サポート情報 | フォーカスシステムズ サイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

サポート情報

ホーム > サポート情報一覧 > おわりに

おわりに

目次へ

 今回は、IDA Proの使い方の説明を主目的として、CryptoWallを実際に解析したときの具体的な手法と、得られる成果を書かせていただきました。CryptoWallはRing3で動作するうえ、C&Cからのコマンドによるイベントドリブンではないため、比較的容易に解析が可能でした。

 こういった解析は、実際には時間を要する一方、中身が詳しく分かるため、対策のための情報源として有効なのではないかと考えています。筆者は、残念ながらこういったプログラムの検知の技法には疎いのですが、今回のように、本体が暗号化されており、内容が変更されると暗号化の結果も大きく変わることが予想されるような場合は、受信時のバイナリのシグニチャやハッシュ値での検知は厳しいと考えます。やはり、挙動を捕らえる「振る舞い検知」の技術向上が将来的な対策では期待できそうです。今回のような、マルウェアのプログラム解析結果から、プログラムのどのような挙動部分で検知すべきか、といったことを、セキュリティ業界でぜひ論議していって欲しいものだと思います。

 また、解析にあたっては、「IDA Proはツールの一つである」ことも忘れないで欲しいところです。プログラムの解析にはどうしても時間がかかりますが、序盤で行ったように、他のツールを併用して情報を得ることで、ある程度高速化することも可能です。その情報で十分な場合もあるかもしれません。筆者などは、IDA Proによる解析では、メモを紙で取り続けるという、非常に原始的な手法を用いていますが、解析効率をあげてより早く解析するために、他に良い方法がないかも模索していきたいところです。

 セキュリティを担当されている方々それぞれの「目的」の達成のため、必要なツールを揃えた上で「解析技法」にまとめていく必要があると思います。その中で、「マルウェア解析技法」を作るために今回の記事が役に立てば幸いです。

 

< 「攻撃する側の論理」からのプログラムの推察 目 次