Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メモリイメージから既知のマルウェアを検知できるツール - JPCERT/CC

JPCERTコーディネーションセンター(JPCERT/CC)は、メモリイメージから既知のマルウェアを簡易的に検知できるフォレンジックツールを無償で公開している。

「impfuzzy for Volatility」は、メモリイメージから既知のマルウェアを検知するソフトウェアで、メモリフォレンジックツール「The Volatility Framework」のプラグインとして同センターが開発した。同センターにおいても、マルウェアの分析業務に利用しているという。

通常、実行ファイルはメモリ上にロードされると、OSやマルウェアによって一部情報が書き換えられるため、ファイルハッシュ値の比較によるマルウェアの検知を行うことができないが、同センターでは、「Import API」のファジーハッシュを利用することにより問題を解決した。

具体的には、マルウェアの実行ファイルがメモリにロードする際に変化しない「Import API」のファジーハッシュを「impfuzzy」により取得。同ハッシュ値を利用することで、Windows実行ファイルの類似性を比較できる。

パッカーが用いられたマルウェアに対しても、アンパック後にメモリ上へ展開された検体のハッシュ値を計算でき、類似度を判定することが可能。メモリ上の実行ファイルやライブラリファイルにくわえ、プロセスにインジェクトされたコードも検出できるとしている。

同ツールは「GitHub」で公開されている。また使用にあたり、Pythonモジュール「pyimpfuzzy」をあらかじめインストールしておく必要がある。

(Security NEXT - 2016/11/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

サーバ管理証明書の一元管理プラットフォームを提供 - デジサート
官報公表破産者情報の掲載サイトに停止命令 - 個情委
トヨタ自動車の故障診断ツールに脆弱性 - ECU間の通信に判明
「Emotet」の脅威 - 組織やビジネスへの影響を考える
入出金サーバに不正アクセス、顧客情報流出か - サクソバンク証券
「SMBleed」公表以降、「SMBv3」の探索行為が増加
ラックと日本女子大、産学連携でセキュ教育 - 「CTF」演習も
脆弱性診断サービスを刷新、最短3日のプランも - PSC
2018年度の国内セキュ市場、前年度比12.5%増 - JNSAまとめ
オンライン実施のCODE BLUE、参加費無料に - 講演募集も開始