<技術動向>FireEyeのFLARE VMが公開
ユーザによるマルウェア解析の第一歩となるか?
2017/7/26のFireEyeブログにて、FLARE VMなるものを公開しているとの報告がありました。
そもそもFLAREとは何だ、というところからですが、元々はFireEyeのマルウェア解析(リバースエンジニアリング)チームのようです。
で、そのFLAREが普段使ってる(のか?)ツール郡をVMにしてOSSにて公開してるよ、ということのようです。
FireEyeといえば、セキュリティ業界じゃ知らぬものはいない超大手。
その解析ツールが使っているツール郡となると、ちょっと興味がありますね。
マルウェアに感染するのは当たり前、と業界大手ベンダやらが言うようになってきている昨今の事情では、ある程度の分析がユーザ側のインシデント対応チームでも実行可能であればベネ(良い)。
ということで、FLARE VMがどんなもんなのか少し調べてみました。
なお、筆者はリバースエンジニアリング関係はほぼ経験ございませんのでご承知を。
FLARE VMの概要とか
紹介サイトを斜め読みしてみた感じだと、特徴としては以下の点がある模様。
- マルウェアの静的解析および動的解析を行うツール郡を梱包したVM
- 導入にはWindowsの7以降、Internet Explorerが必須
- 40を超える解析ツールやユーティリティーのパッケージ
- Chocolateyを用いたパッケージ管理による容易な更新
解析例とかも載っていますが、大まかにはこんなところでしょうか。
簡単に各項目を見てみましょう。
1.マルウェアの静的解析および動的解析を行うツール郡を梱包したVM
これはまあ、目的そのまんまですね。
VMとして提供しているので、VMごとの初期化やスナップショットも簡単に実行できるようです。
リアルマシンで検証環境作ると、マルウェアを動かす度に毎回リカバリしなきゃですからね。当然っちゃ当然です。
2.導入にはWindowsの7以降、Internet Explorerが必須
いくら検証とはいえ、Windows7以前で行うことはさすがに無いと思われるので問題なし。
ただ、企業によってはIE以外のブラウザしか使えないとかの制限あるところもあるんでは。検証環境用端末はそんな制限外せ、ってことでどうにでもなるとは思うけど。
3.40を超える解析ツールやユーティリティーのパッケージ
GitHubを見てみると、7zipやWireshark、Vimなどから各種デバッガ、Pythonとかのユーティリティが結構充実。
それらに加えて、FLOSSやFakeNet-NGとかも導入されているらしい。
4.Chocolateyを用いたパッケージ管理による容易な更新
これだけのツールが導入されていると更新も面倒そうですが、Chocolateyを用いて管理されているため、パッケージの追加や更新は非常に容易に実行できるそうな。
Chocolateyについて知らなければググりましょう。大丈夫、これで聞くまで概要しか知りませんでした。
それで、どう使う?
ということで、要は「マルウェアの静的・動的解析に便利なツールを導入済かつ更新も楽なVM」ってことかな? なるほどなー。
でもまあ基本的に各ツールはOSSなんで、既に環境整えてバリバリやってるところには正直あまり参考にならないのかも。導入ツールの比較とかくらいか。
これから解析やってみたい、とか、研修等で使う環境の構築がめんどい、とかには役立ちそう。
あとは実際に導入して、試しにマルウェア解析を実行してみてどうか、というところでしょうか。
その解析をどう実行するか、ってところも資料があれば良いのだけれども。
……ところで疑問なのは、パッケージの追加や更新するってことは、検証端末はインターネット接続前提っすよね。
VMの設定でホスト通信のみに限定できるとはいえ、検証環境は(保存データが無いにしろ)スタンドアロンで実行したい、という考えは古いのかしら。