Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

マルウェア設定情報の抽出ツールを公開 - JPCERT/CC

JPCERTコーディネーションセンターは、マルウェアより設定情報を抽出するマルウェア解析ツール「MalConfScan」を公開した。

同ツールは、メモリフォレンジックツール「The Volatility Framework」のプラグインとして動作するソフトウェア。「Ursnif」「Emotet」「PlugX」をはじめ、25種類の主要マルウェアに対応しており、「通信先」など亜種で変更された設定情報のみ抽出できる。

パッカーによりパッキングされたマルウェアについても、メモリ上にロードされ、アンパックされた状態の実行ファイルから設定情報を抽出することが可能。エンコードされた文字列をデコードしたり、DGAドメインなどの表示にも対応している。

また設定情報の抽出だけでなく、メモリフォレンジックツールとして、インシデント調査にも利用できるという。同ツールは、GitHub上で公開されており、ダウンロードして利用することが可能。

現在、以下のマルウェアに対応しており、今後も対応マルウェアを拡充していく予定。

Ursnif
Emotet
Smoke Loader
Poison Ivy
CobaltStrike
NetWire
PlugX
RedLeaves
TSCookie
TSC_Loader
xxmm
Datper
Ramnit
HawkEye Keylogger
Lokibot
Bebloh
AZORult
NanoCore RAT
AgentTesla
FormBook
NodeRAT
njRAT
TrickBot
Remcos
QuasarRAT

(Security NEXT - 2019/07/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

警察庁が開発した「Lockbit」復旧ツール、複数被害で回復に成功
「ブラックボックス診断」で問題発見時に静的診断も - Flatt Security
主要ベンダー製品と連携するXDRを7月に提供 - Cisco
ランサムウェア「Conti」亜種に対応した復号ツールを公開 - カスペ
CSIRTの業務支援サービスを開始、フォレンジック調査も - MIND
ランサムウェア「Yanluowang」の復号ツールを提供 - カスペルスキー
クラウド処理を活用、「PAN-OS 10.2 Nebula」をリリース - パロアルト
「Emotet」の感染や個人情報流出調査を無償提供 - SHIFT SECURITY
攻撃者視点で学ぶ「OTシステムハッキング」のトレーニングサービス
個別の脅威調査に応じるチケット制サービス - カスペルスキー