JPCERT/CCは、マルウェアの設定情報を抽出するツール「MalConfScan」をGitHubで公開しており、30日にその解説情報をWeb上に掲載した。
MalConfScanhは、オープンソースのメモリフォレンジックツール「The Volatility Framework」のプラグインとして動作し、メモリデータ内の既知のマルウェアの設定情報やプロセスが参照する文字列、DGA(Domain Generation Algorithm)ドメインなどを表示できる。メモリ上にパッキングされた実行可能なマルウェアから解析できる情報だけを抜き出せる。対応するマルウェアは、以下の通り。
Ursnif
Emotet
Smoke Loader
PoisonIvy
CobaltStrike
NetWire
PlugX
RedLeaves / Himawari / Lavender / Armadill / zark20rk
TSCookie
TSC_Loader
xxmm
Datper
Ramnit
HawkEye
Lokibot
Bebloh (Shiotob/URLZone)
AZORult
NanoCore RAT
AgentTesla
FormBook
NodeRAT
njRAT
TrickBot
Remcos
QuasarRAT
JPCERT/CCでは、マルウェアの多くが過去に発見された亜種であり、設定情報だけの抽出でマルウェア分析やフォレンジック業務に寄与することを公開の背景として述べている。