ラック、無料で公開するツール「FalconNest」で標的型サイバー攻撃の痕跡有無を調査するよう呼びかけ
- 2020/01/24 10:30
- SecurityInsight
ラックは1月21日、同社が無料で公開している痕跡調査ツール「FalconNest」を使って、企業や組織内で自社が標的型攻撃を受けていないかを、今すぐに確認することを勧めた。このツールは、同社が2018年に公開したもの。
この「FalconNest」では、次の3つの機能を提供している。
・侵害判定機能(Live Investigator)
標的型攻撃の痕跡やマルウェア感染の痕跡がないかを調査する
・マルウェア自動分析機能(Malware Analyzer)
発見された“疑わしいファイル”がマルウェアかを調査する
・メモリー自動分析機能(Phantom Seeker)
PCのメインメモリー内に不審なプログラムがないかを調査する
ラックが標的型攻撃事案で確認した攻撃手口のIOC(indicator of compromise)については、侵害判定機能(Live Investigator)で検出するよう随時アップデートを行なっている。
昨今の標的型攻撃では、メモリー内で動作させるファイルレスマルウェアも多く見られるが、このような従来は発見することが難しい痕跡の場合でも、FalconNestのメモリー自動分析機能(Phantom Seeker)では発見することができる。
特に攻撃対象となりうるドメインコントローラーやサーバーを対象に、FalconNestによるチェックを定期的に実施することで、標的型攻撃の痕跡を初期段階で発見できる可能性が高まるとしている。