Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

マルウェア設定情報の抽出ツールを公開 - JPCERT/CC

JPCERTコーディネーションセンターは、マルウェアより設定情報を抽出するマルウェア解析ツール「MalConfScan」を公開した。

同ツールは、メモリフォレンジックツール「The Volatility Framework」のプラグインとして動作するソフトウェア。「Ursnif」「Emotet」「PlugX」をはじめ、25種類の主要マルウェアに対応しており、「通信先」など亜種で変更された設定情報のみ抽出できる。

パッカーによりパッキングされたマルウェアについても、メモリ上にロードされ、アンパックされた状態の実行ファイルから設定情報を抽出することが可能。エンコードされた文字列をデコードしたり、DGAドメインなどの表示にも対応している。

また設定情報の抽出だけでなく、メモリフォレンジックツールとして、インシデント調査にも利用できるという。同ツールは、GitHub上で公開されており、ダウンロードして利用することが可能。

現在、以下のマルウェアに対応しており、今後も対応マルウェアを拡充していく予定。

Ursnif
Emotet
Smoke Loader
Poison Ivy
CobaltStrike
NetWire
PlugX
RedLeaves
TSCookie
TSC_Loader
xxmm
Datper
Ramnit
HawkEye Keylogger
Lokibot
Bebloh
AZORult
NanoCore RAT
AgentTesla
FormBook
NodeRAT
njRAT
TrickBot
Remcos
QuasarRAT

(Security NEXT - 2019/07/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

「EDR原因解析サービス」 - シーイーシーとソフォス
ブランド毀損リスク対策を支援するサービス - KPMG
アラート60分以内に要対応情報を提供するMSS - GRCS
制御システム向けにリスク評価サービス - BBSecとテリロジー
ESETにEDR製品が追加 - クラウド型サンドボックスも提供
ウェブフィルタリング製品に新版、クラウドサービスも- キヤノンMJ
工場やビル向けネットワーク監視ソリューションを展開 - NRIセキュアとSCADAfence
BBSS、iPhone向けに詐欺SMS対策アプリ - 外部サーバで解析
メールの添付ファイルやURLの開封環境を分離するソリューション - マクニカネット
Cylance製品向けの運用監視サービス - テクマトリックス