動的解析ということは、「実際に動かして解析する」ということです。IDA Proでの解析でも、いくらデバッガで停止しながら解析するとはいえ、ブレークポイントの設定をミスしたり、予想外のルーチンに移行して実行されたりといったことが発生します。そのため、通常の社内ネットワークにつないだPCによる解析はご法度です。当然ですね。また、動的解析に使うPCは、マルウェアを動作させて感染させて挙動を調査します。感染した度に、毎回OSのインストールやツールのインストールを行っていたのでは、時間がかかってしょうがありません。
そこで、解析専用の環境を作る必要があります。弊社では、社内のネットワークとは別の、解析用の端末だけを外部接続する環境を用意しています。また、解析用のPCは、簡単に元に戻すために、VMを用いることが考えられます。
ただし、最近のマルウェアでは、解析対策、特にVMのサンドボックスを回避するために、自身の動作環境がVM上の場合、処理を終了してしまって解析を妨げるものも存在します。そこで、弊部では「VOOM Shadow 3」という書き込み禁止装置を用いています。これは、マザーボードとHDDの間にShadow 3を設置して使用することで、HDDから読み込みを行う一方、書き込みはShadow 3上に書き込んでおき、継続して使用する場合は以後の読み込みはそちらを参照するようになっている装置です(【図8】参照)。そのため、マルウェアに感染してしまって元に戻そうと思えば、「Zero Shadow」するだけで、開始前の環境に戻すことができます。今回は、この環境で解析を行ってみたいと思います。
【図8】VOOM Shadow 3を用いた解析環境
< マルウェアの表層解析 | 目 次 | マルウェアを動作させてみる > |