MA:Malware Analysisの動作の概要

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suite Malware Analysisは、自動化されたマルウェア解析ツールです。特定の種類のファイル オブジェクト(Windows PE(Portable Executable)、PDF、MS Officeなど)を解析し、悪意のあるファイルである可能性を評価できるように設計されています。 

Malware Analysisでは、4種類の解析手法を用いてセキュリティ侵害の兆候(本ソフトウェアでは、セキュリティ侵害インジケータと呼びます)を検出します。

  • ネットワーク セッション解析(ネットワーク)
  • 静的ファイル解析(静的)
  • 動的ファイル解析(サンドボックス)
  • セキュリティ コミュニティ解析(コミュニティ)

4種類の解析手法はそれぞれ、他の手法に固有の弱点を補完しています。たとえば、動的ファイル解析では、セキュリティ コミュニティ解析フェーズでは検出されないゼロ デイ攻撃の検出を補完できます。マルウェア解析を1つの手法だけで行わないようにすることで、偽陰性(false negative)対策を強化することができます。

ビルトインのセキュリティ侵害インジケータに加えて、Malware Analysisでは、YARAで記述されたセキュリティ侵害インジケータもサポートされます。YARAは、マルウェアの調査担当者がマルウェアのサンプルの特定や分類を行えるようにするためのルール言語です。これにより、IOC(セキュリティ侵害インジケータ)の作成者は、YARAルールを作成してRSA Liveに公開し、RSA Malware Analysisの検出機能を拡張することができます。RSA Liveに公開されたYARAベースのIOCは、サブスクライブしているホストに自動的にダウンロードされ、アクティブ化されて、調査対象の各ファイルに対して実施する解析能力が補完されます。 

Malware Analysisは、Incident Managementのアラートをサポートする機能も備えています。

機能説明

次の図は、コア サービス(Decoder、Concentrator、Broker)と、Malware Analysisサービス、NetWitnessサーバの機能的な関係を示しています。

コア サービス、Malware Analysisサービス、Netwitnessサーバ間の関係

Malware Analysisサービスは、次の手法を組み合わせてファイル オブジェクトを解析します。

  • ConcentratorやBrokerの継続的な自動ポーリング(常時スキャン)。Parserによってマルウェア コンテンツを含んでいる可能性があると識別されたセッションを抽出します。
  • ConcentratorやBrokerのオン デマンド ポーリング。マルウェア アナリストによってマルウェア コンテンツを含んでいる可能性があると識別されたセッションを抽出します。
  • ファイルのオン デマンド アップロード(ユーザ指定)。

ConcentratorやBrokerの自動ポーリングが有効になっている場合、Malware Analysisサービスは、使用しているCoreサービスによって収集および解析されたデータから直接、ネットワーク上の実行可能ファイル、PDFドキュメント、Microsoft Officeドキュメントを継続的に抽出し、優先順位を付けます。Malware Analysisサービスは、ConcentratorやBrokerに接続して、マルウェアの可能性ありとしてフラグが付けられている実行可能ファイルのみを抽出するため、処理は高速で効率的です。この処理は継続的に行われ、モニタリングは必要ありません。

ConcentratorやBrokerのオン デマンド ポーリングを実行する場合、マルウェア アナリストはInvestigationを使用して、収集されたデータを詳しく調べ、解析するセッションを選択します。Malware Analysisサービスは、この情報を使用して自動的にConcentratorやBrokerをポーリングし、指定されたセッションを解析用にダウンロードします。

ファイルのオン デマンド アップロードでは、アナリストがCoreインフラストラクチャの外部で収集されたファイルをレビューするための手法を提供します。マルウェア アナリストは、フォルダの場所を選択し、1つ以上のファイルをアップロードしてMalware Analysisで解析することができます。これらのファイルは、ネットワーク セッションから自動的に抽出されたファイルと同じ手法で解析されます。 

解析手法

ネットワーク解析の場合、Malware Analysisサービスは、一般的なマルウェア アナリストと同様に、標準的なファイルの性質から逸脱しているように見える特徴を検索します。数百個から数千個の特徴を調べ、結果を加重スコア システムと組み合わせることによって、疑わしいセッションがハイライト表示されます。ユーザは、セッション内の異常なアクティビティを示すパターンを、セキュリティ侵害インジケータとして識別し、さらに詳しい調査を実行することができます。

Malware Analysisサービスでは、ネットワーク上で検出した疑わしいファイルに対して静的解析を実行し、それらのオブジェクトに悪意のあるコードが含まれているかどうかを判断できます。コミュニティ解析では、ネットワーク上でマルウェアとして検出されたデータは、RSA Cloudにプッシュ送信され、RSA独自のマルウェア分析データや、SANS Internet Storm Center、SRI International、米国財務省、VeriSignといった組織からのFeedを使って確認されます。サンドボックス解析では、サービスは主要なSIEM(Security Information and Event Management)ホストやThreatGrid Cloudなどにもデータを送信して解析できます。 

Malware Analysisでは、業界のリーダーやエキスパートとの提携によるユニークな解析手法が提供されており、そのテクノロジーによってMalware Analysisのスコア システムを充実させることができます。

Malware AnalysisサービスへのNetWitnessサーバアクセス

NetWitnessサーバでは、Investigationから、Malware Analysisサービスに接続し、タグ付けされたデータを送信して、より詳細な解析を実行することができます。解析は3つのサブスクリプション レベルに基づいて実行されます。

  • 無料サブスクリプション:NetWitness Suiteを利用中のすべてのユーザが利用可能な、ThreatGrid解析用の無料の試用版キーによるサブスクリプションが提供されます。このレベルでは、Malware Analysisサービスでの処理数が、1日あたり100個のファイル サンプルに制限されています。ThreatGrid Cloudに送信されるサンドボックス解析用サンプルの数は1日あたり5件に制限されています。1つのネットワーク セッションに100個のファイルが含まれている場合、1つのネットワーク セッションを処理すると、処理数の制限値に達します。100個のファイルを手動でアップロードした場合でも、処理数の制限値に到達します。
  • 標準サブスクリプション:Malware Analysisサービスへの送信回数は無制限です。ThreatGrid Cloudに送信されるサンドボックス解析用サンプルの数は1日あたり1000件まで可能です。
  • エンタープライズ サブスクリプション:Malware Analysisサービスへの送信回数は無制限です。ThreatGrid Cloudに送信されるサンドボックス解析用サンプルの数は1日あたり5000件まで可能です。

スコアリング手法

デフォルトでは、IOC(セキュリティ侵害インジケーター)は、業界のベスト プラクティスを反映するように調整されています。解析中に、IOCのスコアによって、サンプルがマルウェアである可能性が示されます。NetWitness Suiteでは、IOCの設定をチューニングでき、マルウェア アナリストは割り当てられたスコアを変更したり、IOCの評価を無効にしたりすることができます。アナリストは、デフォルトの設定を使用するか、特定のニーズに合わせて設定をチューニングするかを柔軟に選択できます。

YARAベースのIOCは、ビルトインのIOCに混合されます。各ビルトイン カテゴリーのIOCとインタリーブされ、ネイティブのIOCと区別されません。[サービス]の[構成]ビューでIOCを表示するとき、管理者は、モジュール選択リストからYARAを選択することで、YARAルールを一覧表示できます。 

NetWitness Suiteに格納されたセッションは、セキュリティ侵害インジケータをさらに解析するために、Investigationの表示および解析機能をすべて利用できます。Investigationで表示した場合、YARAのIOCは、Yara rule.というタグで、ビルトインのネイティブIOCと区別されます。

導入

Malware Analysisサービスは、個別のRSA Malware Analysisホストとして導入されます。専用Malware Analysisホストには、Coreインフラストラクチャ(他のBrokerやConcentrator)に接続するオンボードのBrokerが搭載されています。この接続の前に、Malware Analysisサービスがデータを取得する元になるConcentratorとBrokerに接続されているDecoderに、必要なParserとFeedを追加する必要があります。  これにより、疑わしいデータ ファイルが抽出用にマークされます。これらのファイルは、RSA Liveコンテンツ管理システムを通じて入手することができ、コンテンツにはmalware analysisというタグが付けられています。

スコア モジュール

RSA NetWitness Suite Malware Analysisでは、ネットワーク、静的解析、コミュニティ、サンドボックスの4つのカテゴリーで、セッションとそのセッション内のファイルを解析し、スコアを計算します。各カテゴリーは、多くのルールやチェックで構成されており、1~100のスコアを計算するために使用されます。スコアが高いほど、悪意のあるセッションである可能性が高くなり、より詳しい追加調査を行う必要があります。

Malware Analysisでは、警告やインシデントに至るまでの一連のイベントの履歴を簡単に調査することができます。ネットワークで特定のタイプのアクティビティが発生していることが分かっている場合は、関連性の高いレポートのみを選択し、データ コレクションの内容を調べることができます。スコア カテゴリーやファイル タイプ(Windows PE、PDF、Microsoft Office)に基づいて、各スコア カテゴリーの動作を変更することもできます。

データ ナビゲーションの手法に慣れたら、次のような方法でより詳細にデータを調べることができます。

  • 特定のタイプの情報を検索する。
  • 特定のコンテンツを詳しく調査する。

ネットワーク、静的解析、コミュニティ、サンドボックスのカテゴリー スコアは、個別に保持およびレポートされます。個別のスコアに基づいてイベントを表示したときに、1つのカテゴリーでマルウェアが検出された場合には、詳細な解析が必要です。

ネットワーク

最初のカテゴリでは、各コア ネットワーク セッションを調査して、マルウェアと疑われるセッションがあるかどうかを判断します。たとえば、既知の安全なサイトから、適切なポートとプロトコルを使用して、通常の(悪意のない)ソフトウェアをダウンロードするアクティビティは、問題なしと見なされます。この条件セットのスコア計算で使用される要素の例として、次のようなセッションがあります。

  • 脅威Feed情報に合致するような内容を含んでいる
  • 既知の悪質なサイトに接続する
  • 高リスクと見なされているドメインや国(.ccドメインなど)に接続する
  • 標準以外のポートで既知のプロトコルを使用する
  • 難読化されたJavaScriptを含んでいる

静的解析

2番目のカテゴリーでは、実行ファイルが悪意のある動作をする可能性を予測するために、セッション内の各ファイルについて難読化の兆候を解析します。たとえば、ネットワーク ライブラリにリンクされているソフトェアは、不審なネットワーク アクティビティを実行する可能性が高くなります。この条件セットのスコア計算で使用される要素の例として、次のようなものがあります。

  • XORエンコードされていることが検出されたファイル
  • EXE以外の形式で組み込まれていることが検出されたファイル(GIF形式で組み込まれていることが検出されたPEファイルなど)
  • リスクの高いインポート ライブラリにリンクしているファイル
  • PE形式から著しく逸脱しているファイル

コミュニティ

3番目のカテゴリーでは、セキュリティ コミュニティで蓄積されたインテリジェンスに基づいてセッションやファイルのスコアを計算します。たとえば、主要なアンチウイルス(AV) ベンダーによって、フィンガープリントやハッシュが有害か無害かがすでに分かっているファイルは、その情報に従ってスコアが計算されます。また、ファイルのスコア計算では、ファイルの配信元が有害と指定されているか無害とされているかといったセキュリティ コミュニティのインテリジェンスも考慮されます。

コミュニティ スコアは、ユーザ環境のAVソフトウェアがファイルを悪意のあるファイルとしてフラグを設定しているかどうかも示します。ただし、そのAV製品によってシステムが保護されていることを保証するわけではありません。

サンドボックス

4番目のカテゴリーでは、実際にソフトウェアをサンドボックス環境で実行することによって、ソフトウェアの動作を調べます。ソフトウェアを実行してその動作を観察することにより、既知の悪意のあるアクティビティを識別してスコアを計算できます。たとえば、再起動のたびに、自動起動してIRC接続するように自身を構成するソフトウェアは、既知の不正な動作をしないファイルよりもスコアが高くなります。

アナリストのロールと権限

このトピックでは、ユーザがNetWitness Suiteでマルウェア解析を実施するために必要なロールと権限について説明します。解析タスクを実行できないか、ビューを表示できない場合、ロールや権限が不足している可能性があります。

必要なロールと権限

RSA NetWitness Suiteでは、ビューや機能へのアクセスを許可する手段として、システム レベルの権限と個々のサービス レベルの権限の両方を使用します。

システム レベルでは、特定のビューや機能にアクセスを許可するシステム ロールを[管理]>[システム]ビューでユーザに割り当てる必要があります。

NetWitness Suite 11.0のデフォルトのMalware_Analystsロールには、下に示すすべての権限が割り当てられています。必要に応じて、管理者は、次の権限を組み合わせてカスタム ロールを作成できます。

  • Investigationモジュールへのアクセス(必須)
  • Investigation:イベントの参照
  • Investigation:値の参照
  • Incidentモジュールへのアクセス
  • インシデントの表示と管理
  • マルウェア イベントの表示(イベントを表示する場合)
  • ファイルのダウンロード(Malware Analysisサービスからファイルをダウンロードする場合)
  • マルウェア スキャンの開始(1回限りのサービス スキャンまたは1回限りのファイル アップロードを開始する場合)
  • ダッシュレット権限(利便性の向上):ダッシュレット - Investigate 上位の値 ダッシュレット、ダッシュレット - Investigate サービス リスト ダッシュレット、ダッシュレット - Investigate ジョブ ダッシュレット、ダッシュレット - Investage ショートカット ダッシュレット。

カスタム ロールとしてたとえば、ファイルのダウンロード権限を持たないJunior Malware Analystというロールを作成することができます。

特定のサービスに対して、マルウェア アナリストをAnalystsロールのメンバーに追加するか、Analystグループに割り当てられるsdk.metasdk.contentという2つのデフォルト権限を持つグループに追加する必要があります。この2つの権限を持つユーザは、サービスで解析を行う目的で、特定のアプリケーションの使用、クエリの実行、コンテンツの表示を実行できます。

You are here
Table of Contents > Malware Analysisの動作の概要

Attachments

    Outcomes