更新 2 (2018 年 10 月 24 日): Monitor.app が macOS 10.14 をサポートするようになりました。
更新 (2018 年 4 月 4 日): Monitor.app が macOS 10.13 をサポートするようになりました。
マルウェア アナリストまたはシステム プログラマーとして、迅速かつ効果的に作業するには、堅牢な動的分析ツールのスイートが不可欠です。これらのツールにより、マルウェアの機能とオペレーティング システムの文書化されていないコンポーネントを理解することができます。頭に浮かぶ明白なツールの 1 つは、Microsoftの伝説的な Sysinternals Suite の Procmonです。これらのツールは Windows でのみ動作しますが、私たちは macOS が大好きです。
macOS には、オペレーティング システムと Xcode に含まれる素晴らしい動的計測ソフトウェアがいくつかあります。これまで、macOS のコアに組み込まれている非常に強力なトレース サブシステムであるDtraceなどの動的計測ツールを使用してきました。これは非常に強力で効率的ですが、興味深い部分を取得するには通常、D スクリプトを作成する必要がありました。もっとシンプルなものが欲しかった。
本日、Innovation and Custom Engineering (ICE) Applied Research チームは、macOS ホストで一般的なシステム イベントを監視するためのシンプルな GUI アプリケーションである、macOS 用のMonitor.appの公開リリースを発表します。 Monitor.app は、次のイベント タイプをキャプチャします。
- コマンドライン引数によるプロセス実行
- ファイルが作成されます (データが書き込まれる場合)
- ファイルの名前変更
- ネットワーク活動
- DNS 要求と応答
- 動的ライブラリーのロード
- TTY イベント
Monitor.app は、カーネル拡張機能 (kext) を使用してシステム アクティビティを識別します。その焦点は、重要なデータをコンテキストとともにキャプチャすることにあります。これらのイベントは、豊富な検索機能を備えた UI に表示され、ユーザーは関心のある分野のイベント データを検索できます。
Monitor の目標はシンプルさです。 Monitor を起動すると、ユーザーはプロセスを起動して kext をロードするための root 資格情報を求められます (心配しないでください。メインの UI プロセスは root として実行されません)。そこから、ユーザーは開始ボタンをクリックして、イベントが始まるのを見ることができます!
UI はまばらで、主要な機能がいくつかあります。スタート/ストップボタン、フィルターボタン、検索バーがあります。検索バーを使用すると、すべてのイベントに対してフィルター処理または検索するデータの種類に簡単なフィルターを設定できます。イベント テーブルは、モニターがユーザーに提示できるすべてのイベントのリストです。フィルター ボタンを使用すると、ユーザーは一部のクラスのイベントをオフにすることができます。たとえば、ユーザーがマルウェアの一部を分析しようとしているときに TimeMachine バックアップが開始された場合、ユーザーはファイル システム フィルター ボタンをクリックすることができ、ファイル書き込みイベントによって画面が乱雑になることはありません。
例として、xkcd.com と通信するプロセスを確認することに関心があったとします。図 1 に示すように、”Any” フィルターを使用して検索バーに xkcd と入力するだけです。
デバッガーや D スクリプトを起動することなく、macOS のコンポーネントやマルウェアが内部でどのように機能するかを理解しようとするとき、Monitor がどれほど便利であるかに驚かれることでしょう。
ここをクリックして Monitor.app をダウンロードします。機能のリクエストやバグをmonitorapp-bugs@fireeye.comに送信してください。
Apple、Mac、および MacOS は、Apple Inc. の登録商標または商標です。
参照: https://www.mandiant.com/resources/blog/introducing-monitor
Comments