JPCERT/CC、マルウェア分析に役立つVolatilityプラグイン「MalConfScan」をリリース

マルウェアの設定情報を抽出する「MalConfScan」

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月30日、マルウェアの設定情報を抽出する「MalConfScan」を公開した。現在、“GitHub”のプロジェクトページから無償でダウンロード可能。

　マルウェアは日々新しいものが発見されているが、その多くは過去に確認されているものの亜種であり、コードはほとんど変わらないという。変更されているのは通信先などの設定情報のみなので、多くの場合、この設定情報を抽出できさえすればマルウェアの分析は完了する。

　今回リリースされた「MalConfScan」は、そうした作業を支援するツール。メモリフォレンジックツール「Volatility Framework」のプラグインとして作成されており、メモリ上にロードされたアンパック状態の実行ファイルから設定情報を抜き出すことができる。そのため、パックされたマルウェアでも分析が可能だ。

　「MalConfScan」は、メモリイメージから既知のマルウェア情報を取得する「malconfscan」と、メモリイメージから不審なプロセスを検出してそのプロセスが参照する文字列をリストアップする「malstrscan」の2つからなる。現在のところ、25種類のマルウェアがサポートされており、マルウェア分析だけではなくメモリフォレンジックにも活用できるという。対応マルウェアは今後も拡充される予定だ。

　また、8月1日にはオープンソースのサンドボックスシステム「Cuckoo Sandbox」と組み合わせて「MalConfScan」を利用できるようにしたプラグイン「MalConfScan with Cuckoo」も発表されている。隔離環境でマルウェアを動作させ、その設定情報を取り出すことが可能だ。

「MalConfScan with Cuckoo」の動作イメージ