「FFR yarai analyzer Professional」は、検査対象ファイルやフォルダを静的/動的な手法で自動解析し、HTML形式でレポートを出力する、マルウェア自動解析システム。アンチウイルスベンダーに依頼せずに、社内でマルウェアがどのような挙動を行うのかを解析できるため、攻撃者の意図を分析し、効率的に対策を打つことが可能だという。
「FFR yarai analyzer Professional」には、マルウェア解析者の負担を大幅に軽減するため、解析結果をIDA(マルウェアのリバースエンジニアリング時に使用する逆アセンブラツール)にインポートする機能、プロセス・スレッドの相関分析機能、Anti-VMや時限式マルウェア等の解析対策機能を持つマルウェアを解析するための機能等を備えている。
「FFR yarai analyzer Professional Version1.1」の新機能は次のとおり。
・解析エンジンの強化:「FFR yarai Version2.7」のエンジンを搭載し、マルウェア検出力を強化
・スナップショット指定機能の追加:SOC等での利用においてゲストOSの状況を変化(セキュリティ更新プログラム適用の有無、 ソフトウェアのバージョン等)させながらマルウェア解析するケースにも対応
- ゲストOSの状態を複数管理可能
- Controller.confにスナップショット名を指定することで、指定のスナップショットにリバートし、解析を実行
・検体実行時に生成されたファイルの取得機能を追加:検体実行時にサーバからダウンロードまたは内部のリソース等からファイルが生成されて実行された場合、生成されたファイルをプロセスごとにフォルダ分けして出力
・対応ゲストOSの拡充:Windows 10(32bit・64bit)/Window Server 2003 SP2 以降(32bit)・2003 R2 SP2 以降(32bit)/Windows Server 2008(32bit・64bit)・2008 R2(64bit)/Windows Server 2012(64bit)・2012 R2(64bit)
・仮想環境の拡充:VMware vSphere 6.0/VMware Workstation 12.x Pro
・ゲストOSの多言語対応(特定の言語環境下でしか動作しないマルウェア解析用に次の言語に対応):英語版/中国語版(簡体字、繁体字)/ロシア語版
・レポート/管理機能の強化:ハッシュ値、埋め込まれている文字列、パッカー情報、デジタル署名情報、バージョン情報、 Virus Totalへのリンクを追記
