FAQ
-
A「PEファイル(.exeや.dll等)に加えて、以下の拡張子のファイルが検査対象となります。
.accdb
.bat
.csv
.doc
.docm
.docx
.dot
.hta
.htm
.html
.jar
.js
.jtd
.lnk
.mdb
.msi
.pdf
.pot
.ppa
.pps
.ppt
.pptm
.pptx
.url
.vbs
.wsf
.xls
.xlsb
.xlsm
.xlsx
.xlt
.zip
-
AFFRI yarai analyzerでは、対象プロセスが通信を行った際に、接続先のIPアドレスとポート番号が出力される動作となります。
また、DNS問い合わせについてもレポートに出力されます。
-
A可能です。
クローラにwinpcapをインストールし、Controller.confにキャプチャデバイスの記述を行います。
-
A可能です。
CrawlerがインストールされたゲストOSがインターネットに接続されている必要があります。
-
A以下の2つの方法により対応可能です。
(1)ファイル群をZIP圧縮していただき、圧縮したファイルをScanフォルダへ入れる。
(2)"controller.conf"の"filesPerChunk"を検査ファイル数以上に設定しておき、一度に複数のファイルを検査する。
-
Aインストーラについては実際に実行して解析が行われます。
msi形式の場合、findexec.confのルールによってサイレントインストールされるためインストールが行われますが、 setup.exe等のexe形式のインストーラについてはインストールウィザードが表示されるかと思います。 このケースについては、検査中にゲストOSのデスクトップを操作し、インストールウィザードが実行されるようにユーザが操作を行う必要があります。
-
AFFRI yarai の検出エンジンを搭載した製品がターゲットとしているマルウェアは、 標的型攻撃マルウェアをはじめとした近年の高度な攻撃技術(未知の脆弱性攻撃など)を実装したマルウェアです。
対象とする主なファイルの形式としては下記のとおりです。
* 特定プロセスで脆弱性攻撃(*)をおこすために細工されたファイル
+ .doc,.xls,.ppt,.pdf等
* Windowsの実行ファイル(x64/x86)
+ .exe,.dll,.scr.,cpl等
* スクリプトファイル
+ .js,.vbs,.wsf,hta等
* ショートカットファイル
+ .lnk
* Microsoft Officeファイル
+ .doc,.docm,.xls,.xlsm,.ppt,.pptm等
* ファイルレスマルウェア
+ powershell.exeのコマンドだけで動作するもの等
(*)x86プロセスのメモリ破壊起因による脆弱性を利用した、コード実行を伴う攻撃のみ検出可能となります。
その他、特定製品の仕様や設計上の問題点を悪用したものや、権限昇格等、コード実行を伴わないものは検出できません。
脆弱性攻撃が失敗した場合も検出することはできません。
HOME » 製品 » FFRI yarai analyzer »
