 |
標的型攻撃 ゼロデイアタック ゼロデイ攻撃 サイバーテロ | |
 |
||
Web MPS
FireEye仮想解析エンジン
Web Malware Protection System(Web MPS)は、独自の仮想エンジンを用いて、以下のように標的型攻撃を検知します。
Phase1 アグレッシブキャプチャ
False negative( 見逃し) を極力減らす
- JavaScript、PDF、Flash など、Exploit コードが仕込まれる可能性のあるコンテンツを一次解析。
- 少しでも疑わしいコンテンツはパケットキャプチャ形式にて保存しPhase2 に送る。
Phase2 仮想マシン解析・TCP Replay
False Positive( 誤検知) を除去
- Phase1 にてキャプチャしたコンテンツを仮想マシン上で再生させ、メモリやレジストリ等で発生した イベントを解析。シグネチャは使わずに、再現させるため、未知なる攻撃に対しても検知可能
- 感染源URL やコールバックチャネル、仮想マシンOS 上での環境変化などを解析
Phase3 C&C サーバからの指令を検知
導入済みの世界1000 台以上の情報を共有
- Phase1,2 で得られた情報を元に、感染端末で発生するC&C サーバからのコールバック通信(2 次感染、ハーダからの指令コマンド等)を検知
- 世界1000 台以上のFireEye が共有するマックスクラウドインテリジェンスに吸い上げ
- 更に、シグネチャダウンロードされたマックスクラウドインテリジェンス上の情報を元に、既に感染済みの端末についてもコールバック通信を検知
入口対策
仮想マシンによる解析
- 仮想マシン上での詳細な脅威のある挙動の確認が可能
- 検知したマルウェアを検体として入手が可能
- 感染時にアクセスしたURLが確認可能
出口対策
- FireEye社が配信するCallback情報
- 発見されたマルウェア解析で得たC&Cサーバの情報
ゼロデイ攻撃だとしても、リアルタイムに解析し、リアルタイムに検知を可能とする
パートナー様募集
FireEye製品を販売・サポートしていただけるパートナー様を募集しています。