FFRI yarai analyzer FAQ

FFRI yarai analyzerマルウェア自動解析

企業向け カタログダウンロード

FFRI yarai analyzer
FFRI yarai analyzer
標的型攻撃マルウェアによる被害状況の初動調査やソフトウェア製品の
出荷前マルウェア混入検査など様々なシーンで活用可能

F A Q

  • A
    FFRI yarai analyzerのデフォルトで検査対象となる拡張子は以下のとおりです。
    -----------------
    .bat
    .msi
    .pdf
    .zip
    .doc
    .docx
    .ppt
    .pptx
    .jtd
    .xls
    .xlsx
    .mdb
    .accdb
    .htm
    .html
    .url
    -----------------
  • A
    FFRI yarai analyzerでは、対象プロセスが通信を行った際に、接続先のIPアドレスとポート番号が出力される動作となります。
    また、DNS問い合わせについてもレポートに出力されます。
  • A
    可能です。
    クローラにwinpcapをインストールし、Controller.confにキャプチャデバイスの記述を行います。
  • A
    可能です。
    CrawlerがインストールされたゲストOSがインターネットに接続されている必要があります。
  • A
    以下の2つの方法により対応可能です。
    (1)ファイル群をZIP圧縮していただき、圧縮したファイルをScanフォルダへ入れる。
    (2)"controller.conf"の"filesPerChunk"を検査ファイル数以上に設定しておき、一度に複数のファイルを検査する。
  • A
    インストーラについては実際に実行して解析が行われます。

    msi形式の場合、findexec.confのルールによってサイレントインストールされるためインストールが行われますが、 setup.exe等のexe形式のインストーラについてはインストールウィザードが表示されるかと思います。 このケースについては、検査中にゲストOSのデスクトップを操作し、インストールウィザードが実行されるようにユーザが操作を行う必要があります。
  • A
    FFRI yarai の検出エンジンを搭載した製品がターゲットとしているマルウェアは、 標的型攻撃マルウェアをはじめとした近年の高度な攻撃技術(未知の脆弱性攻撃など)を実装したマルウェアです。

    形式としては、Windows用の32bitPEファイルと脆弱性攻撃を利用して感染するデータファイル型マルウェアです。データファイル型マルウェアは脆弱性攻撃が成功した場合に検出します。 そのため、データファイル型マルウェアであっても脆弱性攻撃が失敗した場合は検出することができません。また、脆弱性の種類が「設計脆弱性」の場合でも検出することができません。

    「設計脆弱性」
    設計脆弱性とは、システムの実装や設定に問題がなくても存在するような脆弱性です。

    つまり設計の問題なのですが、これは製品コンセプトに近いものから、実装レベルに非常に近いものまで様々な種類があります。

    どれが設計脆弱性を指すのかをご確認頂く際には、一つの目安として CVE の分類種別などを参考にしていただければと思います。

    http://cve.mitre.org/docs/vuln-trends/index.html
pagetop