調査:Malware Analysisの機能

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suite Malware Analysisは、自動化されたマルウェア解析ツールです。特定の種類のファイル オブジェクト(Windows PE(Portable Executable)、PDF、MS Officeなど)を解析し、悪意のあるファイルである可能性を評価できるように設計されています。 

Malware Analysisでは、4種類の解析手法を用いてセキュリティ侵害の兆候(本ソフトウェアでは、セキュリティ侵害インジケータと呼びます)を検出します。

  • ネットワーク セッション解析(ネットワーク)
  • 静的ファイル解析(静的)
  • 動的ファイル解析(サンドボックス)
  • セキュリティ コミュニティ解析(コミュニティ)

4種類の解析手法はそれぞれ、他の手法に固有の弱点を補完しています。たとえば、動的ファイル解析では、セキュリティ コミュニティ解析フェーズでは検出されないゼロ デイ攻撃の検出を補完できます。マルウェア解析を1つの手法だけで行わないようにすることで、偽陰性(false negative)対策を強化することができます。

ビルトインのセキュリティ侵害インジケータに加えて、Malware Analysisでは、YARAで記述されたセキュリティ侵害インジケータもサポートされます。YARAは、マルウェアの調査担当者がマルウェアのサンプルの特定や分類を行えるようにするためのルール言語です。これにより、IOC(セキュリティ侵害インジケータ)の作成者は、YARAルールを作成してRSA Liveに公開し、RSA Malware Analysisの検出機能を拡張することができます。RSA Liveに公開されたYARAベースのIOCは、サブスクライブしているホストに自動的にダウンロードされ、アクティブ化されて、調査対象の各ファイルに対して実施する解析能力が補完されます。 

Malware Analysisは、Incident Managementのアラートをサポートする機能も備えています。

機能説明

次の図は、コア サービス(Decoder、Concentrator、Broker)と、Malware Analysisサービス、NetWitness Serverの機能的な関係を示しています。

Relationship between core services, Malware Analysis service, and the Netwitness server

Malware Analysisサービスは、次の手法を組み合わせてファイル オブジェクトを解析します。

  • ConcentratorやBrokerの継続的な自動ポーリング(常時スキャン)。Parserによってマルウェア コンテンツを含んでいる可能性があると識別されたセッションを抽出します。
  • ConcentratorやBrokerのオン デマンド ポーリング。マルウェア アナリストによってマルウェア コンテンツを含んでいる可能性があると識別されたセッションを抽出します。
  • ファイルのオン デマンド アップロード(ユーザ指定)。

ConcentratorやBrokerの自動ポーリングが有効になっている場合、Malware Analysisサービスは、使用しているCoreサービスによって収集および解析されたデータから直接、ネットワーク上の実行可能ファイル、PDFドキュメント、Microsoft Officeドキュメントを継続的に抽出し、優先順位を付けます。Malware Analysisサービスは、ConcentratorやBrokerに接続して、マルウェアの可能性ありとしてフラグが付けられている実行可能ファイルのみを抽出するため、処理は高速で効率的です。この処理は継続的に行われ、モニタリングは必要ありません。

ConcentratorやBrokerのオン デマンド ポーリングを実行する場合、マルウェア アナリストは[調査]を使用して、収集されたデータを詳しく調べ、解析するセッションを選択します。Malware Analysisサービスは、この情報を使用して自動的にConcentratorやBrokerをポーリングし、指定されたセッションを解析用にダウンロードします。

ファイルのオン デマンド アップロードでは、アナリストがCoreインフラストラクチャの外部で収集されたファイルをレビューするための手法を提供します。マルウェア アナリストは、フォルダの場所を選択し、1つ以上のファイルをアップロードしてMalware Analysisで解析することができます。これらのファイルは、ネットワーク セッションから自動的に抽出されたファイルと同じ手法で解析されます。 

解析手法

ネットワーク解析の場合、Malware Analysisサービスは、一般的なマルウェア アナリストと同様に、標準的なファイルの性質から逸脱しているように見える特徴を検索します。数百個から数千個の特徴を調べ、結果を加重スコア システムと組み合わせることによって、疑わしいセッションがハイライト表示されます。ユーザは、セッション内の異常なアクティビティを示すパターンを、セキュリティ侵害インジケータとして識別し、さらに詳しい調査を実行することができます。

Malware Analysisサービスでは、ネットワーク上で検出した疑わしいファイルに対して静的解析を実行し、それらのオブジェクトに悪意のあるコードが含まれているかどうかを判断できます。コミュニティ解析では、ネットワーク上でマルウェアとして検出されたデータは、RSA Cloudにプッシュ送信され、RSA独自のマルウェア分析データや、SANS Internet Storm Center、SRI International、米国財務省、VeriSignといった組織からのFeedを使って確認されます。サンドボックス解析では、サービスは主要なSIEM(Security Information and Event Management)ホストやThreatGrid Cloudなどにもデータを送信して解析できます。 

Malware Analysisでは、業界のリーダーやエキスパートとの提携によるユニークな解析手法が提供されており、そのテクノロジーによってMalware Analysisのスコア システムを充実させることができます。

Malware AnalysisサービスへのNetWitness Serverアクセス

NetWitness Serverでは、調査モジュールから、Malware Analysisサービスに接続し、タグ付けされたデータをインポートして、より詳細な解析を実行することができます。解析は3つのサブスクリプション レベルに基づいて実行されます。

  • 無料サブスクリプション:NetWitness Suiteを利用中のすべてのユーザが利用可能な、ThreatGrid解析用の無料の試用版キーによるサブスクリプションが提供されます。このレベルでは、Malware Analysisサービスでの処理数が、1日あたり100個のファイル サンプルに制限されています。ThreatGrid Cloudに送信されるサンドボックス解析用サンプルの数は1日あたり5件に制限されています。1つのネットワーク セッションに100個のファイルが含まれている場合、1つのネットワーク セッションを処理すると、処理数の制限値に達します。100個のファイルを手動でアップロードした場合でも、処理数の制限値に到達します。
  • 標準サブスクリプション:Malware Analysisサービスへの送信回数は無制限です。ThreatGrid Cloudに送信されるサンドボックス解析用サンプルの数は1日あたり1000件まで可能です。
  • エンタープライズ サブスクリプション:Malware Analysisサービスへの送信回数は無制限です。ThreatGrid Cloudに送信されるサンドボックス解析用サンプルの数は1日あたり5000件まで可能です。

スコアリング手法

デフォルトでは、IOC(セキュリティ侵害インジケーター)は、業界のベスト プラクティスを反映するように調整されています。解析中に、IOCのスコアによって、サンプルがマルウェアである可能性が示されます。NetWitness Suiteでは、IOCの設定をチューニングでき、マルウェア アナリストは割り当てられたスコアを変更したり、IOCの評価を無効にしたりすることができます。アナリストは、デフォルトの設定を使用するか、特定のニーズに合わせて設定をチューニングするかを柔軟に選択できます。

YARAベースのIOCは、ビルトインのIOCに混合されます。各ビルトイン カテゴリーのIOCとインタリーブされ、ネイティブのIOCと区別されません。[サービス]の[構成]ビューでIOCを表示するとき、管理者は、モジュール選択リストからYARAを選択することで、YARAルールを一覧表示できます。 

NetWitness Suiteに格納されたセッションは、セキュリティ侵害インジケータをさらに解析するために、[調査]での表示および解析機能をすべて利用できます。[調査]で表示した場合、YARAのIOCは、Yara rule.というタグで、ビルトインのネイティブIOCと区別されます。

導入

Malware Analysisサービスは、個別のRSA Malware Analysisホストとして導入されます。専用Malware Analysisホストには、Coreインフラストラクチャ(他のBrokerやConcentrator)に接続するオンボードのBrokerが搭載されています。この接続の前に、Malware Analysisサービスがデータを取得する元になるConcentratorとBrokerに接続されているDecoderに、必要なParserとFeedを追加する必要があります。  これにより、疑わしいデータ ファイルが抽出用にマークされます。これらのファイルは、RSA Liveコンテンツ管理システムを通じて入手することができ、コンテンツにはmalware analysisというタグが付けられています。

You are here
Table of Contents > Malware Analysisの実施 > Malware Analysisの機能

Attachments

    Outcomes