Joe Sandbox v44 - Smoke Quartz リリースのお知らせ

本日、コードネーム「Smoke Quartz(スモーククォーツ)」と銘打った Joe Sandbox 44 をリリースしましたのでご案内いたします。本リリースには、Joe Sandbox をさらに強化するための多数の新規検知シグネチャと重要な機能が盛り込まれています。



Joe Sandbox Cloud Pro、Basic、および OEM サーバーは先日「Smoke Quartz」へとアップグレード済みです。
オンプレミス版の Joe Sandbox をご利用のお客様は、カスタマーポータルで配布されているユーザーガイド内「Updating(アップデート)」の章に記載された手順に従って、アップグレードを実施してください。

Smoke Quartz には、新たなマルウェアファミリーを検知するための非常に多くの Yara シグネチャおよび挙動(Behavior)シグネチャが含まれています。検知対象として追加された主なマルウェアファミリーは以下のとおりです。

• TrashAgent / UDPGangster / ArliaiBot / ChromElevator
• Sicari Ransomware(ランサムウェア) / DeskRAT / Apollo Logger
• SHub Stealer / DriverFixer0428 / DigitStealer / Aisuru
• Heaven Stealer / TOLLBOOTH / Scarface Stealer など

さらに、19件の新しいマルウェア構成情報(Configuration)抽出器(Extractor)も追加されています。
対象となるファミリーの例:

• Salat Stealer / Aura Stealer / MeshAgent / GhostSock / Spark RAT
• Xorium Stealer / Zetarat / RevoltRAT / Kittysocks5 / QQPass
• ApolloAgent / Raven Stealer / Sakula RAT / Gravity RAT
• Memalpha Stealer / Wall Stealer など

近年、フィッシング検知は格段に難しくなっています。これは主に、IPアドレスベースのレピュテーション(評価)システムや、ボット検出機構の普及に起因します。サンドボックスが疑わしいフィッシングページにアクセスすると、サーバー側は当該IPアドレスの評判やボットスコアを評価し、本来のペイロード(悪意あるコンテンツ)を返すか、無害なレスポンスを返すかを判断します。
こうした回避手法へ対抗するため、Joe Sandbox v44 では SOCKS および HTTP プロキシのサポートを追加しました。本機能は Joe Sandbox Cloud Pro のみで利用可能です。
ボットスコアが低く、IPレピュテーションの高い住宅用(レジデンシャル)プロキシを活用することで、アナリストが本物のフィッシングペイロードを取得・解析できる可能性を大きく高めることができます。
なお一般的に、プロキシは VPN よりも有効です。これは、フィッシングインフラ側にとって、プロキシのほうが検出が困難なためです。

マルウェアが用いる回避型のDLLロード手法をより的確に検知するため、新たにプロキシ検知機能を追加しました。
wininet、netapi、dpapi などC2ビーコンでよく利用されるDLLは、攻撃者によって、疑わしい呼び出しスタック(call stack)を隠す形で読み込まれる場合があります。具体的には、攻撃者は kernel32!LoadLibrary の呼び出しを ntdll 経由でプロキシしたり、ThreadPool のワーカースレッドを使って非同期にロードを行ったりすることで、検知を回避します。
その結果、コールスタック上には侵害を示す明らかな痕跡が表れず、一見「クリーン」に見えてしまいます。プロキシ検知機能は、こうした間接的なロード経路を明らかにします。これは、従来の挙動解析では見落とされがちな、ステルス性の高い実行手法を可視化できるという点で非常に重要です。


詳細な解析結果はこちら: https://www.joesandbox.com/analysis/1847817/0/html#overview

Joe Sandbox v44 では、macOS Sonoma および Sequoia をサポート対象に追加しました。これにより、お客様はより新しい macOS 環境上でマルウェア解析を実施できるようになります。


Digit Stealer ペイロードの解析レポート例: 解析レポートを開く

Joe Sandbox による解析および脅威インテリジェンスと、Microsoft のクラウドネイティブな SIEM/SOAR である Microsoft Sentinel とを接続する統合機能を追加しました。
この連携により、ファイル・URL・メール添付ファイルなどの疑わしいアーティファクトを、Sentinel のワークフロー上から直接 Joe Sandbox に解析依頼することができます。解析結果は再び Sentinel 側にフィードバックされ、各インシデントに深い挙動コンテキストを付与します。
解析の過程で抽出された IoC (侵害指標, Indicator of Compromise) は、検知や脅威インテリジェンスとのコリレーション(突合)に活用できます。これにより、調査・対応プロセスの自動化が進み、手作業の解析ステップが減ることでアナリストの業務効率が向上します。総じて、本連携により Microsoft Sentinel は高度なマルウェア解析と実行可能な脅威コンテキストを獲得することになります。


連携用リポジトリはこちら: https://github.com/joesecurity/ms-sentinel

本ブログ記事では、Joe Sandbox Smoke Quartz における主要な機能を紹介しました。これらの中核となる改善は、自動化・検知・ユーザビリティの各面で大きな前進を示すものです。
本記事で扱った主要機能のほかにも、Smoke Quartz には以下のような細かな改良が多数盛り込まれています。

• プロセスの標準入力(stdin)キャプチャを追加
• バンドル版 Node.js バイナリに対する SSL インスペクション(検査)の改善
• QRコードリーダーの改善
• 各種 VM (仮想マシン) 検出の回避に対する防止機能の改善

これらすべての強化が一体となることで、アナリストおよびセキュリティチームは脅威をより効率的に調査でき、より深いインサイトを得られるとともに、絶えず進化するマルウェア環境において常に一歩先んじることが可能になります。
Joe Sandbox をお試しになりたい方は、Joe Sandbox Cloud Basic で無料アカウントを登録いただくか、技術的な詳細デモをご希望の方はお問い合わせください。