メモリイメージから既知のマルウェアを検知できるツール - JPCERT/CC
JPCERTコーディネーションセンター(JPCERT/CC)は、メモリイメージから既知のマルウェアを簡易的に検知できるフォレンジックツールを無償で公開している。
「impfuzzy for Volatility」は、メモリイメージから既知のマルウェアを検知するソフトウェアで、メモリフォレンジックツール「The Volatility Framework」のプラグインとして同センターが開発した。同センターにおいても、マルウェアの分析業務に利用しているという。
通常、実行ファイルはメモリ上にロードされると、OSやマルウェアによって一部情報が書き換えられるため、ファイルハッシュ値の比較によるマルウェアの検知を行うことができないが、同センターでは、「Import API」のファジーハッシュを利用することにより問題を解決した。
具体的には、マルウェアの実行ファイルがメモリにロードする際に変化しない「Import API」のファジーハッシュを「impfuzzy」により取得。同ハッシュ値を利用することで、Windows実行ファイルの類似性を比較できる。
パッカーが用いられたマルウェアに対しても、アンパック後にメモリ上へ展開された検体のハッシュ値を計算でき、類似度を判定することが可能。メモリ上の実行ファイルやライブラリファイルにくわえ、プロセスにインジェクトされたコードも検出できるとしている。
同ツールは「GitHub」で公開されている。また使用にあたり、Pythonモジュール「pyimpfuzzy」をあらかじめインストールしておく必要がある。
(Security NEXT - 2016/11/02 )
ツイート
PR
関連記事
「pgAdmin4」リストア処理にRCE脆弱性 - 2カ月連続で判明
CMSに総当たり攻撃、個人情報流出の可能性 - 体育器具メーカー
「Chrome」にゼロデイ脆弱性、詳細は調整中 - アップデートで修正
ワークフロー実行ツール「n8n」に脆弱性 - アップデートで修正
監視ツール「Barracuda RMM」に深刻な複数脆弱性 - アップデートを
サポート詐欺で遠隔操作ツールをインストール - 和歌山の休日診療所
駿河屋サイトの改ざん、監視ツールの脆弱性経由 - 侵害検知以降にも流出
メアド不備で5カ月にわたり個人情報を誤送信 - スポーツクラブNAS
高校情報共有ツールで個人情報が閲覧可能に、成績なども - 東京都
「Grafana」にクリティカル脆弱性 - なりすましや権限昇格のおそれ
