Deep Discovery InspectorのRetro Scan
Retro Scanは、C&Cサーバへのコールバックやネットワークでのその他の関連アクティビティについて、過去のWebアクセスログを検索するクラウドベースのサービスです。Webアクセスログには、ごく最近検出されたC&Cサーバへの接続 (検出もブロックもされてない)が記録されていることがあります。フォレンジックス調査においては、ネットワークが攻撃の影響を受けていないかどうかを確認するために、このようなログを調べることが重要です。
Retro Scanでは、次のログ情報をSmart Protection Networkに保存します。
-
Deep Discovery Inspectorで監視しているエンドポイントのIPアドレス
-
エンドポイントがアクセスしたURL
-
Deep Discovery InspectorのGUID
その後、保存したログエントリを定期的に検索し、次のリストに含まれるC&Cサーバへのコールバック試行がないかを確認します。
-
トレンドマイクログローバルインテリジェンスリスト: トレンドマイクロでは、複数のソースからの情報をリストにまとめ、各C&Cコールバックアドレスのリスクレベルを評価しています。C&Cリストは毎日更新され、有効化されている製品に配信されます。
-
ユーザ指定リスト: Retro Scanでは、ログを独自のC&Cサーバリストと照合することもできます。リストを指定するには、テキストファイルにアドレスを保存します。
Deep Discovery InspectorのRetro Scan画面には、トレンドマイクログローバルインテリジェンスリストを使用した検索の情報だけが表示されます。
Deep Discovery Endpoint SensorのRetro Scan
Retro Scanは、指定された検索条件に基づいて、過去のイベントとそのアクティビティチェーンを調査します。調査結果は、疑わしいアクティビティの実行フローを示すマインドマップの形式で表示されます。これにより、組織全体を巻き込んだ、標的型攻撃のイベントチェーンを分析できます。
Retro Scanの調査では、次の種類のオブジェクトが使用されます。
-
DNSレコード
-
IPアドレス
-
ファイル名
-
ファイルフォルダ
-
SHA-1ハッシュ値
-
MD5ハッシュ値
-
ユーザアカウント
Retro Scanは、エンドポイントのイベント履歴が格納された、標準化されたデータベースに対してクエリを実行します。この方法は、従来のログファイルに比べて使用するディスク容量が少なく、リソースを消費しません。