筆者は先週,それまで見たことのなかった四つのセキュリティ・ツールの存在を知った。米MANDIANTと米Immunityが公開しているこれらのツールは,どれもセキュリティ・ツールキットに新たに追加する価値のあるものだ。
最初に紹介するツールは,MANDIANT(以前はRed Cliff Consultingという名前だった)が開発した「Web Historian」である。このツールは,Internet Explorer,Firefox,Netscape Navigator,Opera,Safariといった主要なブラウザのWeb閲覧履歴ファイルを分析する。ブラウザの履歴ファイルを分析するツールならすでに持っている,という人もいるかもしれない。実際にそういうツールはいくつか公開されている。しかし,筆者の知る限り,これほど幅広い種類のブラウザの履歴ファイルを分析できるのは,このツールだけだ。
二つ目のツールはインシデント処理ツールの「First Response」。これも開発したのはMANDIANTである。このソフトウエアには,Windows 2000,Windows XP,あるいはWindows Server 2003のシステムにロードして,レジストリやイベント・ログ,ファイル・システム,実行中のプロセスから情報を集めることのできるエージェントが搭載されている。このツールは,中央で管理されるコンソールを使って,エージェントからの情報収集やデータ分析,レポート作成,インシデント対応作業の調整などを行う。ネットワーク上で機能することに加えて,このツールはユーザーが物理アクセスできるローカル・システムから直接情報を収集することもできる。
三つ目のツールは,MANDIANTの「Red Curtain」だ。Red Curtainは,実行ファイル(DLLを含む)を調べて,コードの危険性を示す兆候を検出できる,新しいマルウエア分析ツールである。このツールが集める情報には,開発ツールに記載された署名(普通,コンパイラやパッケージャによって書き込まれる)やパッケージング・タイプに関する情報,コードにランダム化が含まれているかどうか,といったものがある。それらのデータを使って脅威レベルを数値化する。総合的な数値によって,該当ファイルを詳しく調べるのか,それともそのファイルを隔離して別のタスクに移るのかを,決めることができる。
MANDIANTの三つのツールはすべてこちらのURLで公開されている。
Red Curtainのおかげで,筆者は四つ目のツールである「Immunity Debugger」を見つけることができた。疑わしい実行ファイルを見つけて,それが何をしているのか詳しく知りたいというとき,デバッガは必須のツールなのだ。
今日,多くのデバッガが公開されているが,Immunity Debuggerが他の多くのデバッガと異なっているのは,特にセキュリティ研究者を対象として作られているという点である。このツールは,GUIとコマンドライン・インタフェースの両方を搭載しており,Pythonスクリプティングをサポートする。このデバッガの機能の多くは,Pythonのサブシステムを中心に展開する。
Pythonのサブシステムは,ユーザーがデバッガを拡張して様々な作業を行ったり,データを表示したり,ユーザーのインプットを受け付けたりするカスタム・ルーチンの設計を可能にするのだ。このツールにはいくつかのサンプル・スクリプトがあらかじめ用意されているので,まずはそれらを使うといいだろう。このツールは,ファイル・ネーム,ウィンドウ・ネーム,プロセスID(PID),プロセス・ネーム,サービス,TCPまたはUDPのポートなどを通してプロセスを把握する機能も備えている。総合的に見て,Immunity Debuggerは非常に強力なツールだ。
こちらのURLでImmunity Debuggerについての情報を入手したり,同ツールをダウンロードしたりできる。
