wivern ロゴ

サイバーセキュリティ研究所

サイバーセキュリティを中心に、軍事、防犯、サーバーの管理と監視、その他、最新技術を研究しています。


マルウェア解析のエキスパートになるための4ステップ

[和訳] Becoming an Expert in 4 Stages of the Malware Analysis

Becoming an Expert in 4 Stages of the Malware Analysis

Becoming an Expert in 4 Stages of the Malware Analysis」というポストが securitygladiators.com で公開されました。
英語のまま読んでもなかなか頭に入ってこないので、自分のために和訳したものを恥ずかしげもなく惜しげもなく公開します。
日本語にするのが難しい個所もあったせいで、変な日本語になっているところもありますが、読んでて疑問に思われた箇所は原文で確認してください。
少しでも誰かの何かの参考になれば幸いです。


セキュリティ技術関連のセキュリティの専門家や企業によって行われた数々のレポートによれば、マルウェアはオンライン世界の増大する部分に影響を及ぼす脅威です。一例を挙げると、Kaspersky Lab は金融関係のマルウェア(や金融関係の悪意のあるソフトウェア)が2013 年に 2840 万件に増加し、これは 27.6% 増加したとレポートしました。もちろんこれは氷山の一角で、結果としてマルウェアの問題は日々巨大に成長しています。

最大限この現象を防ぎたければ、いつも用心深くして、いくつかの単純ではあるけどまだまだ効果的な一本道のガイドラインを追求する必要があります。しかしまず第一に、マルウェアについての詳細を可能な限り学ばなければなりません:注視し続ける必要のあるマルウェアのタイプ、マルウェアの兆候、そしてもちろんマルウェアの4つのステージ。それでは最初に、もっとも頻繁に見かけるマルウェアを提示して説明を始めます。

1.マルウェアのタイプ

想像できるように、マルウェアは珍しいものではなく、気をつけるべきタイプはひとつではありません。そうでなければ、アンチ・マルウェア・ソフトウェアが悪意のあるソフトウェアを識別したり、効率よく処理することはむしろ容易です。それでは、私達が直面するいろいろなタイプのマルウェアを見てみましょう:

スパイウェア:もっとも一般的なタイプのマルウェアの中には、間違いなくスパイウェアが存在します。これは感染させたコンピューターから個人情報を収集するのが狙いです。それに加えて、スパイウェアを使って、そのようなソフトウェアを植え付けられたコンピューターのコントロールを手に入れる可能性があります。

ウィルス:私達がコンピューター・ウィルスのことを言うとき、コンピューターのプログラムやファイルに忍び込むマルウェアを意味しています。自己増殖した後、プログラムやファイルに感染します。

フィッシングフィッシング・マルウェアは、インターネット・ユーザーを誘い込んで、疑わしいサイトにリダイレクトしたり、個人情報を提供させたりします。つまり、デリケートなデータの獲得が、フィッシング・マルウェアの主な目的です。

トロイの木馬:これは明白かつ単刀直入に、トロイに侵入するために内部に広い空間のある木馬を使ったギリシャの古代神話を引用しています。トロイの木馬型マルウェアは、インターネット・ユーザーの承諾なしに実行された後、データの損失をもたらします。

ボットボットは、たくさんの形があり、悲観的な結果に終わります。たとえば、スパムボットがあったり、DDoS 攻撃を引き起こすボットがあります。

ランサムウェア:もう一つのタイプのマルウェアが、実にランサムウェアです。いったんランサムウェアに感染すると、直ちにあなたのデータや全てのコントロールと引き換えに、ある種の身代金を払えと知らせます。

これでウェブで見られるマルウェアのタイプをざっと見たので、マルウェアの識別に進む準備ができました。脅威を守られるためには何が必要かを決定するために、これはもちろん極めて重要です。それがわかった上で、マルウェアの解析技術を学びます。

2.マルウェアの兆候

以下に、コンピューターでマルウェアの存在が明らかになる、実に重要ないくつかの兆候をお見せします。それでは見ていきましょう。

フリーズやクラッシュ:こんな兆候をあまりにも頻繁に経験しているとしら、なぜこんなことが起きるんだろうと思いながら再起動しなくてはいけません。マルウェアに妥協し続けるようなことが本当にありえます。

遅いコンピューター:コンピューターが以前と同じパフォーマンスではないと気付くかもしれません。コンピューターのパフォーマンスが凄く遅くなったら、これはマルウェアが原因であることもありえます。

奇妙なコンピューターの挙動:コンピューターのパフォーマンスが十分に早くても、おそらくおかしくなり始めます。知らない内に、新しいプログラムが追加されているかも知れませんし、許可なくプログラムが実行されていることに気づくかも知れません。

ファイルの改竄や消去:全てのファイルをドキュメントにきちんと保存したのに、その内のいくつかのファイルが改竄されていたり消されていたりすることに気づくかも知れません。自分自身でそうしたのではないなら、これは何かがおかしい強い兆候です。

奇妙なファイルの出現:奇妙なファイルがあるのを見かけたとき(画面であろうとドキュメントやファイルであろうと)は、それがどこから来たのかを調べた方がいいです。

CPU 使用率の増加:今までと違って、コンピューターの CPU 使用率がとても高くなっている。これは明らかにデバイスのマルウェアをチェックする必要があるサインです!

メールやメッセージの自動送信:自分のところにはないメールやメッセージが、友人にあなたのアカウントから何か送られていることを知らされる。これは深刻な問題に発展する可能性があり、たいていはマルウェアに関係しているようです。

次に、マルウェアの解析を始めて、こうした問題を取り除ける方法を見て見ましょう。

3.マルウェア解析:ハウツー・ガイド

あなたが検討するべき、マルウェア解析に本当に重要ないくつかの方法を知りましょう。いいですか?

解析研究室に物理的もしくは仮想的なシステムを割り当てる:あなたにできることのひとつは、実際にシステムをマルウェアに感染させて、その反応を見てみることです。この方法では、デバイスの挙動を近くで見ることになるので、感染に取り組む可能な方法を調査します。もちろんこういう方法は研究室では一般的に実行されています。しかしながら、これを自分でやりたいなら、マルウェアの問題の出現を解明するために、いくつかの仮想化ソフトウェア・ソリューションを試してみることができます。こういう特色のあるソフトウェアの例としては、VirtualBoxVMware vSphere HypervisorMicrosoft Virtual Server があります。さもなければ、自分のコンピューターを感染させるリスクを負って、あなたのシステムに取り返しのつかない損害を引き起こす可能性があります。

オンラインの解析ツールを利用する:対象のマルウェアの挙動が自動で解析ができたり、実に重要な詳細を追い詰めることができます。マルウェアに感染したウェブサイトで情報を得ることもできます。こういう性能があるので、オンラインの解析ツールをもっと活用できますし、解析後の詳細を全て得ることができます。最初にオススメするのは、AnubisEUREKAMalwrThreatExpert を含むものです。

静的な特性の解析:利用できるマルウェア解析技術のもうひとつは、その静的な特性の解析をしなければならないことです。この技術は深く掘り下げて、実際にシステムが危険にさらされたかどうかを確定します。こういう解析に興味があるなら、VirusTotal に行けば、ワームやトロイの木馬やウィルス等を見つけることができます。

挙動の対話型解析:マルウェアの標本をもっと近くで見るには、自分でマルウェアと対話して、マルウェアが自分自身の行動にどう反応するかを確認することができます。これは、マルウェアを扱う方法をより理解するように活用できる、もうひとつの深い解析オプションです。

手動でのコード・リバーシング:手動でコード・リバーシングすれば、保存されたり変換されたデータを解読できたり、マルウェアの生成アルゴリズムを特定できます。それに加えて、前に検討していた方法では理解できなかったマルウェアのサンプルの特徴が完全に理解できるようになります。

マルウェア解析手順の統合:徹底的な方法でマルウェアを試すことは、異なる手順の詳細なレイヤーを使うことを通してのみ完成できます。なので、前に進むためのもっとも実りの多い方法は、事実上、効率のいい方法でマルウェアの解析手順の統合です。結論としては、複数のマルウェア解析方法から得られる利益を統合する機会を得て、最大の効果を得るということです。

4.マルウェアの防止や除去の方法

不要なトラブルを避けて惨事が起きるのに対応できるようになるためには、用心深くあり続けて以下に進まなければなりません:

ソフトウェアや OS を更新する:定期的にソフトウェアや OS を更新するのは重要です。この方法でのみ、直面しうる脅威を徹底的に知らせてくれる強力な武器を得たとして安心できます。

アンチ・マルウェアやファイヤウォールをインストールして実行する:自分のシステムを危険に晒してしまおうが、決まった時間を超えてシステムを安全に保ちたかろうが、ひんぱんにアンチ・マルウェアやアンチ・ウィルスのソフトウェアを実行するのは重要です。これは自分のシステムを常時効果的に守り続けるのを可能にします。その上、ファイヤウォールのインストールは、防衛ラインに対する素晴らしい追加です。

ファイルのダウンロードに注意する:多くの人がウェブから何かをダウンロードしようとするのは事実ですが、信頼できないところからのダウンロードには、極端に注意すべきで関与しないことが必須です。さもなければ、マルウェアによる感染のリスクは高すぎて、そもそも試す価値がありません。

結論

マルウェア解析をマスターする4ステップは、ひどく失望する事態を避ける方法を提供できます。マルウェアから被害を受けるリスクは上昇していますので、賢く行動して我々の教えや提案を考慮することを大いに推奨します。そうすれば、これ以上インターネットでマルウェアやその発生の増加を心配をする必要はありません。選ぶのはあなたです、憶えておいてください!


記述に際しては、細心の注意をしたつもりですが、間違いやご指摘がありましたら、こちらからお知らせいただけると幸いです。


→「不正アクセス IP アドレスリスト」
←「ネットワーク管理者のための Nmap 例集」


« 戻る