Cisco ThreatGrid(以降TG)は、サンドボックス製品で怪しいファイルなどを仮想空間内で解析することでマルウェアの可能性を判定するクラウドサービスです(アプライアンス型オンプレミスモデルもあります)。現在猛威を振るっている Wanna Cry は、観測開始された5/12時点で多数解析され、マルウェア判定されています。また、12日時点では、9つの亜種も観測され、その全てをマルウェアの可能性があるとして判定しています。
TGはランサムウェア検出のためのエンジンを多数実装しており、上記の濃いオレンジ色で表示されている項目が、確定的な各検出指標(Behavioral Indicators)です。TGはSeverityとConfidenceという2つの評価指標を持っており、一定の得点以上を獲得すると、そのファイルをマルウェアとして定義します。
TGはサンドボックスとしては面白い機能を実装しています。それは、感染を起こした端末のデスクトップの変化を録画する機能になります。
今回のWanna Cryにおけるデスクトップ変化の一例をご紹介します。
https://youtu.be/YURhs-HAoFY
Authors
コメントを書く