でキャプチャされ、デトネーション レポートで公開されます。プロセス アクティビティは、プロセス ツリーのほか、作成されたプロセスと終了したプロセスのセクションにも表示されます。
図 2: Microsoft Sysinternals レポートのプロセス ツリー、作成されたプロセス、およびプロセスが終了した情報。
ネットワーク イベントは、マイナーのサーバーへのマルウェア通信を示しています。
図 3: Microsoft Sysinternals レポートの IP トラフィックと DNS 解決情報。
残りのセクションには、ファイル、レジストリ アーティファクトなどに関する情報が含まれています。たとえば、ドロップされたファイルがキャプチャされ、レジストリ キーがログに記録されます。
図 4: Microsoft Sysinternals レポートでドロップされたファイルとレジストリの変更情報。
一部のシェル コマンドは、脅威がコイン マイナーであることを明確に示しています。
図 5: Microsoft Sysinternals レポートのシェル コマンド情報。
コミュニティの脅威インテリジェンスの結果が向上し、すべてのセキュリティが向上します
過去のブログ エントリで、 MSTICPy Threat Intelligence APIを使用して IOC に関する情報を照会する方法と、それらから関係とグラフを構築する方法について説明しました。現在、VirusTotal からのファイル デトネーション データを調査するための新しいノートブックを公開しています。この新しいノートブックにより、研究者は次のことができます。
- 特定のファイル ハッシュの VirusTotal の概要とデトネーション データをクエリして参照します。
- コマンド ラインでデトネーション プロセス ツリーを視覚化します。
- 関連する IOC を検索します (VirusTotal およびその他のプロバイダーで)。
- Azure Sentinel のサンプル クエリを生成して、デトネーション データからインジケーターを検索します。
これらの新機能により、研究者は、自分の組織で活動している可能性のある爆発サンプルとキャンペーンとの間のより強力で正確な関係を見つけることができます。
図 6: デトネーション データの参照とプロセス ツリーの表示。
図 7: デトネーション サンプルからインジケーターを探すためのクエリの生成。
もっと詳しく知る
最後に、Microsoft Sysmon ログによってキャプチャされたイベントは、検出と脅威ハンティングに活用される貴重な動作と IoC を特定します。
Sysmon レポートを VirusTotalに組み込むことで、サイバーセキュリティの専門家は、マルウェア分析と脅威ハンティングを実行するための追加の貴重な情報源を得ることができます。フィールド エキスパートの皆様には、日常業務で Sysmon レポートが提供する豊富で正確な IoC を最大限に活用することをお勧めします。フィードバックをメールでお送りください。セキュリティ コミュニティからのご連絡をお待ちしております。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments