Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メモリイメージから既知のマルウェアを検知できるツール - JPCERT/CC

JPCERTコーディネーションセンター(JPCERT/CC)は、メモリイメージから既知のマルウェアを簡易的に検知できるフォレンジックツールを無償で公開している。

「impfuzzy for Volatility」は、メモリイメージから既知のマルウェアを検知するソフトウェアで、メモリフォレンジックツール「The Volatility Framework」のプラグインとして同センターが開発した。同センターにおいても、マルウェアの分析業務に利用しているという。

通常、実行ファイルはメモリ上にロードされると、OSやマルウェアによって一部情報が書き換えられるため、ファイルハッシュ値の比較によるマルウェアの検知を行うことができないが、同センターでは、「Import API」のファジーハッシュを利用することにより問題を解決した。

具体的には、マルウェアの実行ファイルがメモリにロードする際に変化しない「Import API」のファジーハッシュを「impfuzzy」により取得。同ハッシュ値を利用することで、Windows実行ファイルの類似性を比較できる。

パッカーが用いられたマルウェアに対しても、アンパック後にメモリ上へ展開された検体のハッシュ値を計算でき、類似度を判定することが可能。メモリ上の実行ファイルやライブラリファイルにくわえ、プロセスにインジェクトされたコードも検出できるとしている。

同ツールは「GitHub」で公開されている。また使用にあたり、Pythonモジュール「pyimpfuzzy」をあらかじめインストールしておく必要がある。

(Security NEXT - 2016/11/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

2017年度の情報セキュリティ市場は9965億円 - 前年度比483億円増と堅調
「PowerDNS Authoritative Server」にRCEの脆弱性 - アップデートがリリース
複数の教委公開文書で個人情報の墨塗り処理にミス - 大阪市
元従業員が営業管理ツールで顧客情報を不正閲覧、営業利用 - システム開発会社
MS、IoTやクラウドのセキュリティを強化 - 疑似攻撃による対応テスト機能も
攻撃狙う「Cisco Smart Install」は「デフォルトで有効」 - IOS利用者は注意を
ウェブサイト向けセキュリティ診断サービスのラインナップを強化 - EGセキュア
家庭内LANの安全性診断ツールに脆弱性診断機能を追加 - 「Mirai」が狙うポートの開放状況もチェック
オムロン製FA統合ツールパッケージに複数の脆弱性
Cisco製スイッチ設定ツールに攻撃受けるおそれ - 国レベルの攻撃で悪用、複数国で被害