スレットハンティングサービス NetWitness Network
活用事例
Emotetの攻撃検知例
攻撃の特徴
-
Emotetに感染させるメールがばらまかれる
-
感染した端末は一時的に構築されたC&Cサーバのいくつかに接続する
-
感染端末はさらに最新のモジュールをダウンロードし感染を広げていく
⇒数十台のC&Cサーバが4~5日の頻度で入れ替わり、特定が非常に難しい
スレットハンティングサービスで解決
- RSA Netwitness Networkを使用して取得したパケットを解析
- Emotetの攻撃で使用されるパケットの特徴的なヘッダ情報やボディ情報に合致するパケットをルールにより抽出
- C&Cサーバに通信を開始する前に感染してしまった端末を洗い出し、攻撃者に制御されてしまうことを回避
外部流出データの特定例
攻撃の特徴
数年おきに大流行するトロイの木馬の亜種により、感染被害が多発
アンチウィルスソフトのパターンファイル更新までの数時間で大量の端末が感染
⇒感染したとわかる明確な症状が出ないため検知が困難
スレットハンティングサービスで解決
-
RSA NetWitness Networkで収集したパケットから該当マルウエアの通信を抽出しC&Cサーバを特定
- マルウエア感染し制御された被害端末を早期に特定
- 特定した端末からのデータ流出の事実を確認、流出データをNetWitnessで復元し機密情報が含まれていない事実を確認しお客さまに報告
