Trellix

トレリックス

ネットワークセキュリティ:Trellix(旧FireEye)Network Security 技術情報

NXシリーズの標的型攻撃検知の仕組みを詳細にご説明します。

仮想実行エンジンMVX

MVXとは、Trellix(旧FireEye)の特許技術であり、高度なマルウェアをリアルタイムに検出することができる仮想実行エンジンです。モニタする通信パケットをキャプチャしながら、ゼロデイ・標的型攻撃のトリガとなる疑わしい(Suspicious)なWebコンテンツ・Emailの添付ファイルなどを複数の仮想マシン/ネットワーク環境を用いて動的に解析することが可能です。

概要は商品情報にて

スイッチのスパンポートを用いてミラーリングしたパケットからHTTP通信をモニタします。この時点で、Webコンテンツの難読化を行うJava Scriptや実行形式ファイルのダウンロードなど“攻撃のトリガ”となりうる疑わしい通信を、シグネチャベースの技術のみでは判定が難しいグレーゾーンなものも含めてすべて検出します。

仮想実行エンジンMVX

検出した通信は、実際にクライアントPCとインターネット上のWebサーバ間で行っているパケットキャプチャを元にMVXの仮想環境内で実行します。(図3)仮想環境内の仮想Windowsマシンには、Windows OSだけでなくIEやFireFoxなどのブラウザ・JavaやAdobeなどのプラグイン・Word, ExcelなどのOfficeソフトウェアがインストールされており、アプリケーションの脆弱性をついた攻撃が再現できるようになっています。

仮想実行エンジンMVX

MVXの仮想環境内で通信を再現した結果、仮想マシン内で発生するすべての変更内容(ファイルのオープン/クローズや作成/変更/削除、レジストリ変更、コールしたAPI・アドレスなどのマルウェア感染履歴)が記録され、その挙動からマルウェアを識別することが可能となります。この情報は管理GUIから閲覧でき、Trellix(旧FireEye)がなぜマルウェアと判断したのかまで確認できるようになります。

また、MVXは仮想マシンのみが単体で動作するサンドボックスではなく、マルウェアが行うC&Cサーバを含む外部サーバとの通信挙動も、仮想環境内の閉じたネットワーク環境のみで実行できます。(図4)これにより、マルウェアがどのサイト(URL情報)へアクセスし、どのような情報をアクセスする際に送信するのか(User Agentなどのヘッダ・パラメータなど)というコールバック情報を、実ネットワーク上での発生有無に関わらず収集することが可能です。また、HTTPに限らずSSL・FTP・IRCなどのプロトコルにも対応しています。

仮想実行エンジンMVX

このようにMVXは、マルウェアを動的に解析するための環境を提供し、単独、シグネチャレス、かつリアルタイムにマルウェアの識別やコールバック情報を収集することができます。

NXシリーズはMVXの仮想環境を同時に複数稼働させることが可能となっており、並行処理で疑わしい通信の動的解析と仮想環境のリフレッシュを繰り返すことで全体の解析処理速度を上げるように工夫されています。なお、並列処理を行う仮想環境の数は機器モデルによって数が異なります。(EXシリーズも同様)

高度なフィルタ&リアルタイムな情報共有(MPC)

Callback Filterは、マルウェアがC&Cサーバやサイバー攻撃者のサーバへ情報提供を試みる外部通信を検知/防御するためのフィルタであり、MVXで検出したマルウェアから収集した情報により、自動的に外部サイトで調査をすることなく未知の攻撃を既知の攻撃として独自に学習し、シグネチャを自動生成します。(図5)

高度なフィルタ&リアルタイムな情報共有(MPC)

また、Callback Filterで検知した通信パケットはキャプチャされ、管理GUIから確認・ダウンロードすることが可能です。送信した内容やサーバからのレスポンスを見ることにより、通信が確立されたのかどうか確認することもできるようになります。

高度なフィルタ&リアルタイムな情報共有(MPC)

一方、Trellix(旧FireEye)社のMPC(Malware Protection Cloud)に加入することで、Trellix(旧FireEye)社、テクノロジパートナー、全世界で稼働するTrellix(旧FireEye)ユーザから提供されたマルウェアやコールバック情報の供給を受けることができるようになります。

高度なフィルタ&リアルタイムな情報共有(MPC)

このように、全世界に設置されているTrellix(旧FireEye) MPSが未知の攻撃やマルウェアの収集・解析・シグネチャ生成を行う端末となり、MPCがマルウェアを用いたゼロデイ攻撃や標的型攻撃を既知の情報として学習/共有します。なお、グローバルフィードバックでMPCへ提供される内容には、ユーザのホスト名やIPアドレス情報などユーザを特定する情報は含みません。

概要は商品情報にて

NXシリーズ構成例

高度なフィルタ&リアルタイムな情報共有(MPC)

お問い合わせ・資料請求

株式会社マクニカ Trellix 担当

  • TEL:045-476-2010

平日 9:00~17:00