サポート情報 | フォーカスシステムズ サイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

サポート情報

ホーム > サポート情報一覧 > はじめに

はじめに

目次へ

 最近では、個人、組織を問わずコンピュータのサイバーインシデントが増えています。組織に関しては、情報窃盗を目的としたマルウェアを執拗に送り込んでくる「標的型攻撃」が問題になっており、事案によっては大きく報道され、関心を持った方も多いでしょう。個人に対しても、脆弱性が放置されるなど、セキュリティの甘いコンピュータを狙った攻撃が見られます。最近では、個人、組織を問わず、感染したらファイルを勝手に暗号化し、鍵と引き換えに身代金を要求する「ランサムウェア」が増えています。セキュリティに関する組織や部署で業務にあたっている方々は、こういったマルウェアの解析で苦労されているのではないでしょうか?今回は、Windows上で動作するCryptoWallの亜種と見られる「ランサムウェア」を、ツールを用いて実際に解析した例を紹介したいと思います。

 今回、主に用いたのは「IDA Pro」という、逆アセンブルとステップ実行を行える「デバッガ」ツールです。実行ファイルを読み込むことで、静的な解析を行うほか、ブレークポイントを設け、実際に実行していくことができます。もちろん、そのときのメモリやCPUのレジスタの値も表示できます。また、ソースをフローチャートのようにグラフィカルに表示する機能があり、解析者が単純にアセンブルコードを見るよりもプログラムを追いかけやすくなっています。今回は、製品版の「IDA Pro 6.8」を使用した例です。他に、「Responder PRO」というメモリフォレンジックツール、「Shadow 3」という書き込み禁止装置を併用しています。これらのツールの機能は、記事の中で説明していきたいと思います。

 まず、解析の検体の取得です。今回の記事では、いきなりランサムウェアの実行プログラムを示しますが、実際にはこの検体の抽出も一仕事になります。弊社では、「デジタルフォレンジック」という調査技法を用いて、マルウェアだと疑われるプログラムを抽出します。マルウェアを探すフォレンジック調査の方法については、別の記事で紹介したいと思います。調査によって「疑わしいプログラム」が見つかった場合、これがマルウェアかどうかを判別する必要があります。たまたま、マルウェアの活動時期にダウンロードされた健全なプログラムの可能性もあり、この判別を誤ってしまうと、本当に危険なプログラムが残されてしまいます。また、可能であれば、その挙動を知ることで、対策を立てることもできるようになってきます。

CryptoWall_VirusTotal

【図1】検体のハッシュ値をVirusTotalで確認した結果

 

 先に述べたとおり、今回の解析の検体はCryptoWallの亜種とみられるランサムウェアです。ハッシュ値を用いてVirusTotalを確認したところ、【図1】のような結果になっています。当然、調査時に既にこのように判明すればよいのですが、どこにも引っかからない場合、解析担当者がつぶさに見ていく必要があります。

 

 では、実際に見ていきましょう。第一にやるべきなのは、検体の「表層解析」と呼ばれるものです。プログラムを静的に解析し、不審な点がないかをチェックする方法です。最近のマルウェアは高度化しており、難読化が進んでいますが、古いツールで作成したものは、案外分かりやすい「不審点」があることもあります。

 IDA Proを起動し、「Quick Start」から「New」をクリックします。ファイル選択のダイアログが表示されるので、解析したいマルウェアを選択します。「Load a new file」ダイアログが表示されるので、条件を設定します。大抵の場合、デフォルトで問題ないでしょう。「OK」をクリックすると、解析が実行されます(【図2】参照)。

IDA_NewProject2

【図2】IDA Proの起動

 

 目 次  マルウェアの表層解析 >

 

 

お探しの製品をキーワードから検索できます
お探しのトレーニング情報をキーワードから検索できます
お探しの製品・サービスをキーワードから検索できます