Virus TotalのSplunk用Addonであるvt4splunkを使ってファイルハッシュの調査をしてみたのでここに記録しておきます。
1.ハッシュ値の準備
vt4splunk経由で確認するファイルのハッシュ値を準備します。
今回は、MISPにて収集した IoCデータの中から以下の赤枠のハッシュ値でテストしてみることにしました。
![](https://k2-ornata.com/wp-content/uploads/2023/07/splunk_addon_vt4splunk_hash_00-1024x280.jpg)
なお、MISPではこのハッシュはまず、Payload delivery というタイプで2019-04-10 に配布されており、その後、md5 のタイプで 2019-04-12に配布されているようです。
![](https://k2-ornata.com/wp-content/uploads/2023/07/splunk_addon_vt4splunk_hash_01-2-1024x596.jpg)
2.vt4splunkにハッシュデータを直接渡す
それでは先ほどのMISPから取り出したハッシュをvt4splunkを使って評価してみます。
Search画面から以下のコマンドを打つと、testhashで指定したファイルハッシュに対する Virus Totalでの評価結果を検索結果の一部として表示することができるようになります。
![](https://k2-ornata.com/wp-content/uploads/2023/07/splunk_addon_vt4splunk_hash_02-1-1024x527.jpg)
これをみるとこのハッシュが最初に報告されたのが、2019-04-12 となっています。
ほぼ同時期ですが、Payload delivery というタイプでMISPを確認しておけば、2日早くこのファイルをハッシュにて検知できていたようですね。
![](http://image.moshimo.com/af-img/0068/000000004159.gif)
コメントを残す