FortiGuard Labs 脅威リサーチ
FortiAppMonitor: macOS上のシステムアクティビティを監視するパワフルなユーティリティ
マルウェア分析者として、そしてセキュリティリサーチャーとして、パワフルかつ動的な分析ユーティリティは、効果的かつ効率的にマルウェアを特定するうえで非常に重要です。FortiAppMonitorは、macOSのプログラムの挙動を監視することを目的として、フォーティネットが開発し、リリースしているフリーウェアユーティリティです。これを利用することで、ユーザーはマルウェアの能力を把握し、macOSを標的とするマルウェアの悪意のある挙動を迅速に解析することが可能になります。このユーティリティには以下のような機能が含まれています。
- コマンドライン引数とprocess exit関数でプロセス実行を監視
- ファイルを開く、読む、書く、削除する、名前を変更する、などの操作を含め、すべての共通ファイルシステムイベントを監視
- IPv4とIPv6の両方のUDP、TCP、DNSクエリおよびレスポンス、ICMPなどのネットワークアクティビティを監視
- .dylibのロードイベントを監視
- KEXTのロードおよびアンロードイベントを監視
また、ユーザーが興味のあるイベントタイプに対してフィルターを設定できるよう、きめの細かいフィルターを提供するだけでなく、ユーザーがキーワードをもとに記録から迅速なサーチを行えるようなパワフルなサーチ機能も提供します。また、JSON形式のファイルにすべての記録を保存できます。さらに、こうしたFortiAppMonitorの機能はすべて、操作の容易なGUIデザインでアクセス可能です。また、GUI画面の特定の単一の記録を、ショートカットキー「Command+C」を使ってクリップボードにコピーできます。
このユーティリティは、FortiGuard LabsのリサーチャーであるKai Luが、Black Hat USA 2018にて「Learn How to Build Your Own Utility to Monitor Malicious Behaviors of Malware on macOS」というタイトルのプレゼンテーションを行った際に実演したものです。このプレゼンで、KaiはmacOSカーネルのマルウェアの悪意のある挙動を監視する、高度なソリューションを発表しました。さらに参加者に対し、このユーティリティの実装に関する主な技術的詳細もすべて解説しました。ご興味のある方は、こちらからプレゼンテーションのスライドをダウンロードいただけます。
フィードバックの送信やバグの報告は、fortiappmon@fortinet.comまでお願いいたします。
FortiAppMonitorのスクリーンショット:
図1. FortiAppMonitorアプリのGUI
図2. Networkカテゴリーのフィルターオプション
図3. Fileカテゴリーのフィルターオプション
図4. サーチ機能
図5. すべての記録をJSON形式ファイルへ保存
サポートしているOSバージョン
- macOS 10.11 (OS X El Capitan)
- macOS 10.12 (macOS Sierra)
- macOS 10.13 (macOS High Sierra)
- macOS 10.14 (macOS Mojave, Beta)
Changelog
- 最新バージョン:FortiAppMonitor.app 1.0.0
- リリース日:2018年8月15日
- ファイルサイズ:52.1 MB
- SHA-1: 6DDA29A5B96B5AB9AC64471B94600FFD8024398C
ダウンロード
最新のグローバル脅威レポートは、こちらからダウンロードいただけます。
また、FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。
