Sophos の Source of Infection ツール

  • 文章 ID: 111505
  • 更新日: 2013 4 10

Source Of Infection ツールとは?
管理者はこのツールを使用して、ネットワーク上の特定のコンピュータに書き込まれた感染源としての悪意のあるファイルの検出を実行できます。

この文章では、Source of Infection ツールの使用方法について説明します。

注:ツールは他社製のウイルス対策製品が実行されているマシンには対応していません。 

対応 OS
バージョン 2.0 のツールは、次の Windows OS の各 32ビット版および 64ビット版に対応しています。

  • Windows XP SP2 以降
  • Windows Server 2003 SP1 以降
  • Windows Vista SP0 以降
  • Windows 7 SP0 以降
  • Windows 8
  • Windows 2008 SP0 以降
  • Windows 2008 R2 SP0 以降
  • Windows 2012

ツールに関する動画 (英語)

ツールの使用方法

ツールの取得場所
ツールは http://downloads.sophos.com/tools/SourceOfInfection.exe からダウロードしてください。最新バージョンを使用していることを確認してください。

注:Source of infection ツールはバージョン 2.0 にアップデートされました。

ツールの使用法
ツールは管理者権限で実行する必要があります。UAC を有効に設定している Windows Vista 以降の OS では、ツールは管理者権限の (管理者権限に昇格した) コマンドプロンプトから実行する必要があります。ツールはウイルス対策製品が実行されていないマシン、または Sophos Anti-Virus が実行されているマシンに対応しています。

ツール用のコマンド オプション:
ツールは以下のオプションと共に実行できます。

-process または -p: プロセスのみを記録します (リモートの書き込みは記録しません)
-network または -n: リモート (ネットワーク) の書き込みのみを記録します (プロセスは記録しません)
-area <フォルダ> または -a <フォルダ>: 特定のフォルダ内のアクセスのあったファイルのみを記録します
-ext <拡張子> (続けて指定可能): 指定した拡張子を持つファイルのみを記録します (バージョン 2.0 の新機能)
-loglevel <レベル> または -ll <レベル>: トレースするログレベルを設定します (1: すべて、2: エラー、3: 記録なし)
-logsize <サイズ> または -ls <サイズ>: ログの最大サイズ (MB)を指定します (0 - 無制限)
-logfolder <フォルダ> or -lf <フォルダ>: ログの出力先を指定したフォルダへ変更します (バージョン 2.0 の新機能)
-timeout <秒> または -t <秒>: タイムアウトを指定します (1 ~ 86400 秒で指定、0 - タイムアウトなし)
-runonly または -ro: 実行のみでドライバのインストールまたはアンインストールを行いません
-installdriver または -id: ドライバをインストールするが実行しません (起動時に実行されるドライバをインストールします)
-uninstalldriver または -ud: ドライバをアンインストールしますが実行しません (ドライバのアンインストールのみです)
-help または -h: ヘルプメッセージを表示します

バージョン 2.0.0 の新オプションに関する注意事項

オプション -ext を使用すると、記録する拡張子を絞ることができます。コマンドラインでこのオプションを使用しないと、ドロップされたすべてのファイルが記録されます。このオプションを数回使用することで、重複した拡張子のあるファイルを記録することができます。

オプション -lf により、別のディレクトリにログを記録することができます。実行中の Windows のアカウントは、このディレクトリに対する書き込み権限が必要です。

全バージョン共通のオプションに関する注意事項

オプション –p と –n は同時には選択でません。–n では、ネットワーク上にあるマルウェアを追跡し、–p はローカルマシンに潜伏するマルウェアを特定します。管理者が悪意のあるファイルが存在する可能性のあるパスを把握している場合には、-a オプションによって不要なイベントをフィルタリングできます。

-a によるフィルタリングは、ツールの使用ごとに一回のみ実行できます。ログレベルの値については、1 – すべての情報をログに記録 (詳細)、2 – 重要な情報のみ (デフォルト)、3 – ログに記録しません。ログファイルの大きさが設定された最大値 (MB) よりも大きくなった場合には、ログサイズのオプションは Soi.log への書き込みに影響を与えてます。ログファイルの 1つが指定された上限を超えた場合、バックアップが作成され、ログファイルが再作成されます。(直前のバックアップファイルが 1つだけ保管されます。)値が指定されていない、または -ls = 0 の場合、ログサイズは「無制限」(デフォルト) になります。

オプション –h、id、および -ud が使用される場合には、そのオプションのみで使用される必要があります。ツールを実行すると (使用オプションが -h の場合を除く)、Ctrl-C を押して実行を中断するまでツールは情報を収集し続けます。

ツールからの出力ログ

環境変数 %temp% (「スタート」 - 「ファイル名を指定して実行」の順にクリックして %temp% と入力し、「Enter」キーを押します) で定義されているように、ツールはデフォルトで、ログオンしているユーザーの一時ディレクトリに以下の 2つのファイルを生成します。

  1. Source of Infection Log.csv:このファイルには上記に説明されたイベントに関する記録が含まれます。プロセスによってファイルに書き込みがあった場合、ログファイルは、日時、ファイルのフルパス、およびプロセスを行う実行可能ファイルのフルパスを記録します。ファイルにリモートから書き込みがあった場合、ログファイルは、日時、ファイルのフルパス、リモートマシン名または IP アドレス (取得できる場合) を記録します。
  2. Source of Infection Trace.txt:これはツール自体に関するログファイルです。通常、ツールの起動と終了や、エラーなどをログに記録しますが、他のさまざまな情報をログに記録するようにツールを実行することができます。(この情報はツール自体のデバッグに使用できます。)

.csv ファイルは Microsoft Excel にインポートして必要に応じた解析を行うことができます。

使用例

シナリオ A:感染ファイルがネットワーク上、またはネットワークに接続しているマシンにドロップされた場合

このシナリオでは、悪意のあるファイルが感染源のマシンから調査中のマシンにドロップされるという状況を想定しています。ファイルは共有ディレクトリまたはサブディレクトリにのみドロップできますが、大半の Windows マシンには管理共有 (C$) があり、ドライブ全体へのアクセスを許可できます。

Sophos Anti-virus を使用して悪意のあるファイルがドロップされた共有場所を特定した後で、Sophos Source of Infection Tool を使用して感染ホストを検出できます。これを実行するには、ネットワーク (-n) およびエリアのスイッチ (-a) を使用します。以下の例をご覧ください。

SourceofInfection.exe -n -a "c:\sharedfolder"

Source of Infection Tool は、共有フォルダのディレクトリ (共有) 内にある、すべての新規または変更されたファイルをログに記録します。"Source of Infection Log.csv” というログファイルを開きます。悪意のあるファイルがログファイル内で見つかった場合、Ctrl-C を押してログ記録を停止できます。以下は ”Source of Infection Log.csv” の例です。

Date/Time,File path,Process/Network,Process path/Machine name
"2010/07/15 12:20:59","C:\sharedfolder\autorun.inf","Network","172.16.100.184"

これは autorun.inf というファイルが、12:20pm に 172.16.100.184 の IP アドレスからネットワーク経由でドロップされたことを示しています。

注:コンピュータをネットワークから切り離すことで、マシンがローカルで再感染したのか、ネットワークから再感染したかを特定できます。ネットワークから隔離されたマシンでは悪意のファイルへの再感染が発生しなかった場合、マルウェアはネットワーク経由で拡散したことを意味します。隔離されたマシンで悪意のあるファイルの再感染が確認された場合、以下のシナリオ B をご覧ください。

シナリオ B:感染ファイルがローカルフォルダ上またはネットワークから切り離されたマシン上にドロップされた場合

このシナリオでは、悪意のあるファイルがローカルプロセスによってマシン上にドロップされて場合を想定します。

Sophos Anti-Virus を使用して悪意のあるファイルがドロップされた場所を特定した後、Sophos Source of Infection ツールを使用して感染プロセスを特定できます。これを実行するには、プロセス (-p) およびエリアのスイッチ (-a) を使用します。以下の例をご覧ください。

SourceofInfection.exe -p -a "C:\Documents and settings\Administrator\Local Settings\Temp"

Source of Infection Tool は、選択したディレクトリ内のすべての新しいがファイルまたは変更されたファイルをログに記録します。悪意のあるファイルが検出されるまで待ち、検出後は Ctrl-C を押してツールを停止し、“Source of Infection Log.csv” という名前のログファイルを開いて感染ソースを確認してください。以下は ”Source of Infection Log.csv” の例です。

Date/Time,File path,Process/Network,Process path/Machine name
"2010/07/15 12:32:55","C:\Documents and Settings\Administrator\Local Settings\Temp\5541syrty.exe","Process","C:\WINDOWS\svvvvhost.exe"

この例では、5541syrty.exe というファイルが svvvvhost.exe というプロセスによって Temp ディレクトリにドロップされたことを示しているので、svvvvhost.exe をサンプルとして提出してください。

シナリオ C:感染ファイルのドロップされた場所が不明、または常に変化している場合

マルウェアは通常は非常に論理的に作成されているため、マルウェアが書き込まれる場所は特定可能なので、このシナリオに該当するケースは非常に少ないと考えれます。

すべてのファイルに関してログを作成する必要がある場合は、追加のスイッチなしでツールを実行してください。

通常の運用状況では、多数のファイルが OS や他のアプリケーションによって作成・変更されているため、ログの生成が必要な正確な場所が不明な場合には、問題と関係のない多くのエントリがログに記録されてしまう可能性がある点にご注意ください。

 
詳細情報が必要な場合やご不明の点がある場合は、 テクニカルサポート までご連絡ください。

Rate this article

Very poor Excellent

Comments