JPCERT/CC、マルウェアの設定情報を抽出できるツール「MalConfScan」をGitHubで公開

　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は30日、マルウェアの設定情報を抽出するツール「MalConfScan」をGitHubで公開した。同日時点で25種類のマルウェア分析に対応する。

　MalConfScanは、メモリーフォレンジックツール「The Volatility Framework」のプラグインとして作成され、メモリー上にロードされているアンパックされた状態の実行ファイルからマルウェアの設定情報を抽出できるのが特徴。

　メモリーイメージから既知のマルウェアの設定情報を抽出する「malconfscan」、メモリーイメージから不審なプロセスを検出し、そのプロセスが参照する文字列をリストにする「malstrscan」の各機能を備える。

「malconfscan」の実行結果例。マルウェアのインジェクト先プロセス名やプロセスID、マルウェア検知名、マルウェアの設定情報が表示される

malconfscanは、マルウェアによっては設定情報以外に、エンコードされている文字列をデコードして表示したり、DGAドメインなどを表示することができる。画像はバンキングトロジャン「Bebloh」の検知結果。設定情報の後にDGAドメインが表示されている

「malstrscan」は、メモリー上のProcess Hollowing（不正なプロセスを隠ぺいする手法）を検知し、そのプロセスが参照する文字列をリストにする

　JPCERT/CCによれば、マルウェアの多くは過去に確認された亜種で、通信先などの設定情報だけが変更されている場合が多いという。これらの情報を抽出できればマルウェア分析は完了するとしている。

　同ツールは、マルウェア分析だけではなく、インシデント調査にも利用できるという。今後も新たなマルウェアに対応していく予定。