はじめに SOCでは日々監視対応、インシデント対応を行なっています。その中ではファストフォレンジックを行う事も想定しなければなりません。 今回はその一環として行っているマルウェア解析の一例を紹介します。 ※とても簡単な解析方法です。入門編です! ファストフォレンジックでのマルウェア解析とは インシデントの影響範囲を早急に調査し、迅速に復旧するために、何が起こったのかを具体的に把握する必要があります。 例えば、マルウェア感染疑惑のある事象が発生した際には、以下の観点が気になる所です。 情報漏洩 マルウェアの永続化 復旧方法 これらの情報はセキュリティベンダーにて解析済でIOCが提供されているマルウェアであれば、ある程度は公開情報から調査は可能ですが、攻撃者によってカスタマイズされているマルウェアである場合、解析しなければどういった挙動を行うのかわかりません。 そこでファストフォレンジックの中
![SOCから始めるマルウェア解析 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/fec8290560737cf3b4989ace150e65a4dafbb05c/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Fadvent-calendar-ogp-background-f625e957b80c4bd8dd47b724be996090.jpg%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9U09DJUUzJTgxJThCJUUzJTgyJTg5JUU1JUE3JThCJUUzJTgyJTgxJUUzJTgyJThCJUUzJTgzJTlFJUUzJTgzJUFCJUUzJTgyJUE2JUUzJTgyJUE3JUUzJTgyJUEyJUU4JUE3JUEzJUU2JTlFJTkwJnR4dC1jb2xvcj0lMjMzQTNDM0MmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmdHh0LWNsaXA9ZWxsaXBzaXMmdHh0LWFsaWduPWxlZnQlMkNtaWRkbGUmcz05Mjc0Zjc4ZGU2OTRhOTAwZWVlODlmYmQzMzhhODI4YQ%26mark-x%3D142%26mark-y%3D151%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTcxNiZ0eHQ9JTQwc2NoZWN0bWFuLWhlbGwlMjBpbiUyMCVFNiVBMCVBQSVFNSVCQyU4RiVFNCVCQyU5QSVFNyVBNCVCRVpPWk8mdHh0LWNvbG9yPSUyMzNBM0MzQyZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zMiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTY3M2VhODBkMjc0YTZjOWY2ZGU5YWRjZjM0MDc1NmUy%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3Dcf9b9d0ad305a25067f0f92cf715cfac)