近年の高度化したマルウェアへの対応として、ファイルだけを探索して検体を見つけ出す事は、この上なく難しいことだと言っていいでしょう。
そこでヒントとなることなり得るのが、証跡が残りやすいレジストリ、イベントログ、ネットワーク情報などの揮発性データです。
不正プログラムの洗い出し 「Autoruns」と「VirusTotal」
ここでは不正プログラムの特定を、「Autoruns」と「VirusTotal」を連携することで行う方法を紹介します。
- 不審な通信が発生したのだが、根元となっているプロセスがわからない
- 不正プログラムを削除しても挙動がおかしい
こうした、「ちょっといつもと違うなぁ」という経験はないでしょうか。
そんなときに、AutorunsとVirusTotalを組み合わせて調査を行うことで不正プログラムの見当をつけやすくなります。
これらのツールの使い方については
Autorunsは、
攻撃者が狙う脆弱性への対策 Autorunsを利用したシステム内の確認
VirusTotalは、
プロセスの動作状況のチェック Process Explorer・Process Hacker
内にある項目「不正プロセスの問い合わせ」
をそれぞれ参照してください。
Autorunsで見当をつける
まず、不正プログラムが実行されている状況下で、Autorunsを起動します。
最初に「Logon」のタブを見ておきましょう。
ここではWindowsの起動時に実行されるプロセスを表示します。
ここで注意しておきたいことは、ここに表示される項目が全てではないということです。
ここで見つかるマルウェアは最近ではあまりいないため、最後はレジストリを詳細に調査する必要があります。
「Logon」で不審なプログラムを確認できれば幸運です。
でなければ、別の箇所を探すほかありません。
Windowsには、複数のプログラムを自動起動するための仕組みがあります。
それが難儀な点になってしまうのです。
不正なプロセスをチェックする
不審なプロセスを発見できたら、右クリックをします。
右クリックすることで「VirusTotal」や「Process Explorer」などと連携し、該当プロセスをより詳細に調査することができます。
実行ファイルであれば、すぐにでも不正プログラムであるかどうかがチェックできるはずです。
Process Explorerについては
プロセスの動作状況のチェック Process Explorer・Process Hacker
を参照してください。
実行ファイルを直接参照できない場合
ここでは、ショートカットファイルのように、実行ファイルを直接確認できない場合について紹介します。
ショートカットファイルの場合、「Process Explorer」を選択しても実行ファイルを参照しているだけなのであまり意味がありません。
そこで、「VirusTotal」を利用します。
プライバシーポリシーをよく読んで利用しましょう。
VirusTotalを利用可能にする
「Options」→「Scan Options」メニューを選択→「CheckVirusTotal.com」をチェック→「Rescan」をクリック
VirusTotalの規約に同意するかを問うダイアログが表示される→「はい」を選択
過去のチェック結果を再確認する
チェックしたいファイルを右クリック→「Resubmit to VirusTotal」を選択→該当ファイルをアップロードして再チェックする
該当ファイルが、アップロードされた履歴のないものの場合、「Submit to VirusTotal」と表示されます。
新たに登場したマルウェアはこのケースであることが多いです。
実行ファイルを参照する
ショートカットファイルを選択した状態で「Jump to Image」を選択
ファイルが格納されたフォルダーへジャンプし、実態を確認
この方法を行うことで、幸運なら参照先の実行ファイルを見つけることができるかもしれません。
PeStudioなどで該当する実行ファイルを参照し、それが不正プログラムの場合には何らかのヒントが表示されるでしょう。
多くの場合、実行ファイルがどのような動作をするか確認することで、おおよその対処方法が判明します。
ここまでで不正プログラム特定の作業は終わりですが、この手順で見つかれば幸運なことだと認識しましょう。
関連
攻撃者が狙う脆弱性への対策 Autorunsを利用したシステム内の確認
プロセスの動作状況のチェック Process Explorer・Process Hacker