調査:Malware Analysisスキャン用ファイルのアップロード

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

アナリストがMalware Analysisスキャンのファイルをアップロードする方法は2つあります。

Malware Analysisスキャンを開始する権限を持つマルウェア アナリストは、[Malware Analysisサービスの選択]ダイアログで[ファイルのスキャン]オプションを使用して、スキャンするファイルをアップロードできます。

また、監視対象のファイル共有を使用してスキャン用ファイルをアップロードすることもできます。

ファイルの手動アップロード

このトピックでは、ファイルをアップロードしてオン デマンド スキャンを開始するための手順について説明します。オンデマンド スキャン用にファイルをアップロードすると、NetWitness Suiteはスキャン ジョブを開始して、ジョブ キューに追加します。ジョブが完了すると、[Malware Analysis]でスキャンを表示できます。

スキャンするファイルをアップロードするには、次の手順を実行します。

  1. 調査>[Malware Analysis]に移動します。
    [Malware Analysisサービスの選択]ダイアログが表示され、現在のユーザが使用できるMalware Analysisのホストとサービスが左側のパネルに示されます。
    Select a Malware Analysis Service dialog
  2. スキャンの表示]をクリックします。
    [マルウェアのスキャン]ダイアログが表示されます。
    Scan for Malware dialog
  3. the add iconをクリックします。
    ファイル システムのビューが表示され、アップロードするファイルを選択できるようになります。
  4. このリストからマルウェア スキャンを行う1つ以上のファイルを選択し、[開く]をクリックします。
    ファイル名が追加されます。Malware Analysisでは、ファイルを処理する前に、ファイル名の文字がエスケープされます。エスケープ後のファイル名の最大文字数は200です。ファイル名が200文字より長い場合は、Malware Analysisによってファイル名の文字がトランケートされ、トランケート後のファイル名がNetWitness Suiteのユーザ インタフェースに表示されます。
  5. アップロードするファイルのリストが揃うまでファイルの追加と削除を続けます。
  6. スキャンに名前を付けて、バイパスするファイルのタイプを選択します。これは異なるタイプのファイルを含むzipアーカイブをスキャンする場合に便利な機能です。また、構成済みのデフォルトのバイパス設定を上書きします。
  7. スキャン]をクリックします。
    スキャン ジョブが送信され、正常に送信されたことを示す確認メッセージがNetWitness Suiteによって表示されます。スキャン リクエストが[スキャン ジョブ リスト]ダッシュレットに追加されます。このダイアログのバイパス設定は、Malware Analysisの基本構成のデフォルト設定を上書きします。
  8. ジョブが[Malware Analysisサービスの選択]ダイアログの[スキャン ジョブ リスト]およびUnifiedダッシュボードの[スキャン ジョブ リスト]ダッシュレットに追加されます。
  9. 完了時にスキャンを表示するには、スキャンをダブル クリックします。
    選択されたスキャンの[イベントのサマリ]が表示されます。

監視対象フォルダからのファイルのアップロード

監視対象フォルダからファイルをアップロードするには、Malware Analysisの監視対象のファイル共有にファイルをドロップできます。アナリストは、YARAルール、ハッシュ ファイル、感染したファイルのZIPアーカイブをMalware Analysisで共有できます。

Malware Analysisでは、ファイル共有が監視され、そのファイル共有内の特定のフォルダに配置されたファイルが自動的にスキャンされます。この機能は以下を行う場合に便利です。

  • /var/lib/rsamalware/spectrum/hashWatchからハッシュ ファイルを一括インポートする。
  • /var/lib/rsamalware/spectrum/yara/watchフォルダから、ホスト上のIOC(セキュリティ侵害インジケータ)リストにカスタムのYARAルールを追加する。
  • /var/lib/rsamalware/spectrum/infectedZipWatch/watchにある、ウイルスに感染したzipファイルのzipアーカイブからオン デマンド スキャン ジョブを作成する。

アナリストは、要件に従ってファイルをスキャンできるよう準備しておく必要があります。また、ファイル拡張子が正しくなければならず、ファイルをファイル共有内の適切な監視対象フォルダにコピーしておく必要があります。

ハッシュ リストのインポート

監視対象ディレクトリからハッシュ リストをインポートするには、ハッシュ リストが指定された形式で記載され、md5でソートされている必要があります。フォーマットされたファイルをMalware Analysisホスト上のフォルダ(/var/lib/rsamalware/spectrum/hashWatch)にドロップすると、ファイルはローカルのハッシュ データベースに自動的にインポートされます。これについては、「Malware Analysis構成ガイド」の「ハッシュ フィルタの構成」で説明されています。

監視対象フォルダを使用してハッシュ リストをインポートするには、次の手順を実行します。

  1. インポートするハッシュ リストを/var/lib/rsamalware/spectrum/hashWatchディレクトリにコピーします。
    NetWitness SuiteMalware Analysisによってこのフォルダが自動的に監視され、ここに配置されたファイルが処理されます。
    1. Malware Analysisによって、ハッシュ リスト内のすべてのハッシュがハッシュ フィルタに追加されます。
    2. 処理エラーが発生した場合、エラーは次の場所に記録されます。/var/lib/rsamalware/spectrum/hashWatch/error
    3. 処理されたファイルは、次の場所にカタログ化されます。/var/lib/rsamalware/spectrum/hashWatch/processed
    4. 処理されたファイルはhashWatchディレクトリから削除されません。
  2. ハッシュを一括してインポートした後、システム管理者はcronジョブを使用して以前の処理済みファイルをクリーンアップすることができます。

IOCリストへのYARAルールのインポート

高度なスキルと知識を持つユーザは、YARAルールを編集してホストに配置することによって、RSA Malware Analysisに検出機能を追加したり、編集したYARAルールをRSA Liveでパブリッシュしたりすることができます。カスタムYARAコンテンツを使用してルールを作成するための前提条件については、「カスタムYARAコンテンツの実装」で詳しく説明します。

ルールの準備ができたら、カスタムYARAファイルを次のMalware Analysisサービスの監視対象フォルダに配置します。
/var/lib/rsamalware/spectrum/yara/watch
ファイルは1分以内に処理されます。
処理されたファイルはNetWitness Suiteによってprocessedフォルダに移動され、Malware Analysisの[サービス]の[構成]ビュー>[セキュリティ侵害インジケータ]タブに、新しいルールが追加されます。

YARA-IOC.png

スキャン ジョブ リストへのファイルのインポート

境界に配置されているセキュリティ デバイスなどからサンプルを取得し、そのファイルに対する追加の分析を実行するには、ファイルを圧縮して、infectedというパスワードで保護し、Malware Analysisの監視対象フォルダに追加します。この圧縮アーカイブは、監視対象フォルダである /var/lib/rsamalware/spectrum/infectedZipWatch/watch

注:アーカイブの最大サイズは100 MBです。

ウイルスに感染したパスワード保護zipファイルを分析するために、監視対象フォルダに配置されたアーカイブがMalware Analysisによって処理されます。オン デマンド ジョブが作成され、スキャン ジョブ リストに追加されます。

  1. 管理者としてログオンした状態で、処理対象のファイルをパスワードinfectedで保護したZIPファイルに格納し、/var/lib/rsamalware/spectrum/infectedZipWatch/watchに配置します。
    1、2分以内にMalware Analysisによってアーカイブが処理され、作成されたオンデマンド ジョブがスキャン ジョブ リストに追加されます。スキャン ジョブ名はファイル名、ユーザはfile share、イベント タイプは1となります。アーカイブが/var/lib/rsamalware/spectrum/infectedZipWatch/processedに移動されます。
  2. ジョブがスキャン ジョブ リストに追加された後、スクリプトまたはcronジョブを実行し、/var/lib/rsamalware/spectrum/infectedZipWatch/processedのzipファイルをクリーンアップします。
You are here
Table of Contents > Malware Analysisの実施 > Malware Analysisスキャン用ファイルのアップロード

Attachments

    Outcomes