仮想アナライザのネットワーク種類には以下の 3 つが存在します。
- 管理ネットワーク
- 指定されたネットワーク (カスタムネットワーク ※DDI3.8SP3以降での名称)
- 分離されたネットワーク (ネットワークなし ※DDI3.8SP3以降での名称)
それぞれのネットワーク種類のメリット・デメリットは以下のとおりです。
管理ネットワーク
- メリット
外部アドレスへのアクセスなどを含めた検体の挙動の解析が可能です。
- デメリット
検体がネットワークを経由して拡散するウイルスだった場合、マネージメントポートに 接続されているネットワークにてウイルスの感染が発生する可能性があります。
補足
検体をサンドボックス内で動作させた際の外部への通信は、マネージメントポートを使用して行われます。
指定されたネットワーク (カスタムネットワーク ※DDI3.8SP3以降での名称)
- メリット
外部アドレスへのアクセスなどを含めた検体の挙動の解析が可能です。
- デメリット
検体がネットワークを経由して拡散するウイルスだった場合、接続されているネットワークにて ウイルスの感染が発生する可能性があります。
ただし、検体を動作させる専用のネットワークを使用することにより感染の防止もしくは局所化が見込めます。
補足
検体をサンドボックス内で動作させた際の外部への通信は、設定した任意のポートから行われます。
分離されたネットワーク (ネットワークなし ※DDI3.8SP3以降での名称)
- メリット
ネットワークを経由してウイルスが感染する可能性はありません。
- デメリット
外部アドレスへのアクセスなどを含めた検体の挙動の解析を行うことができません。
例えば、外部からマルウェアをダウンロードする検体の場合、 当該マルウェアの挙動を解析することができません。
補足
検体をサンドボックス内で動作させた際にインターネットに接続することはありません。