Mpression Cyber Security Service™

エムプレッション サイバーセキュリティサービス
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

Mpression Cyber Security Service™

エムプレッション サイバーセキュリティサービス

脅威インテリジェンスをTaniumに適用

脅威インテリジェンスとして弊社が提供するYARAは、ファイルだけではなくメモリのルールも多く含んでいます。そこで、YARAを用いて「メモリ」の調査ができる製品やツールをあらためて調査したところ、以下のカテゴリでいくつか見つけることができました。

マルウェア解析
Cuckoo Sandbox, tknk_scanner
メモリフォレンジック
CDIR, Volatility Framework
エンドポイントセキュリティ
スレットハンティング
Tanium

アンチウイルスのエンジンを実装したエンドポイントセキュリティ製品でもメモリスキャンを実施していますが、弊社の調査では独自YARAルールを適用できる製品は見つかりませんでした。一般的にメモリの調査は端末のリソースを多く消費することや、最近は振る舞いで脅威を検出する製品が増えてきているので、そうしたエンドポイントセキュリティ製品でYARAルールを適用できないというのも分かる気がします。

今回は、弊社が提供するYARAとTaniumを検証した結果を簡単に纏めました。

検証の概要と構成

検証内容

弊社の営業とエンジニアが使う端末にTaniumクライアントをインストールし、弊社の独自YARAルールを使い端末上で動作しているプログラムのファイルスキャンとメモリスキャンを行なった際のCPUとメモリリソースを計測しました。

また、リソース測定用の端末とは別の端末でマルウェアがメモリ上に潜伏している状態を作り、検出できるかを確認しました。

スキャン設定

TaniumのThreat Responseは、独自のYARAルールを使ったスキャンが可能となっています。

また、スキャン対象も起動しているプロセスのメモリだけでなく、ファイルも対象とする事ができます。今回は、メモリスキャン対象とファイルスキャン対象の合計200ルールを使い、検証を行いました。

図1. Tanium Threat Response
図2. スキャン対象の設定

スキャンのスケジューリングもできるようになっており、サーバはアクセスが少ない深夜帯のみ行うといった事も可能です。

図3. スキャン実施時間帯の設定

スキャンする際のリソース制限も設定する事ができるため、今回はCPUを最大5%, ディスクI/Oを20%の設定で検証をしました。

図4. スキャンで使うリソースの設定

他にもネットワーク負荷を軽減するために、スキャンのタイミングをランダムに変更する事等細かい設定が存在します。

検証端末

今回は、各部門によって異なるスペックの端末が使われている状況を想定し、弊社営業とエンジニアが2種類の端末で検証を行いました。

営業用PC

OS
Windows 10 Enterprise 64ビット
CPU
Intel Core i5 2.4GHz
メモリ
8GB
HDD
SSD 250GB

エンジニア用PC

OS
Windows 7 Professional 64ビット
CPU
Intel Core i7 2.6GHZ
メモリ
16GB
HDD
SSD 500GB

結果

パフォーマンスモニターを使い、1秒間隔のサンプリングでモニターしました。瞬間的には30%程度のCPU使用率に上がった箇所もありますが、全体的にはほぼ設定したCPU使用率に収まっておりユーザが業務を行なっていてもスキャンされている事に気付かない結果となりました。

メモリに関しても大きな変動は見られませんでした。

図5. モニタリングの結果

また、メモリ上に潜伏しているマルウェアもルールで検出できる事を確認しました。

図6. メモリスキャンで検出した結果

まとめ

メモリフォレンジックの際には、調査対象機器からメモリイメージをダンプする必要があり、保全・解析の時間がかかります。

Taniumでは細かいチューニングが可能な設定項目や端末への負荷を軽減するしくみが実装されており、初動対応の中で、多数の機器に対して迅速にYARAルールによるメモリ調査ができる事が分かりました。また、端末に対して大きな負荷を与えないため、平時の定期調査(スレットハンティング)の1アプローチとしても活用する事ができると考えられます。

お問い合わせ先

マクニカネットワークス株式会社
Mpression Cyber Security Service™ 製品担当

045-476-2010