Colasoft Capsaでトロイの木馬とワームを検出

トロイの木馬とワームはネットワークセキュリティにとって、2つの主要な脅威であります。トロイの木馬はハッカーがターゲットコンピュータシステムにリモートアクセスできるように設計されています。トロイの木馬は一旦ターゲットコンピュータにインストールされると、ハッカーはリモートでそのコンピュータにアクセスすることで、様々なオペレーションを実行することができます。

 ハッカーにデータを送信する必要があるため、ほとんどのトロイの木馬やワームは、ネットワークへのアクセスが必要です。有用なデータがアタッカーへ送信されない限り、トロイの木馬はその使命を達成しません。従って、トラフィック解析とプロトコル解析のテクノロジーの面から始まるのはいい解決案に導きます。我々はネットワークアナライザーColasoft Capsaでトロイの木馬とワームを検出します。Capsaは使いやすくて、直観的なネットワークアナライザーであり、ネットワークにトロイの木馬の活動があるかどうかをチェックするために、十分な情報を提供しています。この記事ではトロイの木馬とワームの検出方法を紹介します。

LANネットワークにトロイの木馬とワームを追跡する五つの方法

方法1:概要ビューで追跡する

f:id:lanseisei:20160912173654p:plain

TCP統計に注目してください。TCP SYN送信の数量はTCP SYN ACK送信の数量よりはるかに大きくなっている時、我々は注意すべきです。なぜなら、一般的に、この二つの数の比率はほぼ1:1に等しいからです。トロイの木馬とワームはいつも大量のTCP SYNパケットをネットワークに送信し、別のマシンと接続を確立しようとします。接続が確立されると、トロイの木馬とワームはターゲットマシンに侵入しようとします。

方法二:IPエンドポイントビューで追跡する

f:id:lanseisei:20160912173711p:plain

カラムヘッダーにおけるバイト、パケット、送信パケット、受信パケットなどをクリックすることで、クリックされたカラムによって、統計データを並べ替えることができます。大きな統計量を持つノードに注意してください。これはBitTorrentのダウンロードである可能性がありますが、トロイの木馬とワームは間違いなく大量のパケットを送信しますので、その可能性もあります。

方法三:ログビューで追跡する

f:id:lanseisei:20160912173731p:plain

DNSログに注目してください。Googleを利用して、トロイの木馬のターゲットウェブサイトのリストを作成することができます。たとえば、*****.3322.orgのようなウェブサイトなど。さらに、DNSログを保存し、トロイの木馬のキーワードのフィルターを利用して解析することができます。

方法四:フィルターを利用する

f:id:lanseisei:20160912173927p:plain

トロイの木馬とワームのパターンでパターンフィルタールールを作成します。トロイの木馬とワームはパケットを送信すると、我々はそれらの活動を把握できます。この方法はデメリットがありますが、新型のトロイの木馬とワームの活動をモニタできません。

方法五:TCPセッションタブとUDPセッションビュー

f:id:lanseisei:20160912173943p:plain

ネットワーク内でトロイの木馬またはワームの活動は発見された時、ノードブラウザにマシンのIPアドレスをロケートし、TCPセッションまたはUDPセッションをチェックすることができます。TCPセッションビューで、データフローサブタブに(TCPセッションはデータサブタブ付き)、通信の再構成されたデータを読み取ることができます。セッションがシステム情報を送信している場合は、トロイの木馬とワームの活動に注意しなければなりません。

f:id:lanseisei:20160912173956g:plain

上記は、Capsaネットワークアナライザーの機能ビューで、ネットワーク問題またはボトルネックを検出するためによく利用されています。さらに、時間をかけて、Executor:80とUltors Trojan:1234のようなトロイの木馬とワームによく利用されているポートの関連情報を勉強する必要があります。ネットワークのトラブルシューティングと解析を行う際に、我々もこれらのポートとの間でパケットを送受信しているノードに注意を払う必要があります。

Colasoft Capsaお試し版ダウンロードアドレス:http://www.colasoft.com/jp/download/download-capsa-ent.php