SE(しがないエンジニア)のブログ

IT技術ネタ(Azure他MS製品・セキュリティ周り)が中心です!他雑記(お馬さん 他いろいろ)もあり。

FalconNest を利用してセキュリティの状態を知る

FalconNest というツールをご存知でしょうか?

何か厨二病をくすぐるような名前のツール(「ファルコンネスト」と読む)ですがれっきとしたセキュリティのツールです。株式会社ラック様が提供している Web サービスで主に標的型攻撃による侵害痕跡の発見とマルウェアの判定を手軽に行ってくれます。機能としては下記の3つに分類されます。

 

・侵害判定サービス(Live Investigator:LI)

マルウェア自動分析サービス(Malware Analyzer:MA)

・メモリ自動分析サービス(Phantom Seeker:PS)

 

詳細に関してはラック様のサイトに記載されておりますのでご参照下さい。

無料調査ツール「FalconNest(ファルコンネスト)」 | セキュリティ対策のラック

どうやったら使えるの?

FalconNest

f:id:btsn:20200218111855p:plain

利用に際してはユーザ登録が必要です。自前の Gmail アドレスや UCOM アドレスは弾かれました。明らかな個人用はダメっぽいですね。利用可能なアドレスで登録出来ると基本は翌営業日に対象のメールアドレスへ折り返しメールが来るようです。

メールに記載されている情報をベースにログインすると下記のような画面が。

f:id:btsn:20200218112058p:plain

今回は LI の機能を利用してみようと思います。利用するに際して対象のマシンで(膨大な)ログを収集する必要があります。ツールは下記画像の赤枠部分をクリックすることでダウンロードできますのでダウンロードし次第、対象のマシンにコピーし任意の場所に展開して下さい。

f:id:btsn:20200218112819p:plain

対象のマシンで「start.bat」を実行すると処理が開始されます。ところどころ同意を求められるところがありますので定期的にチェックして下さい。ちなみに当ツールは Windows Sysinternals の「Autoruns」(自動起動プログラムのチェック)や「Sigcheck」(署名検証のチェック)を利用しており疑わしき挙動がないかを確認するログを収集しているようです。完了までに20分程度かかりました。

f:id:btsn:20200218113204p:plain

f:id:btsn:20200218113504p:plain

アウトプットされた zip ファイルを FalconNest の LI 機能ページへアップロードしましょう。分析中は「結果」列に「分析中」と表示されますので待ちます。途中途中更新して確認しましたが、15分程度かかったようです。

分析後は疑わしきと思われる項目が表示され、更に詳細を確認することも可能です。スクショは敢えて掲載しませんが、まずはお手軽に調査するという意味でもオススメのツールだと思いました!