メモリイメージから既知のマルウェアを検知できるツール - JPCERT/CC

JPCERTコーディネーションセンター（JPCERT/CC）は、メモリイメージから既知のマルウェアを簡易的に検知できるフォレンジックツールを無償で公開している。

「impfuzzy for Volatility」は、メモリイメージから既知のマルウェアを検知するソフトウェアで、メモリフォレンジックツール「The Volatility Framework」のプラグインとして同センターが開発した。同センターにおいても、マルウェアの分析業務に利用しているという。

通常、実行ファイルはメモリ上にロードされると、OSやマルウェアによって一部情報が書き換えられるため、ファイルハッシュ値の比較によるマルウェアの検知を行うことができないが、同センターでは、「Import API」のファジーハッシュを利用することにより問題を解決した。

具体的には、マルウェアの実行ファイルがメモリにロードする際に変化しない「Import API」のファジーハッシュを「impfuzzy」により取得。同ハッシュ値を利用することで、Windows実行ファイルの類似性を比較できる。

パッカーが用いられたマルウェアに対しても、アンパック後にメモリ上へ展開された検体のハッシュ値を計算でき、類似度を判定することが可能。メモリ上の実行ファイルやライブラリファイルにくわえ、プロセスにインジェクトされたコードも検出できるとしている。

同ツールは「GitHub」で公開されている。また使用にあたり、Pythonモジュール「pyimpfuzzy」をあらかじめインストールしておく必要がある。

（Security NEXT - 2016/11/02 ） ツイート

PR

関連記事

シークレット管理ツール「HashiCorp Vault」に複数の脆弱性
GitLab、アップデートを公開 - 脆弱性7件を解消
ZohoのAD管理支援ツールに脆弱性 - アップデートで修正
「Chrome」にアップデート - スクリプトエンジンの脆弱性を修正
一部従業員情報がグループ内で閲覧可能に、BIツールで設定ミス - デンソー
手書き帳票デジタル化サービスにサイバー攻撃 - 情報流出の可能性
「ConnectWise Automate」に悪用リスク高い脆弱性 - 早急に対応を
F5にサイバー攻撃 - 未公開の脆弱性含む機器関連情報が流出
「Rapid7」「SKYSEA」など脆弱性5件の悪用に注意喚起 - 米当局
PC廃棄委託先に不備、ネット接続検知から発覚 - ぼんち