マルウェアの教科書

【図表】


出典: https://bookplus.nikkei.com/atcl/catalog/22/09/08/00364/


【書籍】

◆マルウェアの教科書 (吉川孝志 2022/09/20)
https://bookplus.nikkei.com/atcl/catalog/22/09/08/00364/


【紹介ツール】

ツール名
主要用途
備考
URL
WMIC LOL 正規のツール Windowsに含まれる
Hidden VNC 隠しデスクトップ 画面が同期しない https://github.com/AZMagic/Pandora-Hvnc-Hidden-Browser-Real-Vnc-Working-Chromium-Edge-Opera-Gx
Autoruns 自動起動ツールの調査 - https://download.sysinternals.com/files/Autoruns.zip
AdFind AD管理情報の検索 - http://www.joeware.net/freetools/tools/adfind/
Router Scan ルーター等の機器調査 URLは予想 https://github.com/mustafashykh/router-scan
AnyDesk リモートアクセス - https://anydesk.com/ja
Splashtop for RMM - https://www.splashtop.co.jp/
ngrok プロキシ - https://ngrok.com/
Rclone オンラインストレージをコマンドラインで操作 - https://rclone.org/
Tor Browser ダークウェブアクセス - https://www.torproject.org/
Tor ダークウェブアクセス -
PeStudio PEファイルの解析 - https://www.winitor.com/
HashMyFiles ハッシュの調査 - https://www.nirsoft.net/utils/hash_my_files.html
PE Tree バイナリ解析 - https://github.com/blackberry/pe_tree
PE-bear PEファイルの解析 - https://github.com/hasherezade/pe-bear-releases
Exeinfo PE PEファイルの解析 - https://github.com/ExeinfoASL/Exeinfo
Strings 文字列抽出 - https://learn.microsoft.com/ja-jp/sysinternals/downloads/strings
FLOSS 文字列抽出 - https://github.com/mandiant/flare-floss
ProcessSpawnControl プロセス解析 - https://github.com/felixweyne/ProcessSpawnControl
Process Hacker プロセス調査 - https://processhacker.sourceforge.io/
Process Explorer プロセス調査 - https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer
Process Monitor プロセス挙動調査 - https://learn.microsoft.com/ja-jp/sysinternals/downloads/procmon
ProcDOT Process Monitorの解析支援(GUI表示) - https://www.procdot.com/
Sandboxie プロセス挙動調査 Sandboxの調査 https://sandboxie-plus.com/
API Monitor API 呼び出し挙動の調査 - http://www.rohitab.com/apimonitor
Microsoft Network Monitor パケット調査 - https://www.microsoft.com/en-us/download/4865
InstallRite システムの状態変化検知 - http://www.softsea.com/review/InstallRite.html
RegShot レジストリのスナップショット - https://sourceforge.net/projects/regshot/
OllyDbg デバッガー - https://www.ollydbg.de/
Immunity Debugger デバッガー - https://www.immunityinc.com/products/debugger/
x64dbg デバッガー - https://x64dbg.com/
IDA Pro ディスアセンブラー - https://hex-rays.com/ida-pro/
Ghidra ディスアセンブラー - https://ghidra-sre.org/
Cutter ディスアセンブラー - https://cutter.re/
Binary Ninja ディスアセンブラー - https://binary.ninja/
DnSpy デコンパイラ .NET用 https://github.com/dnSpy/dnSpy
ILSpy デコンパイラ .NET用 https://github.com/icsharpcode/ILSpy
dotPeek デコンパイラ - https://www.jetbrains.com/ja-jp/decompiler/
ConfuserEx 難読化ツール - https://github.com/yck1509/ConfuserEx
CyberChef 万能文字列変換 - https://gchq.github.io/CyberChef/
oletools 文書ファイル解析 - https://github.com/decalage2/oletools
deobfuscator 難読化解読 Emotet https://github.com/DissectMalware/XLMMacroDeobfuscator
Hollows Hunter マルウェア検知 - https://github.com/hasherezade/hollows_hunter
pe-sieve マルウェア検知 - https://github.com/hasherezade/pe-sieve
Tiny Tracer トレーサー - https://github.com/hasherezade/tiny_tracer
LogExpert ログ解析 - https://github.com/zarunbal/LogExpert
UPX パッカー - https://github.com/upx/upx
ASPack パッカー - http://www.aspack.com/
Loki IOCスキャナー - https://github.com/Neo23x0/Loki
うさみみハリケーン メモリ解析ツール - https://digitaltravesia.jp/usamimihurricane/HowToUseUsaMimi.html
XNTSV Windows システム構造表示 - https://github.com/horsicq/xntsv


■YARA関係のツール

ツール名
主要用途
URL
yara-python YARAをPython から使うライブラリー https://github.com/VirusTotal/yara-python
yarGen YARAルールをファイルから自動生成 https://github.com/Neo23x0/yarGen
Arya 疑似マルウェア生成 https://github.com/claroty/arya
Loki IOCスキャナー https://github.com/Neo23x0/Loki
THOR Lite IOCスキャナー https://www.nextron-systems.com/thor-lite/
Volatility-yarascan メモリダンプスキャン https://volatilityfoundation.github.io/volatility/dd/d51/classvolatility_1_1plugins_1_1malware_1_1malfind_1_1_yara_scan.html
Hyara YARAルール生成 https://github.com/hyuunnn/Hyara
mkYARA YARAルール生成 https://github.com/fox-it/mkYARA
YARAify 統合プラットフォーム https://yaraify.abuse.ch/


■IDA ProのPlug-In

ツール名
主要用途
URL
D-810 難読化を解除ツール https://github.com/joydo/d810
DynDataResolver 動的データ リゾルバー https://github.com/Cisco-Talos/DynDataResolver
obfDetect 難読化コードの自動的検出 https://github.com/mcdulltii/obfDetect


■Python ライブラリ

ツール名
主要用途
URL
Selenium ブラウザの自動制御 https://www.selenium.dev/ja/documentation/
difflib 更新の抽出 https://docs.python.org/ja/3/library/difflib.html
DW-GAN CAPTCHA認証の回避 https://github.com/johnnyzn/DW-GAN


【詳細】

■目次

第1章 マルウエアの概要
第2章 様々なマルウエア
第3章 マルウエアの巧妙な手口
第4章 マルウエアの検知回避術
第5章 マルウエアの難読化
第6章 実攻撃でのマルウエア
第7章 敵を知る
第8章 マルウエア解析の手法
第9章 マルウエア解析の始め方


【関連情報】

◆初めてのマルウェア解析 (Monnappa K A, 2020/12/11)
https://www.oreilly.co.jp/books/9784873119298/
https://security-tools.hatenablog.com/entry/2020/12/11/000000

◆実践バイナリ解析 (Dennis Andriesse, 2022/01/29)
https://www.kadokawa.co.jp/product/302111001242/
https://asciidwango.jp/support/PBA
https://practicalbinaryanalysis.com/
https://security-tools.hatenablog.com/entry/2022/01/29/000000


【関連まとめ記事】

全体まとめ

◆ツール紹介記事 (まとめ)
https://security-tools.hatenablog.com/entry/Tool_Introduction


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2022