マルウェア 解析。 マルウェア解析の実態|FFRI

NTT Home page > 研究開発 > セキュアプラットフォーム研究所 > 研究中のプロジェクト > サイバーセキュリティ プロジェクト > MDR/EDRを支えるマルウェア解析技術

マルウェア 解析

はじめに これはの22日目の記事です 今夏ののチューターをやったときあたりから、本格的に解析に興味が湧いてきたので、色々調べたことを公開するエントリを書くことにしました。 解析というものは独学でやるには敷居もリスクも高く、企業や研究機関に所属していないと本格的に行うことは難しいと思います。 そこで、ここでは趣味でやる解析と称して、出来るだけ敷居を下げられるように色々と解析関連の資料をまとめました。 ただ、私は解析については全くの初心者で、このエントリで私が解析について指南することは基本的にありませんし、載せているリンクも質を保証するものではありません。 ここでまとめているものは私がぱっと見で良さそうと思ったものであり、私自身に対するこれからの課題でもあります。 環境構築 解析をするにあたって環境構築は重要な項目になります。 間違っても(少なくとも趣味の範囲では)実機でを動作させるのはいけませんし、仮想環境上でも適切な設定を行わなければなりません。 この辺りの注意事項については暗黙の了解なのか詳しく書いてあるところはあまりなく、私がみた中ではこちらの書籍の環境構築の部分に詳しく書いてあります。 解析の環境は主にになると思います。 そのほかのOSのももちろん存在しますが、一般的なのシェアからか、も主に上で動作するものが多い印象です。 これから始めるならの用意が必須になります。 しかしは有料で安くはないので私はこちらのサービスを使いました。 前はmodern. と呼ばれていたものですが、名前だけ変わっています。 のバージョンも選べるので便利。 解析では非常に多様なツールを使用します。 ツールなどの用意はこのツールで簡単にできてしまいます。 簡単な手順で主要なツールを導入してくれます。 インストール方法など詳細はこちらにも書いてありますが、インストールはのREADMEに従ってやるのが良いと思います。 動画でも紹介されていますが、この動画と同じようにできるかどうかは保証できません 実際私は失敗した ので、実際にやるときには公式のサイトを参考にすると良いです。 でも、ツールの紹介などをしてくれるので一度見ておくと良いと思います。 しかし、解析系のツールは非常に多く、似たようなものもいろいろあります。 その中で選ぶのは本当に好みに左右されることもあり、FLAREVMではその全てを導入してくれるわけではありません。 慣れてきたらいろいろ使ってみて自分の環境を揃えて行くと良いかもしれません。 PEフォーマット のを解析する際、の実行可能ファイルの形式であるPEフォーマットについての知識は必須です。 日本語の資料だと、上記のや、以下のものが良いと思います。 解析系の記事や資料には冒頭にPEの解説が入ることがよくありますので、これだけをずっと読むよりは色々見ていく方が良いと思います。 またこれはよく言われていることなのですが、PEフォーマットはかなり複雑なものになっていて、全てを暗記して理解している人は少ないらしいです。 なので全体をざっと理解して、よく参照される部分(インポートテーブルなど)の繋がりを理解しておけば、良いと思います。 ちなみに、PEフォーマットの全体像を一枚にまとめたPDFがあります。 眺める程度に一度見ておくと面白いです。 解析 を解析するには表層解析、静的解析、動的解析があると言われていますが、基本的に何をするにしてもの知識は必須だと思っています。 また、私がツールなどを用いて解析するよりもを読んだりする方が好きなことから、の方をまとめていくことにしました。 まず、のの入門にはこちらの書籍が良かったです。 ソフトウェアの実行の仕組みからの解説、簡易デバッガの作成やシリアルコード抽出まで色々とやっているので結構楽しんで読めると思います。 次に、解析全般的に解説してくれているサイトです。 このサイトはかなり読みやすくて、絵やGIFも多用されていてわかりやすいと思います。 また、海外では動画で解析関連の動画がよく上がっています。 チャンネルをいくつか載せておきます。 解析というよりはライブアンパッキングという感じですが面白いです。 その他解析系の様々な技術の紹介をしてくれたりします。 最後に、結構有名なものだとは思いますが、OPEN SECURITY TRANINGがあります。 こちらはコンピュータセキュリティに関する様々な技術の資料や講義がフリーで公開されています。 解析だと以下のようなものが良いと思います。 資料も講義の動画も全部英語の上、ボリュームもすごいことになっているので全部すぐに理解するのは難しいとは思いますが、いろんなところからリンクを貼られているので、質はお墨付きではないかと思います。 また、OpenSecurityのトグに載っているこちらの画像によると、解析のスキルツリーはこのようになっているらしく、この通りに技術をつけていきたいですね。 解析は実際に手を動かして経験を積むのが一番なのですが、いきなりを読み始めたりするのは億劫になる人もいると思うので、こういうCrackMeと呼ばれるようなトグで色々触ってみると良いと思います。 あとは、CTFのbinaryやreversingといったカテゴリーの問題を解くのも良いと思います。 検体 を解析しようと思っても肝心のがなければ話になりません。 を建てて自分で集めるのも良いですが、すでに公開されている検体をもらってくるのが最も簡単な方法です。 こちらで色々公開されています。 普通になので取り扱いには重々注意してください。 ファイルをアップロードしたら色々解析してくれるサービスですが、課金ユーザーになるとアップロードされたファイルをダウンロードできるようになります。 こちらも同じようなサービスですが、無料でもアップロードされたファイルをダウンロードできます。 以下、がまとめられているサイトなどです。 I mainly collect APT variants among other types. — 0xffff0800 0xffff0800 news などの動向は絶えず変化し続けていくので、最新の情報を常に取得することが大切だと思います。 プロの方々は人それぞれ情報網を持っていたり、選別したサイトなどを見てキャッチアップしていると思います。 この辺りは僕も本当に知りたいところなのですが、個人的に良いなと思ったニュースサイトを上げていきます。 この辺りは有名ですし、日本語で書いてあって読みやすいし良いと思います。 英語ですが、関連のニュースを多く扱っているサイトです。 のセキュリティ系のチャンネルです。 その他、自分はここを見ている、こうやって情報収拾しているというものあれば、コメントなどで教えていただけると嬉しいです! おわりに 本来は全く別の技術的な記事を書くつもりだったのですが進捗が全然間に合わず、急遽別の候補であるこの記事を書きました。 まともな文章も書かず、ムラだらけのリンク集みたいな記事になってしまい すみません。 はじめにでも書いたようにこれは私自身への課題という側面があるのですが、こういう記事を見て解析に興味を持って、一緒に勉強してくれる人が出てきてくれたら嬉しいなという思いもあります。 来年の今頃にはもっと技術的に面白い記事が書けるように頑張ります。 attox.

次の

趣味でやるマルウェア解析

マルウェア 解析

最近、サイバー攻撃が増加していますが、中でもゼロデイ攻撃という問題の公表や修正プログラムが提供される前に行われる攻撃が増えています。 そのため、マルウェアについては、従来のウィルススキャンソフトのように既知のマルウェアのシグネチャをもとに検知を行うようなソフトウェアでは、検知できない場合が増加しています。 そこで、未知のマルウェア対策の1つとして、サンドボックス解析という、サンドボックス上で不審なプログラムを動作させて、その挙動を動的に解析し、マルウェアを検知するという技術があります。 今回は、オープンソースのサンドボックス解析ツールのCuckoo Sandboxをインストールしてマルウェア解析を行ってみたいと思います。 環境 今回はAWS上で以下の環境にインストールを行いました。 インスタンスタイプ:t3a. medium• vCPU: 2• メモリ: 4GB• OS: Ubuntu 18. 4 LTS 必要なソフトウェアのインストール 以下の手順で、必要なソフトウェアインストールして下さい。 今回はサンドボックスとして使用する仮想マシンとしてVirtualBoxを使用します。 py install Volatilityをインストールします。 py install Cuckoo Sandboxのインストール 以下の手順でCuckoo Sandboxをインストールして下さい。 cuckooに作成されます。 事前にVirtualBoxのホストオンリーアダプターを設定して下さい。 168. 1 --netmask 255. 255. 255. インストール手順は割愛しますが、ネットワークはホストオンリーアダプターでvboxnet0を設定して下さい。 OS: Windows 7• メモリ: 2GB• HDD: 32GB• 仮想マシンの名前: win7(任意) Windows 7には以下の設定を行って下さい。 Windowsファイアウォールを無効にする• 168. 101 サブネットマスク: 255. 255. 255. 0 デフォルトゲートウェイ: 192. 168. 1 次に以下のソフトウェアをインストールして下さい。 Pythonをインストールするときは、[Add python. exe to Path]オプションを有効にして下さい。 agent. Python 2. PIL 1. agent. Adobe Acrobat Reader• Microsoft Office• etc ソフトウェアのインストールが完了したら、VirtualBoxでWindowsのスナップショットを取って下さい。 今回はcuckoo01という名前でスナップショットを取るものとします。 スナップショットを取ったら、Windowsをシャットダウンして下さい。 Cuckoo Sandboxの設定 まず、事前に以下のデーモンが起動するように設定して下さい。 cuckoo. conf... conf... [win7] [cuckoo1]を変更して下さい。 "SUBMIT A FILE FOR ANALYSIS"からファイルをアップロードした後、"Analyze"を押下すると、解析が行われます。 Cuckoo Sandboxは、Web GUI以外にコマンドラインやAPIで解析を実行することが可能なので、他のソフトウェアと連携することも考えられます。

次の

ログ分析に基づくマルウェア解析の過程

マルウェア 解析

受講の効果• 耐解析機能を持つマルウェアの解析ができるようになる• マルウェアの機能を論理的に理解できるようになる• 膨大なアセンブラ命令から必要な情報を抽出し、見るべきポイントを抑える 詳細な習得スキルはこちらをご参照ください。 実行プログラムを作成するために行われる、リンカやローダ、コンパイル、ビルドといったものからどのようなファイルが作成されるかをお話します。 その後解析に必要なメモリやレジスタなどのハードウェアの基礎を学習した後、基本的なアセンブラ命令を学習します。 学習にはVisual Studio等を用いて、複数の言語ソースからバイナリを生成し、リバースして見るべきポイントを絞り込むところから始めます。 更に元のソースコードと比較し、アセンブラ言語になった場合、どのような表記になるかといった特徴を抑えていきます。 主にマルウェア解析に必要なものを多く含み、難読化や通信の暗号化についても紹介していきます。 受講の前提条件• 入門編の受講経験がある(以下経験があれば、必須ではありません。 マルウェアの簡易解析を経験済み - 表層解析が可能 - デバッガ以外のツールを使った動的解析が可能• を受講済みの方もしくは同等の知識をお持ちの方 (以下x86アセンブラについて大まかに理解していれば、必須ではありません。 - デバッガによるx86プログラム解析入門 著者:Digital Travesia管理人 うさぴょん オプションで0日目にアセンブラ入門を利用できます。 アセンブラに全く触ったことがない方は、是非ご利用ください。 こんな方にオススメ• SOC(セキュリティ運用)要員• CSIRT要員(技術系) カリキュラム コース内容 詳細 0日目午前 0. アセンブラ概要• ディスアセンブラツールの紹介• データ• ハードウェア 0日目午後 0. 基本命令• 簡易プログラムリバース実践• 難読化対応のためのアセンブラ• 通信及び暗号に関するアセンブラ 1日目午前 1. 耐解析機能と概要• 対応すべき耐解析機能• アセンブラとデバッガの知識の必要性 2. アセンブラ• マルウェアの特徴を抑えるためのアセンブラの学習 - 基本命令、データの取り扱い、スタック、フラグレジスタ、元のソースコードなど 3. デバッガとその使い方• デバッガとその使い方(OllyDbg)• 攻撃者の意図を特定 1日目午後 4. 耐解析機能の回避• 耐解析機能の回避• 耐解析機能として動作する関数やコードの発見、対応• OllyDbgを用いた耐解析機能書き換え手法 5. マニュアルアンパックと必要な知識• マニュアルアンパック手法 - PEファイルフォーマット - メモリダンプ手法 - 実践可能なツールImportREC 6. マニュアルアンパック実践• マニュアルアンパックの実践 2日目午前 7. 静的解析• 静的解析とは - IDA Pro 8. 簡易静的解析• デコンパイル可能なマルウェアの簡易動的解析• 実在したマルウェアの解析• 静的解析の考え方 9. IDA入門• IDAと使い方 2日目午後 10. IDA実践• IDAを使ったアセンブラの読み方• よくある問題についての対応 11. 演習と時間短縮テクニック• IDAを用いた特定マルウェアの特徴把握 3日目午前 12. 総合演習. 比較的簡単なマルウェアについての表層解析、動的解析、必要に応じて静的解析 3日目午後 13. 総合演習. お支払方法 前入金によるお支払か、後払いによるお支払(企業様のみ)のいずれかをご選択ください。 ご質問等ございましたら、こちらからお問い合わせください。

次の