現在位置: ホーム / ゲストブログ / わかっておきたいセキュリティ: 第5回 VirusTotal at Home/Work「Malice」

わかっておきたいセキュリティ: 第5回 VirusTotal at Home/Work「Malice」

日進月歩で進化を続けるマルウェアへの対策を研究するマルウェア対策研究会の寅次郎さんから、昨今注目を浴びているセキュリティに関して、さまざまな視点でブログを投稿していただく本連載。第5回は、ローカル上で多種のウイルス対策ソフトを活用し、ウイルススキャンするソフトウェア Malice をご紹介します。(2017年5月10日)

VirusTotal at Home/Work「Malice

パソコンを使う方は、毎日のように、多くのファイルを使用していることでしょう。その大量のファイルにたいしてこんな疑問を持つ方もいらっしゃることと思います。「このファイルは、安全だろうか?」

仕事上のファイルであれば、開かざるを得ないというのが実情だと思います。安全かどうか、判断できない場合が大半です。そこで今回は、ローカル上で、多種のウイルス対策ソフトを活用し、ウイルススキャンするソフトウェアを紹介させてもらいます。
(以前、紹介した「IRMA (Incident Response Malware Analysis)」に類似するソフトです。)

Malice と IRMA は、多種のウイルス対策ソフトでスキャンするのは同じですが、それ以外に大きく異なるのは、下記の2点です。

ウイルスの統計情報がグラフィカルに取得可能(Elasticsearch とKibanaが動いているため)

・指定したフォルダを常時監視し、そのフォルダにファイルが保存されると自動でウイルススキャンを実行(watch機能)

そのため、このMalice の方が、IRMAより企業向きであると感じます。

Malice インストール後、http://localhost にアクセスすると、下記画面が表示されます。

図5-1: Malice 初期画面

次に、コマンドライン上で、下記コマンド(ウイルススキャン)を実行します。

malice scan <ファイル>

(初回のウイルススキャン実行時には、必要なファイルをダウンロードするため、少し時間がかかります。)

実行結果は、下図のようになります。(ここでは、Lockyランサムウェアをスキャンしました)

図5-2: スキャン実行結果

 

図5-2 のように、ウイルスに感染していれば、「Infected」項目が「true」となります。

ここで、Web ブラウザで、「Index name or pattern」項目を下図のように変更すると、「Tim-field name」項目は「scan_date」を選択できるようになります。「scan_date」を選択し、「Create」ボタンを押します。

図5-3: Kibana 初期設定

 

次に、「Discover」ボタンを押します。すると、下図のように先ほどのスキャン結果が1件、表示されます。

図5-4:スキャン結果(1件)

 

次に、「Visualize」→「Pie Chart」→「malice*」→「Slice Slices」→「Aggregation: Terms」→「Field: plugins.av.clamav.result.keyword」→「Apply Changes (▶︎ボタン)」と順に選択していくと、下図のような画面が表示されます。

図5-5: スキャン結果 (Pie Chart)

 

次に、「指定したフォルダを常時監視し、そのフォルダにファイルが保存されると自動で、ウイルススキャンが実行」される方法を見ていきます。

コマンドプロンプトで、下記コマンドを実行します。

malice watch <フォルダパス>

(今回は、malice watch .  とコマンド実行しました)

図5-6: 自動スキャン実行 (watch 機能)

 

ここでは、2401.exe ファイルを検知して、自動スキャンしています。

他の便利な機能としては、kibanaの機能を使ったダッシュボードがあります。この機能により、グラフィカルに、ウイルスの感染概況がわかります。

 

図5-7: ダッシュボード

 

余談ですが、利用可能なプラグインは、下記コマンドで確認できます。

malice plugin list --all --detail


図5-8: Plugin一覧

 

参照

・malice

   https://github.com/maliceio/malice

・Free Open Source Self Hosted VirusTotal: Malice

 https://n0where.net/free-open-source-self-hosted-virustotal-malice/

・Malice: un multiAV de código abierto (Go/docker)

 http://www.hackplayers.com/2016/10/malice-un-multiav-de-codigo-abierto.html




著者:寅次郎

マルウェア対策研究会
 日進月歩で進化を続けるマルウェアに対して、対策を研究する団体


各種お問い合わせ

サイオスOSSよろず相談室(1)

問い合わせボタン

最新の情報
わかっておきたいセキュリティ: 第5回 VirusTotal at Home/Work「Malice」 2017年05月10日
わかっておきたいセキュリティ: 第4回 IRMA (Incident Response Malware Analysis) 2017年03月29日
わかっておきたいセキュリティ: 第3回 マルウェア解析サンドボックス「Cuckoo」との連携 その2 2017年02月22日
[第14回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その4 2017年02月08日
[第13回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その3 2017年02月01日
[第12回] Linux/OSS エバンジェリスト古賀政純の 『オープンソース・Linux超入門』 システム要件において検討すべき点 その2 2017年01月25日
[第11回] Linux/OSS エバンジェリスト古賀政純の『オープンソース・Linux超入門』 システム要件において検討すべき点 その1 2017年01月18日
Python人材育成の支援を目的としたPythonエンジニア育成推進協会の活動とは? 2016年12月21日
わかっておきたいセキュリティ: 第2回 マルウェア解析サンドボックス「Cuckoo」との連携 2016年12月14日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第3回 オープンソースライセンスの使い方をわかっておきたい 2016年12月08日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第2回 色々なオープンソースライセンスをわかっておきたい 2016年11月30日
可知豊の『 わかっておきたい、オープンソースライセンス』: 第1回 著作権とライセンスをわかっておきたい 2016年11月17日
わかっておきたいセキュリティ: 第1回 マルウェア解析サンドボックス「Cuckoo」 2016年11月02日
[第10回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』 Linuxサーバーシステム導入前の検討~ RHELを知る ~ 2016年10月26日
[第9回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』 Linuxサーバーシステム導入前の検討~ Ubuntu Serverを知る ~ 2016年10月19日
[第8回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』  Linuxサーバーシステム導入前の検討~ SUSEを知る ~ 2016年10月12日
[第7回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「初心者でもわかる、Linuxサーバーシステム活用者が知っておくべきポイント」(後編) 2016年08月09日
[第6回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「初心者でもわかる、Linuxサーバーシステム活用者が知っておくべきポイント」(前編) 2016年08月02日
[第5回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「ミッションクリティカルシステムとオープンソース・Linux」(後編) 2016年06月22日
[第4回] Linux/OSS エヴァンジェリスト古賀政純の 『オープンソース・Linux超入門』~「ミッションクリティカルシステムとオープンソース・Linux」(前編) 2016年06月16日
最新の情報 - もっと...