マルウェアの自動解析の方法: FFR Blog
はじめまして。リサーチエンジニアの舟久保と申します。 今回は、マルウェアの自動解析の手法について調査する機会があったので、備忘録も兼ねて、簡単にご紹介させていただきたいと思います。 弊社ではウイルス対策ソフトウェア(yarai)の開発や、マルウェア解析サービスを提供している都合上、日々発生するマルウェアを解析し、どのようなタイプのマルウェアが存在しているのか常に把握しておく必要があります。しかし、毎日平均で約5,000個、多い時は10,000個を超えるマルウェアを収集しているため、解析ツールやデバッガ等を使って1つ1つ手作業で解析していては、日が暮れてしまいます。 そこで登場するのが今回のテーマでもあるマルウェアの自動解析という技術です。これを利用すれば自動的にマルウェアを解析できるため、手作業での解析から解放され、大量のマルウェアを短時間で捌けるようになるというわけです。 読者の皆さんは
マルウェア解析の現場から-01 |
リージョナルトレンドラボでは、毎日たくさんのマルウェアの解析を行なっています。そのほとんどは自動解析システムにより人手を介さずに行われていますが、より詳細な動作を知る必要がある場合や深い分析が必要な場合は、解析エンジニアがリバースエンジニアリング的な手法を用いて解析しています。そして解析していると、エンジニアは人間ですから主観的に「面白い」と感じる瞬間があります。「面白い」と感じる対象は様々です。不正プログラムの動作、プログラムの作られ方、潜んでいるメッセージなどなど・・・。そこで本ブログのこのシリーズでは、日本のリージョナルトレンドラボで日々解析している中でエンジニアが「面白い」と感じた内容について、その内容が重大であるかどうかに関係なくご紹介していきます。「マルウェア解析」という一見難しそうに思えるものが少しでも身近に感じられ、マルウェアに対する注意が向上する一助になれば幸いです。 ■
実行中のアプリケーションを外から観察するソフトウェア(Windows版) - 葉っぱ日記
「実行中のアプリケーションを外から観察するコマンド。 - こせきの技術日記」のWindows版。Dependency Walkerを除き Microsoft 純正。以下のうちのいくつかは64ビット環境でも動くかも知れませんがあまりよく知りません。 Process Monitor http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx Windows上で外から観測する場合のほとんどのときにはこれだけで足りるくらいの強力なツール。 各プロセスのアクセスしているファイル、レジストリ、プロセスおよびスレッドの状態などのうち、設定したフィルタに応じたものだけを出力できる。 ApiMon http://www.microsoft.com/downloads/details.aspx?FamilyID=49ae8576-9bb9-412
マルウェアの解析対策を無効にするAnti-Anti-Debuggingツールを開発
1. はじめに 最近、業務でマルウェアを解析する機会が増えてきたのですが、最近のマルウェアはどれも様々な解析対策が施されており、数年前と比べて解析がやや面倒になっています。攻撃者はマルウェアの発見を困難にさせたり、セキュリティベンダーらによる解析を遅らせたりするため、エンコーディングやゴミコード挿入などによる難読化、コンポーネントや実態の多段化、デバッガ検出など、様々な解析対策を実装しています。 今回は、このデバッガ検出を無効にする方法を紹介します。 2. マルウェア解析とAnti-Debugging マルウェアを解析する際は、デバッガを使って地道にアセンブリコードを追っていく事になります。デバッガでブレークやステップを繰り返し、フロー、API呼び出し、引数、データの流れなどを確認して行くのですが、その際、何度か先頭から再実行しなければならないという状況に遭遇します。たとえば、「この条件分
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
