BlackEnergyマークを活用した脅威ハンティング

まず最初に、以前の 記事に対するフィードバックとコメントをいただいた皆様に感謝申し上げます。理論が実際にどのように役立つかを見るのは非常に刺激的でした。記事が公開された後、私たちの同僚である Talosが署名適用の結果を共有してくれました。すべてのサンプルはVirusTotalでテストされ、次の表に記録されています。

As you can see from the table, we have 7 samples that had first appeared on the VirusTotal in the last couple of days.

The oldest sample is more than 8 years old.

There is one sample that is identified only by three anti-virus solutions – cd86b354334af457c474c13901d905745edebbef5c23a276854cd2fb26795917 – and one of those solutions classifies it as BlackEnergy:

それはちょうど1日前に出現しました。
皆さんにも参加していただき、テーブルをサンプルで埋めていくことを提案します。最古のサンプルやどれだけの異なるサンプルを「捕まえる」ことができるかを見るのは興味深いでしょう。コメントにハッシュを書き込むことができます。「新しいサンプルの『狩り』」が、さらに興味深いパターンを明らかにすることを望みます。

3月11日に更新

私たちはさらに3つのサンプルを受け取りました。ウイルス名、ファイルサイズ、その他のパラメータに基づいて、同じソースコードの変異であることが明らかです。しかし、 記事 で述べたように、これらのサンプルの共通の属性は、同じハッシュ（8バイト）です。このため、シンプルな署名がどのようにして同じツールで処理された3つのサンプルを結びつけ、それがターゲットに配信される前の兵器化フェーズで使用されたことを示しているかを観察することができます。したがって、コードの変異にもかかわらず、初期解析段階でこれを早期に検出することができます。

もちろん、私が開発したYara-signatureは万能の解決策ではないことは認識していますが、このようなシンプルな方法でも全体のパターンを明らかにすることができる興味深い観察を行うのに役立ちます、一種のリトマス試験です。