Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メモリイメージから既知のマルウェアを検知できるツール - JPCERT/CC

JPCERTコーディネーションセンター(JPCERT/CC)は、メモリイメージから既知のマルウェアを簡易的に検知できるフォレンジックツールを無償で公開している。

「impfuzzy for Volatility」は、メモリイメージから既知のマルウェアを検知するソフトウェアで、メモリフォレンジックツール「The Volatility Framework」のプラグインとして同センターが開発した。同センターにおいても、マルウェアの分析業務に利用しているという。

通常、実行ファイルはメモリ上にロードされると、OSやマルウェアによって一部情報が書き換えられるため、ファイルハッシュ値の比較によるマルウェアの検知を行うことができないが、同センターでは、「Import API」のファジーハッシュを利用することにより問題を解決した。

具体的には、マルウェアの実行ファイルがメモリにロードする際に変化しない「Import API」のファジーハッシュを「impfuzzy」により取得。同ハッシュ値を利用することで、Windows実行ファイルの類似性を比較できる。

パッカーが用いられたマルウェアに対しても、アンパック後にメモリ上へ展開された検体のハッシュ値を計算でき、類似度を判定することが可能。メモリ上の実行ファイルやライブラリファイルにくわえ、プロセスにインジェクトされたコードも検出できるとしている。

同ツールは「GitHub」で公開されている。また使用にあたり、Pythonモジュール「pyimpfuzzy」をあらかじめインストールしておく必要がある。

(Security NEXT - 2016/11/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

先週注目された記事(2024年3月10日〜2024年3月16日)
小学校児童の個人情報含むデータを保護者に誤送信 - 名古屋市
警察庁が開発した「Lockbit」復旧ツール、複数被害で回復に成功
先週注目された記事(2024年3月3日〜2024年3月9日)
米当局、「TeamCity」の脆弱性悪用に注意呼びかけ
GitLab、脆弱性2件を解消したセキュリティアップデートを公開
IT資産管理用ツール「SKYSEA Client View」に複数の脆弱性
JetBrainsの「TeamCity」深刻な脆弱性 - 詳細も公開、早急に対処を
Rapid7が「TeamCity」脆弱性の詳細を公開 - 報告側と修正側で意識に差
Ivanti、「外部整合性チェックツールICT」の機能強化版を公開