Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

マルウェア設定情報の抽出ツールを公開 - JPCERT/CC

JPCERTコーディネーションセンターは、マルウェアより設定情報を抽出するマルウェア解析ツール「MalConfScan」を公開した。

同ツールは、メモリフォレンジックツール「The Volatility Framework」のプラグインとして動作するソフトウェア。「Ursnif」「Emotet」「PlugX」をはじめ、25種類の主要マルウェアに対応しており、「通信先」など亜種で変更された設定情報のみ抽出できる。

パッカーによりパッキングされたマルウェアについても、メモリ上にロードされ、アンパックされた状態の実行ファイルから設定情報を抽出することが可能。エンコードされた文字列をデコードしたり、DGAドメインなどの表示にも対応している。

また設定情報の抽出だけでなく、メモリフォレンジックツールとして、インシデント調査にも利用できるという。同ツールは、GitHub上で公開されており、ダウンロードして利用することが可能。

現在、以下のマルウェアに対応しており、今後も対応マルウェアを拡充していく予定。

Ursnif
Emotet
Smoke Loader
Poison Ivy
CobaltStrike
NetWire
PlugX
RedLeaves
TSCookie
TSC_Loader
xxmm
Datper
Ramnit
HawkEye Keylogger
Lokibot
Bebloh
AZORult
NanoCore RAT
AgentTesla
FormBook
NodeRAT
njRAT
TrickBot
Remcos
QuasarRAT

(Security NEXT - 2019/07/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

VDOO、CCDSにIoT機器の評価サービスを無償提供
エンドポイント対策強化するサンドボックスとEDR - カスペ
Microsoft Defender ATP、ファームウェア経由の攻撃対策を強化
クラウドの設定ミスを防ぐ診断サービス - ラック
重要インフラ事業者向けに在宅端末の無償リスク評価サービス
Kaspersky、一部脅威インテリジェンスをオープンに
ESETの脅威情報サービスを提供 - キヤノンMJ
ランサム「STOP Djvu」に復号ツール - サイドチャネル攻撃で解析
ネットサービスの不正予兆検知サービス - 不正決済やマネロン、PWリスト攻撃に対応
「ウイルスバスター」に新版 - リスト非依存の不正サイト判別機能を追加