Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

マルウェア設定情報の抽出ツールを公開 - JPCERT/CC

JPCERTコーディネーションセンターは、マルウェアより設定情報を抽出するマルウェア解析ツール「MalConfScan」を公開した。

同ツールは、メモリフォレンジックツール「The Volatility Framework」のプラグインとして動作するソフトウェア。「Ursnif」「Emotet」「PlugX」をはじめ、25種類の主要マルウェアに対応しており、「通信先」など亜種で変更された設定情報のみ抽出できる。

パッカーによりパッキングされたマルウェアについても、メモリ上にロードされ、アンパックされた状態の実行ファイルから設定情報を抽出することが可能。エンコードされた文字列をデコードしたり、DGAドメインなどの表示にも対応している。

また設定情報の抽出だけでなく、メモリフォレンジックツールとして、インシデント調査にも利用できるという。同ツールは、GitHub上で公開されており、ダウンロードして利用することが可能。

現在、以下のマルウェアに対応しており、今後も対応マルウェアを拡充していく予定。

Ursnif
Emotet
Smoke Loader
Poison Ivy
CobaltStrike
NetWire
PlugX
RedLeaves
TSCookie
TSC_Loader
xxmm
Datper
Ramnit
HawkEye Keylogger
Lokibot
Bebloh
AZORult
NanoCore RAT
AgentTesla
FormBook
NodeRAT
njRAT
TrickBot
Remcos
QuasarRAT

(Security NEXT - 2019/07/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

重要インフラ向けにリモート訓練サービス - 日立
FFRI、先端技術分野の脅威分析やトレーニングなど新サービス
防御演習「CYDERオンライン」ベータ版受講者を募集 - NICT
AOSデータ、ドローンのフォレンジックサービスを開始
パナソニックとマカフィー、自動車SOCを共同構築
パブリッククラウドのセキュ診断サービス - イエラエ
ウェブゲートウェイサービスの不正サイト遮断機能を強化 - IIJ
メール受信サーバでDMARC認証結果レポートを作成できる無償サービス
GitHub、脆弱性スキャンツールを正式リリース - ベータテストで2万件を発見
カスタマイズ可能なフィッシングの模擬演習サービス- エフセキュア