Hunting用のマルウェアデータセットを提供してくれる【mquery】


インテリジェンス業務を行っていると、自社に着弾したマルウェアと同種のものを捕まえて解析し、 攻撃の分析に役立てようとする営みをすることがあると思います。 これを Threat Hunting と言います。 では、インテリジェンス分析者はどうやって「同種のもの」を捕まえてきているかというと、 最も多くの場合「Yara rule」と呼ばれるシグネチャマッチングで行っています。 つまり、同種のものを捕まえられるようなルールを書き、大量のデータセットに対して検索することで捕まえてくるというわけです。 また、Yara rule で検体を Hunting できた場合は自組織の EDR やネットワークフォレンジック装置にルールを組み込むことで、 より高度で効果的な防御をすることができます。

では、Hunting 対象のデータセットはどこにあるでしょうか? もっとも有名なのは Virus Total というオンラインのウイルススキャンサービスですが、 Hunting の機能は少々高額で初心者がいきなりこれを試すことはハードルが高いです。 そこで役立つのが、CERT.PL が提供している mquery というサービスです。 mquery はマルウェアのデータセットを提供しており、Yara rule を提出するとルールにマッチしたマルウェアの検体を提供してくれます。 マルウェアのデータセットも 76,000 近くあるため、試しに Hunting するには十分です。 

これの強みは、オンラインサンドボックスでできないようなシグネチャマッチングによる検索を、擬似的に mquery が代用してくれているという点です。 mquery を使ってシグネチャマッチした検体のハッシュ値がわかれば、 他のオンラインサンドボックスやインテリジェンスサービスに投稿された検体に到達することができ、非常に有用です。 また、mquery と同じくYara ruleでHuntingできるサービスとして、CrowdStrike が提供してくれている Hybrid Analysis というオンラインサンドボックスがあります。こちらでもHunting, ルール検証ができるので、良性・悪性入り混じったサンプルでのルール検証がしたい場合などは有効活用できると思います。