現在位置: ホーム / ゲストブログ / わかっておきたいセキュリティ: 第1回 マルウェア解析サンドボックス「Cuckoo」

わかっておきたいセキュリティ: 第1回 マルウェア解析サンドボックス「Cuckoo」

今後、日進月歩で進化を続けるマルウェアに対して、対策を研究する団体であるマルウェア対策研究会から昨今注目を浴びるセキュリティに関して、さまざまな視点でブログを投稿していただきます。初回は、マルウェア対策研究会 寅次郎さんから『わかっておきたいセキュリティ』と題して投稿いただきました。第1回は、『マルウェア解析サンドボックス「Cuckoo」』の紹介です。マルウェア (malware) とは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどがあります(Wikipediaから)。

マルウェア解析サンドボックス「Cuckoo」

オープンソースで、マルウェアの静的解析・動的解析を行うサンドボックス「Cuckoo(クックー)」について、紹介します。

図1-1では、ランサムウェアと思われるファイルを Cuckoo に解析を解析させる画面です。また、このファイルは、「infected」というパスワードをかけて、圧縮しています。

Cuckoo Submit画面


図1-1: Submit画面

解析結果を見てみます。サンドボックスのマネジャには、KVMが使用されています。(Cuckooでは、VMware, Virtualboxなども利用可能です)その上で、Windows XP が動作しており、下の結果はWindows XP上で、解析した結果になります。
また、ドロップファイル数は、0個であることもわかります。Cuckooでは、ドロップ(ダウンロード)したファイルも自動で解析する機能があるので、ドロッパーファイル(マルウェア)についても解析効果を発揮します。

解析結果(概略)

図1-2: 解析結果(概略)


マルウェア(Locky)のネットワーク挙動について見ていきます。下図のように、アクセスを試みた IP アドレスや名前解決を試みたドメイン(ホスト名)も確認することができます。

アクセスしたホスト

 

図1-3: アクセスしたホスト

また、下図のように、どこの URI にアクセスしたかも確認できます。また、PCAPファイルも保存可能なので、Wireshark などで解析できます。

アクセスしたURI と PCAP保存


図1-4: アクセスしたURI と PCAP保存


マルウェアの判定に使用されることが多い「VirusTotal」も Cuckoo から利用可能です。(設定値を enabled = yes とするだけです。インターネット接続環境は、必要ですが。)

VirusTotal 利用


図1-5: VirusTotal 利用


出力レポートも JSON, HTML, PDF などの形式がありますので、便利です。また、Cuckoo は、他のツールとの連携が可能ですので、更に有効に活用できます。


参照:
Cuckoo Sandbox
Howto: Build a Cuckoo sandbox
 Cuckoo インストール手順について記載されています。Cuckoo Sandbox本家のインストール手順より、分かりやすいと思います。
VirusTotal


著者

寅次郎

マルウェア対策研究会
 日進月歩で進化を続けるマルウェアに対して、対策を研究する団体

 

各種お問い合わせ

サイオスOSSよろず相談室(1)

問い合わせボタン

最新の情報
[第15回] Linux/OSS エバンジェリスト古賀政純の『オープンソース・Linux超入門』 Linuxサーバーのためのハードウェア設定 ~ Hyper-Threading ~ 2017年06月21日
わかっておきたいセキュリティ: 第5回 VirusTotal at Home/Work「Malice」 2017年05月10日
わかっておきたいセキュリティ: 第4回 IRMA (Incident Response Malware Analysis) 2017年03月29日
わかっておきたいセキュリティ: 第3回 マルウェア解析サンドボックス「Cuckoo」との連携 その2 2017年02月22日
[第14回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その4 2017年02月08日
[第13回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その3 2017年02月01日
[第12回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その2 2017年01月25日
[第11回] Linux/OSS エバンジェリスト古賀政純の『オープンソース・Linux超入門』 システム要件において検討すべき点 その1 2017年01月18日
Python人材育成の支援を目的としたPythonエンジニア育成推進協会の活動とは? 2016年12月21日
わかっておきたいセキュリティ: 第2回 マルウェア解析サンドボックス「Cuckoo」との連携 2016年12月14日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第3回 オープンソースライセンスの使い方をわかっておきたい 2016年12月08日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第2回 色々なオープンソースライセンスをわかっておきたい 2016年11月30日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第1回 著作権とライセンスをわかっておきたい 2016年11月17日
わかっておきたいセキュリティ: 第1回 マルウェア解析サンドボックス「Cuckoo」 2016年11月02日
[第10回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』 Linuxサーバーシステム導入前の検討~ RHELを知る ~ 2016年10月26日
[第9回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』 Linuxサーバーシステム導入前の検討~ Ubuntu Serverを知る ~ 2016年10月19日
[第8回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』  Linuxサーバーシステム導入前の検討~ SUSEを知る ~ 2016年10月12日
[第7回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「初心者でもわかる、Linuxサーバーシステム活用者が知っておくべきポイント」(後編) 2016年08月09日
[第6回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「初心者でもわかる、Linuxサーバーシステム活用者が知っておくべきポイント」(前編) 2016年08月02日
[第5回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「ミッションクリティカルシステムとオープンソース・Linux」(後編) 2016年06月22日
最新の情報 - もっと...