VxStream Sandbox

インテリジェンスサービス調査を継続している。
"VxStream Sandbox" はPayload Securityが提供する無料マルウェア解析サービスであり、無料ID作成することで利用可能。
無料IDは機能制限があり、有償版との比較はこちらwww.hybrid-analysis.com
ポータルサイトに対してファイル(PE、Office、PDF等)をアップロードするかURLを指定する形式だった。
f:id:hs_work:20170118004226p:plain

また、API経由で直接データフィードも取得可能だった。
VxStream Sandbox Public API v1.0が公開されており、以下はCLIからハッシュ値で検索した例である。

# curl -X GET 'https://www.reverse.it/api/scan/040c0111aef474d8b7bfa9a7caa0e06b4f1049c7ae8c66611a53fc2599f0b90f' -A 'VxStream' -u <API Key:API Password>
{
    "response_code": 0,
    "response": [
        {
            "environmentId": "100",
            "sha256": "040c0111aef474d8b7bfa9a7caa0e06b4f1049c7ae8c66611a53fc2599f0b90f",
            "submitname": "3257422871.js",
            "environmentDescription": "Windows 7 32 bit",
            "size": 4714,
            "type": "ASCII text",
            "targeturl": "",
            "md5": "70a2b7c2b2f9c1abe65baae5f34c9f69",
            "sha1": "f5308a8730bb8c4972b4240c8379ed8954e7a45e",
            "multiscan_detectrate_pcnt": 16,
            "virustotal_familyname": "Nemucod.BB1",
            "virustotal_detectrate_pcnt": 16,
            "isurlanalysis": false,
            "analysis_start_time": "2016-06-14 11:35:07",
            "threatscore": 100,
            "isinteresting": false,
            "threatlevel": 2,
            "compromised_hosts": [
                "166.62.109.86",
                "193.23.244.244"
            ],
            "domains": [
                "osogeq.goldvredy.org",
                "zafronrestaurant.com",
                "ojuhjrykij.goldvredy.org"
            ],
            "hosts": [
                "166.62.109.86",
                "193.23.244.244",
                "212.92.97.33"
            ]
        }
    ]
}


以下の使い方のとおり、ユーザーエージェントを "VxStream" として指定する必要があり、少し嵌った。

How do I authenticate on the HTTP requests?
Currently, there is two ways to authenticate a HTTP request towards the server. Either pass the URL query parameters apikey and secret or use 'Basic Auth' with the >API key and secret as the username and password (recommended). Also, in order to bypass the internal User-Agent blacklist checks, a browser typical User-Agent >string or e.g. 'VxStream' has to be provided.