不久前，蜜雪兒寫了一篇博客文章，通過.LNK檔案跟踪威脅參與者。

在本文中，我們想說明如何利用VirusTotal（retro）蒐索來選取與單個威脅參與者連結的惡意軟件樣本和中繼資料。我們使用YARA規則的强大功能來精確定位我們正在尋找的中繼資料。

通過從我們在上一篇博客文章中提到的.LNK檔案（卷ID和MAC地址）中選取一些中繼資料，我們將在VirusTotal上蒐索包含該中繼資料的示例。從MAC地址00:0C:29:5A:39:04可以清楚地看到，威脅參與者使用虛擬機器構建惡意軟件：00:0C:29是VMware擁有的OUI。我們想知道是否使用同一個虛擬機器創建了其他示例。使用VirusTotal智慧訂閱，可以蒐索VirusTotal示例資料庫，例如使用YARA規則。我們對中繼資料使用以下YARA規則：

VTI支持用YARA規則進行狩獵和復古狩獵。在狩獵中，每當您的YARA規則在VT服務器上觸發時，每次新提交的與您的規則匹配的樣本都會通知您。使用retro-hunting，YARA規則用於掃描VT資料庫中75TB的樣本。這或多或少與過去三個月提交的一組樣本相對應。以下是使用YARA rule MALDOC_LNK進行的追溯蒐索的結果：

下一步是下載並分析所有這些樣本。由於在YARA規則中沒有包含檔案類型條件，囙此我們得到不同類型的檔案：Word.doc檔案、.lnk檔案、包含.lnk檔案的原始OLE流和MIME檔案（以Word檔案作為附件的電子郵件）。使用此命令，我們在示例中蒐索包含“http”的字串：

所以我們看到同一個虛擬機器被用來創建幾個示例。在這裡，我們選取通過.lnk檔案啟動的命令：

有兩種類型的命令：下載一個可執行文件；以及下載一個可執行文件和一個誘餌檔案。

OLE檔案中的中繼資料顯示虛擬機器已使用了幾周：

結論

使用中繼資料和VirusTotal，可以識別同一參與者在3個月內創建的樣本。這些示例可以提供新的中繼資料和ioc。

2017年4月25日2017年5月2日出版