サンドボックスについて【追記】

皆さんこんにちは
若者に色々役に立つかもしれない情報をたまに呟いているおじさんです。

最近、アンチマルウェアに関連したお仕事をしているので、久しぶりにサンドボックスを調べていたところ、良さそうなサービスに出会いました。

Free Automated Malware Analysis Service - powered by Falcon Sandbox

海外のサイトなのですが、アカウントを登録することで、以下のようなサービスを無料で受けられます。

• Your own submissions list

• Unlimited submissions/month

• Download public samples, network captures, etc.

マルウェアサンプルを集めて情報をセキュリティベンダーに有償で提供する契約を結んでいるので、収集する部分に関しては無料でできるのだと思います。

業務上、サンプルのマルウェアは必要になるのでこのようなサンドボックスサービスを探していたのですが、ようやく良いものを見つけられたようです。ただ、恐らく細かなOSバージョンの指定や感染に利用される脆弱性のあるアプリなども追加できないため、サンドボックスと言いながらもかなり静的な解析に依存していると思われます。（内部ではもっと細かいことをやっていると思いますが、無償で提供されるサンドボックスは固定のようです。）

サンプルファイルをダウンロードしようと思ったのですが、VettingProcessが必要でした。これは僕を審査するフローで、現在働いている会社や、過去に投稿したセキュリティブログ等の情報を提出しないとサンプルをダウンロードできない仕組みになっています。（当然ですよね、ダウンロードしたマルウェアは既にWeponizeされているので実行すれば動いてしまいますから、不正に利用されないようにこのような審査が必要です。）
申請で使用するブログリンクは、昔の会社の物が残っていたのでそれを使ってみました。現在審査中なのでどうなるか。Linkedinでもできそうなのですが、実際にブログポストしたものが望ましいという説明が書いてありました。

審査に合格したら続きを書いてみます。

【追記】
無事審査通過しました。
これでサンプルのダウンロードができるようになります。
サンプルファイルはgzで圧縮されてダウンロードされます。
圧縮されたファイルは拡張子が変更されているのでダウンロード元のファイル名＋拡張子に変更すればWeponizedされた形になります。
アンチマルウェア製品によっては拡張子関係なくファイル属性を見て検査している物があるので、ダウンロード先のフォルダを検査対象外にするか、一時的にアンチマルウェアのエンジンを停止させておかないと、基本的に隔離されてしまいますのでご注意ください。

【追記の追記】
更に面白い機能を見つけました。
世界中でポストされているサンプルの判定結果を世界地図と色で表しているマップです。特に何ということはないのですが、マルウェアが立て続けに見つかるのは面白いですね。

Free Automated Malware Analysis Service - powered by Falcon Sandbox - Intelligence Threatmap

サムネはAdobe FireFlyで生成「砂場　ジャングル　どんよりとした空」