Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JPCERT/CC、「Emdivi」解析用スクリプトを無償公開 - 「APT 17」用ツールも

JPCERTコーディネーションセンターは、日本国内の組織を標的としたマルウェア「Emdivi」や「APT 17」のマルウェア分析用ツールを公開した。

国際会議「CODE BLUE 2015」の論文発表にあわせ、分析用のスクリプトをGitHubで公開し、詳細を明らかにしたもの。

「emdivi_string_decryptor.py」は、IDA Proで利用できるIDAPythonスクリプト。接続先のURLなどEmdivi内に含まれる暗号化された文字列を復号できる。検体のバージョンや検体内の文字列から復号鍵を算出。復号処理を行うことが可能。

また「Deputy Dog」「Aurora Panda」などとしても知られる攻撃キャンペーン「APT 17」の解析用ツール「apt17scan.py」をあわせて公開している。

同ツールは、メモリフォレンジックツール「The Volatility Framework」用のプラグイン。同キャンペーンでは、マルウェアをファイルとして保存せず、メモリ上のみで稼働する手法を用いていることから、メモリイメージから「Agtid」「Hikit」「McRAT」「Preshin」「BlackCoffee」「Derusbi」といったマルウェアを検知し、設定情報を抽出できる同ツールを用意した。

(Security NEXT - 2015/10/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

「CSVファイル」用いた標的型攻撃、4月以降も - 複数攻撃手法を併用
JPCERT/CC、都内でアナリスト向けのカンファレンスイベント
「Emdivi」拡散に「Angler EK」を使用か - 「ZeusVM」にも
88の金融機関狙うマルウェア - 偽金融庁サイトで情報詐取
上位版「Emdivi」登場 - マルウェアによる不正通信は1カ月で3倍以上に
10日間で国内25サイトが改ざん - 閲覧で「Emdivi」などへ感染のおそれ
MS定例外パッチで修正された脆弱性、出所はHacking Team - EK悪用へ警戒を
【Hacking Team問題】水飲み場攻撃による「Emdivi」の感染活動で「CVE-2015-5119」を悪用
健保組合装う医療費通知の偽メールに注意 - 遠隔操作マルウェアを添付