Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メモリイメージから既知のマルウェアを検知できるツール - JPCERT/CC

JPCERTコーディネーションセンター(JPCERT/CC)は、メモリイメージから既知のマルウェアを簡易的に検知できるフォレンジックツールを無償で公開している。

「impfuzzy for Volatility」は、メモリイメージから既知のマルウェアを検知するソフトウェアで、メモリフォレンジックツール「The Volatility Framework」のプラグインとして同センターが開発した。同センターにおいても、マルウェアの分析業務に利用しているという。

通常、実行ファイルはメモリ上にロードされると、OSやマルウェアによって一部情報が書き換えられるため、ファイルハッシュ値の比較によるマルウェアの検知を行うことができないが、同センターでは、「Import API」のファジーハッシュを利用することにより問題を解決した。

具体的には、マルウェアの実行ファイルがメモリにロードする際に変化しない「Import API」のファジーハッシュを「impfuzzy」により取得。同ハッシュ値を利用することで、Windows実行ファイルの類似性を比較できる。

パッカーが用いられたマルウェアに対しても、アンパック後にメモリ上へ展開された検体のハッシュ値を計算でき、類似度を判定することが可能。メモリ上の実行ファイルやライブラリファイルにくわえ、プロセスにインジェクトされたコードも検出できるとしている。

同ツールは「GitHub」で公開されている。また使用にあたり、Pythonモジュール「pyimpfuzzy」をあらかじめインストールしておく必要がある。

(Security NEXT - 2016/11/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

デジタル署名検証ガイドラインを公開 - JNSA
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定
同業者装いセキュ研究者に忍び寄るサイバー攻撃者 - 解析情報にワナも
3割がセキュ投資増額、56.3%で被害経験 - IDC調査
ツール設定ミスで採用関連の個人情報を誤公開 - ソフト開発会社
「SAP」を狙うサイバー攻撃、事業停止のリスクも - 利用企業は早急に確認を
米政府、「Exchange脆弱性」対策で追加指令 - スキャンや対策強化など要請
LINE、国外の個人データ保管やアクセス状況を説明 - 「ポリシー上に記載ある」
「S/MIME」の運用管理支援サービス - 九電ビジネスソリューションズ
【特別企画】予算や人材不足の中小企業でもあきらめない! - マルウェア被害の縮小化