現在位置: ホーム / ゲストブログ / わかっておきたいセキュリティ: 第4回 IRMA (Incident Response Malware Analysis)

わかっておきたいセキュリティ: 第4回 IRMA (Incident Response Malware Analysis)

日進月歩で進化を続けるマルウェアへの対策を研究するマルウェア対策研究会の寅次郎さんから、昨今注目を浴びているセキュリティに関して、さまざまな視点でブログを投稿していただく本連載。第4回は、ファイルがマルウェアであるかどうかを判断するためのツール IRMA (Incident Response Malware Analysis)の活用方法をご紹介します。(2017年3月29日)

VirusTotal at Home = IRMA (Incident Response Malware Analysis)

日頃、仕事でもプライベートでも、様々な(デジタル)ファイルを活用しています。ただし、すべてのファイルが正常なファイルではありません。例えば、メールに添付されているファイルやダウンロードしたファイルが、その例です。

疑わしいファイルが、マルウェアであるかどうか、正常なファイルであるかどうかを判断するには、主に3種類の方法があると考えています。

1) インストールされているウイルス対策ソフトで、スキャンする

2) VirusTotal サイトに、ファイルをアップロードして、各種ウイルス対策ソフトでのスキャン結果を確認する

3) ファイル・ウイルス解析をする

1) の場合は、ウイルス対策ソフト1種類のみでのスキャン結果がわかります。他社製ウイルス対策ソフトでは、スキャン結果が異なるかもしれません。(マルウェアと判定されるかもしれないですし、正常のファイルと判断される場合もあります)

2) の場合は、会社の情報など機微な情報が含まれている可能性のファイルは、VirusTotal サイトにアップロードすることができません。アップロードすると、第三者にその情報を開示してしまうためです。

3) の場合は、ウイルス解析をする特別なスキルが必要です。

そこで、今回は、上記 1), 2), 3) の問題解決をする「IRMA (Incident Response Malware Analysis)」を紹介します。IRMA を活用すると、ファイルを VirusTotal のように、社外にファイルをアップロードせずに、VirusTotal 同様の機能を利用できます。

図3-1: IRMA

 
図3-2 のように、疑わしいファイル(ここでは、「Locky」)を選択します。また、今回は、あえて、VirusTotal も使用してみます。

図3-2: IRMAスキャン前 (VirusTotal 利用する場合)

IRMA で、「Locky」ファイルをスキャンした結果が、図3-3です。3種類のウイルス対策ソフトが、マルウェアと判断しています。IRMAのデフォルト設定では、3種類のみがウイルス対策ソフトとして設定されています。

図3-3: IRMAスキャン結果

今回は、VirusTotal を使用しているので、図3-4のように、57種類のウイルス対策ソフトのうち、54種類がマルウェアと判断しています。また、「here」をクリックすると、VirusTotalサイトで詳細を確認できます。(図3-5)

図3-4: IRMAスキャン結果  (VirusTotal 利用する場合)

 

 図3-5: VirusTotal結果

 
VirusTotal を利用しない場合は、図3-6 のように、VirusTotal を OFF にします。

図3-6: IRMAスキャン前 (VirusTotal 利用しない場合)

 

【参考】インストール手順メモ(IRMAデフォルト設定の場合)

※Blog記事の執筆時点での環境です

------ここから------Kali Linux 2016.2 (32bit)上に、IRMAをインストール)

# apt-get update
# apt-get upgrade -y
# apt-get dist-upgrade -y
# reboot
# apt-get install git curl sysv-rc-conf -y
# apt-get install ansible -y
# apt-get remove ansible -y
# cd /opt
# apt-get install vagrant -y
# apt-get install virtualbox -y
# wget https://bootstrap.pypa.io/get-pip.py
# python get-pip.py
# pip install ansible==2.1.3.0
# mkdir /opt/irma
# git clone https://github.com/quarkslab/irma
# cd /opt/irma/ansible
# ansible-galaxy install -r ansible-requirements.yml
# vagrant up
# vagrant provision

Firefox で、http://172.16.1.30 にアクセスする

------ここまで------

 

IRMAのデフォルト設定では、ウイルス対策ソフトは、3種類のみ対応していましたが、一工夫すると、図3-7、図3-8のように多くのウイルス対策ソフトでファイルのスキャンが可能になります。

 図3-7: IRMA (多種のウイルス対策ソフト)

 



図3-8: IRMAスキャン結果 (多種のウイルス対策ソフト)


参照:

・VirusTotal

 https://www.virustotal.com/

・IRMA (Incident Response Malware Analysis)

 http://irma.quarkslab.com/index.html

 https://irma.readthedocs.io/en/v1.5.3/index.htm




著者:寅次郎

マルウェア対策研究会
 日進月歩で進化を続けるマルウェアに対して、対策を研究する団体



 

 



 

 



 

 



各種お問い合わせ

サイオスOSSよろず相談室(1)

問い合わせボタン

最新の情報
わかっておきたいセキュリティ: 第4回 IRMA (Incident Response Malware Analysis) 2017年03月29日
わかっておきたいセキュリティ: 第3回 マルウェア解析サンドボックス「Cuckoo」との連携 その2 2017年02月22日
[第14回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その4 2017年02月08日
[第13回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その3 2017年02月01日
[第12回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その2 2017年01月25日
[第11回] Linux/OSS エバンジェリスト古賀政純の『オープンソース・Linux超入門』 システム要件において検討すべき点 その1 2017年01月18日
Python人材育成の支援を目的としたPythonエンジニア育成推進協会の活動とは? 2016年12月21日
わかっておきたいセキュリティ: 第2回 マルウェア解析サンドボックス「Cuckoo」との連携 2016年12月14日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第3回 オープンソースライセンスの使い方をわかっておきたい 2016年12月08日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第2回 色々なオープンソースライセンスをわかっておきたい 2016年11月30日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第1回 著作権とライセンスをわかっておきたい 2016年11月17日
わかっておきたいセキュリティ: 第1回 マルウェア解析サンドボックス「Cuckoo」 2016年11月02日
[第10回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』 Linuxサーバーシステム導入前の検討~ RHELを知る ~ 2016年10月26日
[第9回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』 Linuxサーバーシステム導入前の検討~ Ubuntu Serverを知る ~ 2016年10月19日
[第8回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』  Linuxサーバーシステム導入前の検討~ SUSEを知る ~ 2016年10月12日
[第7回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「初心者でもわかる、Linuxサーバーシステム活用者が知っておくべきポイント」(後編) 2016年08月09日
[第6回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「初心者でもわかる、Linuxサーバーシステム活用者が知っておくべきポイント」(前編) 2016年08月02日
[第5回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「ミッションクリティカルシステムとオープンソース・Linux」(後編) 2016年06月22日
[第4回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「ミッションクリティカルシステムとオープンソース・Linux」(前編) 2016年06月16日
[第3回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「CEOが知っておくべきオープンソース革新」(後編)~ 2016年05月25日
最新の情報 - もっと...