JPCERT コーディネーションセンター(JPCERT/CC)は11月1日、分析センターだより「既知のマルウエアをメモリイメージから簡易に検知できるツールを開発 ~impfuzzy for Volatility~(2016-11-01)」を公開した。
ファイル形式のマルウェア検体が既知のものかどうかを判定するには、ファイル全体のハッシュ値(MD5やSHA256など)を用いてマルウェアハッシュ値のデータベースと照合し、一致するかどうかを確認することが、最も簡単で高速な方法となる。
しかし、この手法はメモリフォレンジックには利用できないため、メモリフォレンジックでは、既知のマルウエアを発見するためにYara scanによるシグネチャマッチングの手法がしばしば利用されるという。この手法を利用するには、あらかじめマルウエアの構造を分析し、シグネチャを作成しておく必要がある。
こうした課題を解決して、メモリイメージの中から既知のマルウエアを抽出するツールが「impfuzzy for Volatility」となる。同ツールはメモリフォレンジックツール「The Volatility Framework」のPluginとして動作する。マルウエアの実行ファイルがメモリにロードされた時に一部の情報が書き換わっていても検出できるように、impfuzzyというImport APIから作成したハッシュ値をもとにWindows実行ファイルの類似性を比較する手法が用いられいているという。
メモリフォレンジックにimpfuzzyを使用するメリットは2つある。1つは、impfuzzyは実行ファイルのImport APIを利用して算出したハッシュ値をもとに類似度を判定するため、メモリ上にロードされた実行ファイルであっても同じファイルであることを確認できることだ。もう1つは、impfuzzyは自動にハッシュ値を作成できるため、Yara scanとは異なり手動でシグネチャを作成する手間が不要となること。
impfuzzy for VolatilityはGithubで公開されており、自由にダウンロードできる。