Hello there, ('ω')ノ

 

メモリイメージを分析するのに機能が豊富なRedlineというツールがありまして。

　https://www.fireeye.jp/services/freeware/redline.html

 

 

起動してメモリキャプチャを分析するには、『Analyze Data』メニューで。 

 

 

ここで分析するメモリイメージを指定して。

今回は、数年前に話題となったマルウェア『Stuxnet』のメモリファイルを。

 

 

ここでは、Redlineが作成するセッションファイル名を指定して。

 

 

するとメモリファイルを分析用の形式に変換するプロセスが開始されて。

 

 

分析セッションを作成すると以下の画面が表示され。

翻訳すると以下のような感じで。

 

調査を開始

HXRedline®からトリアージコレクションをレビューしています

FireEyeEndpoint Threat Prevention Platform（HX）と連携して、

セキュリティアナリストがSIEM /ログ管理ソリューションでレビューしている

イベントをトリアージ（優先付け）します。

HXはこれらのツールと統合し、アラートに関係するすべてのエンドポイントで

「トリアージコレクション」を自動的に実行します。

これらのトリアージコレクションをRedlineで開き、タイムラインビューを使用して、

（IPまたはDNS名による）ネットワークアクティビティ

または、ホストアクティビティ（悪意のあるファイル名など）を検索し、

アクティビティを引き起こしたプロセスを発見できます。

タイムリンクルやタイムラインフィルタリングなどの

Redline機能（プロセスなど）を使用するとプロセスが実際に何をしたかを

確認できます：

　作成したファイル、生成したネットワーク接続、変更したレジストリキー

これにより、アラートが真の妥協であるかどうかを簡単に迅速に評価できます。

 

外部調査リードに基づいてホストを調査しています

ホストがさらに調査を必要とすることを示す外部情報から始める場合、

タイムラインとその強力なフィルタリング機能を使用して調査を開始し、

調査にすばやく焦点を合わせますリードして、

そこから興味のある追加項目を見つけます。

イニシャルリードがIDSによって特定された

疑わしいアクティビティの時間枠である場合、タイムリンクルを使用して、

その時間枠の周りに発生したすべてのイベントをフィルタリングできます。

イニシャルリードが、侵害インジケータによって識別されるプロセス

または単一のユーザーによる悪意のあるアクティビティである場合、

一意のプロセスおよびユーザー名フィルターを使用して、

それらによって生成されたイベントのみを表示できます。

 

Web履歴データを確認しています

Web履歴データを調査するときは、

ブラウザのURL履歴を確認することから始めてください。

特に、マルウェアサーバにつながる可能性のあるリダイレクトのリダイレクト、

悪意のあるコードを含むサイトや1度だけアクセスされたサイトを含む可能性のある

隠されたアクセスを確認します。

疑わしいレコードが見つかった場合は、タイムラインフィールドフィルターを使用し

同じ時間帯に送信されているファイルのダウンロードまたはCookieを調査します。

 

データを検索したい

侵害の兆候のセットを使用する侵害の兆候のセット（IOC）がある場合、

それらを使用して、インジケーター定義で記述されている分析中のホスト上の

フォレンジックアーティファクトを識別するレッドラインのレポートを生成できます。

『Create New IOC Report』を選択し、インジケーターを含むディスク上の場所を

指定するだけです。

レポートが完成すると、左側下の『IOC Reports』タブで表示されます。

IOCの詳細については、http：//www.openioc.orgをご覧ください。

  

 

ようやく、分析結果の詳細リストまでたどりつけた。

 

 

Best regards, (^^ゞ