不正プログラム(不審ファイル)の調査で使えるツール(apateDNS)


昔、インシデント調査で有用なツールを教えてもらったことがあるので、時間を見つけて残していきたい。

第3段はapateDNS

※apateとは、ギリシャ語で「偽装」の意

■特徴

・DNSレスポンスとして応答される接続先IPアドレスを、任意のIPアドレスに偽装できる。

・実行には管理者権限が必要。

・インシデント調査の観点でいうと、ツールの利用に際してネットワークのリンクアップが必要になるので要注意。

■主な利用方法

・不正な外部URLへの通信発生の有無の確認。

・Process Hackerを組み合わせることで、通信元プロセスの特定が可能

■画面レイアウト

■apateDNSの動き概要
■通信プロセスの特定

・apateDNSとProcess Hackerを併用することで、通信プロセスの特定が可能に(!?)


■入手
https://www.fireeye.com/services/freeware/apatedns.html

バックアップ(ver1.0)はこちら