« 不正ログイン対策の整理 | メイン | RTFに埋め込まれたマルウェア »

2013年11月 7日 (木)

無償のマルウェア検知ツール「CrowdInspect」を使ってみた

凌(しのぎ)です。 CrowdInspectは米国のCrowdStrike社がリリースしている無償のツールで、感染の疑いのある端末でマルウェアを見つけたい時に役立ちそうだということで試してみました。プロセスインジェクションの有無、クラウド上のレピュテーションなどにより、実行されているプロセスで怪しいプロセス(マルウェア)を見つけてくれます。

■ダウンロード&インストール

以下のページからダウンロードできます。

http://www.crowdstrike.com/community-tools/

インストールは不要で単体のEXEで実行できます。

【システム要件】

・Windows XP以上 (32bit / 64 bitいずれも可)

・インターネットに接続できること

■使い方

ダウンロードしたEXEを実行すると以下の画面が立ち上がります。

Display

図1)CrowdInspect起動後の画面

実行中のプロセスが一覧で表示され、以下の項目が分かります。

・PID

  プロセスID

・Inject

  プロセスインジェクションの有無

  凡例)OK:インジェクションされていない !!:されている ??:不明

・VT

  VirusTotalの結果

  凡例)n%:検知率(高いほどマルウェアの可能性がある) ??:エントリがない

・MHR

  Team Cymru のMalware Hash Registryでハッシュを照合した結果

  凡例)!!:マルウェアと照合された ??:エントリがない

・WOT

  通信先のドメイン名のレピュテーション情報

  凡例)n%:結果(低いほどレピュテーションが悪い) ??:エントリがない

・Type、State、Local Port、Local IP、Remote Port、Remote IP、DNS

  通信に関する情報

デフォルトはLiveモードで動作しているので、ゆっくり見たい場合は、[Pause]ボタンをクリックするか、[Live/History]ボタンをクリックします。

【見るべきポイント】

Inject、VT、MHR、WOTでいずれかが悪い結果であれば、マルウェアの可能性が高いということになります。

■マルウェア感染時

マルウェアを見つけた場合はこのように赤く表示されます。

Display2

図2)マルウェア検知時の画面

【マルウェアを見つけたときの対処法】

 上部のアイコンからプロセスを止めたり(Kill Process)、TCPのセッションを閉じたり(Close TCP)することができ、応急処置ができます。

【注意】

 上記を実行すると自己消去するマルウェアもあるため、[Full Path]ボタンをクリックし、マルウェアの実行パスを参照し、予め検体のバックアップを取得してから対処されることをお勧めします。

■最後に

 普段手動でやっているようなことを自動的にやってくれるため、インシデントレスポンスで迅速にマルウェアを見つけなければならない時には有効なツールだと感じました。ただし、実行中のプロセスのみをチェックしており、ドライバ、スクリプトは検知ができないので、ご注意ください。

« 不正ログイン対策の整理 | メイン | RTFに埋め込まれたマルウェア »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化した研究を行うことを目的に2013年4月に開設。

■ミッション

・Threat Research

・Solution Research

・Education
 

小林 靖幸
マルウェアの動的解析と培養を担当。温和な見た目とは裏腹に、休日は鋭い眼光でサイバー空間の監視を行う一人SOCで活動中。好きなデバッガーはx64dbg。

竹内 寛
リバースエンジニアリング(マルウェア解析)を担当。彼の手に渡ったマルウェアはまさに“まな板の上の鯉”と同じ。あとは解析されるがまま。最近の楽しみは、ハイボールを片手に海外ドラマを鑑賞するか、マントノン侯爵夫人に会うこと。好きなマシン語は、EB FE。

柳下 元
リバースエンジニアリング(マルウェア解析)を担当。動的解析では動いてくれないマルウェアの皮を一枚一枚剥がしていく職人技が持ち味。

凌 翔太
CTF、IoTハッキング、マルウェアペンテストツールの開発を担当。Black Hat/DEF CONにてツールを発表。セキュリティキャンプ講師、SECCON実行委員。

政本 憲蔵
インフラ分析とOSINT分析を担当。
Back Orifice/NetBusの時代からRATに興味を持ち現在に至る。好きなことはMaltego Transformの開発とレゴブロック。

BlackHat