マルウェアの教科書 - TT Security Tools

【図表】

出典: https://bookplus.nikkei.com/atcl/catalog/22/09/08/00364/

【書籍】

◆マルウェアの教科書 (吉川孝志 2022/09/20)
https://bookplus.nikkei.com/atcl/catalog/22/09/08/00364/

【紹介ツール】

ツール名	主要用途	備考	URL
WMIC	LOL	正規のツール	Windowsに含まれる
Hidden VNC	隠しデスクトップ	画面が同期しない	https://github.com/AZMagic/Pandora-Hvnc-Hidden-Browser-Real-Vnc-Working-Chromium-Edge-Opera-Gx
Autoruns	自動起動ツールの調査	-	https://download.sysinternals.com/files/Autoruns.zip
AdFind	AD管理情報の検索	-	http://www.joeware.net/freetools/tools/adfind/
Router Scan	ルーター等の機器調査	URLは予想	https://github.com/mustafashykh/router-scan
AnyDesk	リモートアクセス	-	https://anydesk.com/ja
Splashtop for RMM		-	https://www.splashtop.co.jp/
ngrok	プロキシ	-	https://ngrok.com/
Rclone	オンラインストレージをコマンドラインで操作	-	https://rclone.org/
Tor Browser	ダークウェブアクセス	-	https://www.torproject.org/
Tor	ダークウェブアクセス	-
PeStudio	PEファイルの解析	-	https://www.winitor.com/
HashMyFiles	ハッシュの調査	-	https://www.nirsoft.net/utils/hash_my_files.html
PE Tree	バイナリ解析	-	https://github.com/blackberry/pe_tree
PE-bear	PEファイルの解析	-	https://github.com/hasherezade/pe-bear-releases
Exeinfo PE	PEファイルの解析	-	https://github.com/ExeinfoASL/Exeinfo
Strings	文字列抽出	-	https://learn.microsoft.com/ja-jp/sysinternals/downloads/strings
FLOSS	文字列抽出	-	https://github.com/mandiant/flare-floss
ProcessSpawnControl	プロセス解析	-	https://github.com/felixweyne/ProcessSpawnControl
Process Hacker	プロセス調査	-	https://processhacker.sourceforge.io/
Process Explorer	プロセス調査	-	https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer
Process Monitor	プロセス挙動調査	-	https://learn.microsoft.com/ja-jp/sysinternals/downloads/procmon
ProcDOT	Process Monitorの解析支援(GUI表示)	-	https://www.procdot.com/
Sandboxie	プロセス挙動調査	Sandboxの調査	https://sandboxie-plus.com/
API Monitor	API 呼び出し挙動の調査	-	http://www.rohitab.com/apimonitor
Microsoft Network Monitor	パケット調査	-	https://www.microsoft.com/en-us/download/4865
InstallRite	システムの状態変化検知	-	http://www.softsea.com/review/InstallRite.html
RegShot	レジストリのスナップショット	-	https://sourceforge.net/projects/regshot/
OllyDbg	デバッガー	-	https://www.ollydbg.de/
Immunity Debugger	デバッガー	-	https://www.immunityinc.com/products/debugger/
x64dbg	デバッガー	-	https://x64dbg.com/
IDA Pro	ディスアセンブラー	-	https://hex-rays.com/ida-pro/
Ghidra	ディスアセンブラー	-	https://ghidra-sre.org/
Cutter	ディスアセンブラー	-	https://cutter.re/
Binary Ninja	ディスアセンブラー	-	https://binary.ninja/
DnSpy	デコンパイラ	.NET用	https://github.com/dnSpy/dnSpy
ILSpy	デコンパイラ	.NET用	https://github.com/icsharpcode/ILSpy
dotPeek	デコンパイラ	-	https://www.jetbrains.com/ja-jp/decompiler/
ConfuserEx	難読化ツール	-	https://github.com/yck1509/ConfuserEx
CyberChef	万能文字列変換	-	https://gchq.github.io/CyberChef/
oletools	文書ファイル解析	-	https://github.com/decalage2/oletools
deobfuscator	難読化解読	Emotet	https://github.com/DissectMalware/XLMMacroDeobfuscator
Hollows Hunter	マルウェア検知	-	https://github.com/hasherezade/hollows_hunter
pe-sieve	マルウェア検知	-	https://github.com/hasherezade/pe-sieve
Tiny Tracer	トレーサー	-	https://github.com/hasherezade/tiny_tracer
LogExpert	ログ解析	-	https://github.com/zarunbal/LogExpert
UPX	パッカー	-	https://github.com/upx/upx
ASPack	パッカー	-	http://www.aspack.com/
Loki	IOCスキャナー	-	https://github.com/Neo23x0/Loki
うさみみハリケーン	メモリ解析ツール	-	https://digitaltravesia.jp/usamimihurricane/HowToUseUsaMimi.html
XNTSV	Windows システム構造表示	-	https://github.com/horsicq/xntsv

■YARA関係のツール

ツール名	主要用途	URL
yara-python	YARAをPython から使うライブラリー	https://github.com/VirusTotal/yara-python
yarGen	YARAルールをファイルから自動生成	https://github.com/Neo23x0/yarGen
Arya	疑似マルウェア生成	https://github.com/claroty/arya
Loki	IOCスキャナー	https://github.com/Neo23x0/Loki
THOR Lite	IOCスキャナー	https://www.nextron-systems.com/thor-lite/
Volatility-yarascan	メモリダンプスキャン	https://volatilityfoundation.github.io/volatility/dd/d51/classvolatility_1_1plugins_1_1malware_1_1malfind_1_1_yara_scan.html
Hyara	YARAルール生成	https://github.com/hyuunnn/Hyara
mkYARA	YARAルール生成	https://github.com/fox-it/mkYARA
YARAify	統合プラットフォーム	https://yaraify.abuse.ch/

■IDA ProのPlug-In

ツール名	主要用途	URL
D-810	難読化を解除ツール	https://github.com/joydo/d810
DynDataResolver	動的データリゾルバー	https://github.com/Cisco-Talos/DynDataResolver
obfDetect	難読化コードの自動的検出	https://github.com/mcdulltii/obfDetect

■Python ライブラリ

ツール名	主要用途	URL
Selenium	ブラウザの自動制御	https://www.selenium.dev/ja/documentation/
difflib	更新の抽出	https://docs.python.org/ja/3/library/difflib.html
DW-GAN	CAPTCHA認証の回避	https://github.com/johnnyzn/DW-GAN

【詳細】

■目次

第1章マルウエアの概要
第2章様々なマルウエア
第3章マルウエアの巧妙な手口
第4章マルウエアの検知回避術
第5章マルウエアの難読化
第6章実攻撃でのマルウエア
第7章敵を知る
第8章マルウエア解析の手法
第9章マルウエア解析の始め方

【関連情報】

◆初めてのマルウェア解析 (Monnappa K A, 2020/12/11)
https://www.oreilly.co.jp/books/9784873119298/
⇒ https://security-tools.hatenablog.com/entry/2020/12/11/000000

◆実践バイナリ解析 (Dennis Andriesse, 2022/01/29)
https://www.kadokawa.co.jp/product/302111001242/
https://asciidwango.jp/support/PBA
https://practicalbinaryanalysis.com/
⇒ https://security-tools.hatenablog.com/entry/2022/01/29/000000

【関連まとめ記事】

◆全体まとめ

◆ツール紹介記事 (まとめ)
https://security-tools.hatenablog.com/entry/Tool_Introduction