Skip to content
ドキュメント一覧

マルウェアラボガイド

マルウェアラボガイド#

unJaena AIマルウェアラボは、不審なファイルを自動的に分析し、脅威レベルを評価します。YARAルールスキャン、CAPA行動分析、Ghidra静的分析を統合し、包括的なマルウェア分析を提供します。

サンプルのアップロード#

アップロード方法#

  1. マルウェアラボのページに移動します。
  2. サンプルをアップロードボタンをクリックします。
  3. 分析するファイルを選択するか、ドラッグ&ドロップします。
  4. アップロードが完了すると、分析パイプラインが自動的に開始されます。

対応ファイル形式#

  • 実行ファイル: PE(.exe.dll)、ELF、Mach-O
  • .NETアセンブリ: .dll.exe(.NET)
  • スクリプト: PowerShell(.ps1)、Python(.py)、JavaScript(.js
  • ドキュメント: マクロを含むOfficeドキュメント
  • アーカイブ: ZIP、RAR、7z(分析前に自動的に展開されます)

安全上の注意事項#

  • すべてのサンプルは隔離された環境で処理されます。
  • サンプルは設定された保持期間の経過後に自動的に削除されます。
  • 機密性の高いファイルの場合は、アップロード前にハッシュ値を確認してください。

YARAスキャン結果#

YARAスキャンは、アップロードされたファイルを160以上の検出ルールと照合し、マルウェアのパターンを特定します。

結果の読み方#

スキャン結果には以下の情報が含まれます。

一致したルールの一覧:

  • ルール名: 検出に使用されたYARAルールの名称
  • 深刻度: Critical / High / Medium / Low
  • カテゴリ: RAT、Stealer、Ransomware、Trojan、Backdoorなど
  • 一致パターン: ファイル内で見つかった具体的なパターン

深刻度の分類:

深刻度説明
Critical即座の対応が必要なマルウェアランサムウェア、APT関連ツール
High明確な悪意ある動作パターンRAT、情報窃取型マルウェア
Medium不審な特徴を含むパッカーの使用、難読化されたコード
Low潜在的なリスク要因不審な文字列、APIコール

コミュニティルールセット#

YARA-Rules、Signature-Base、Malpediaなどの検証済みコミュニティルールセットが含まれており、最新の脅威に対応しています。

CAPA分析結果#

CAPAはバイナリファイルの行動ベースの分析を行います。ファイルがどのような機能を持っているかを、行動的な観点から特定します。

分析結果の構成#

検出された機能: CAPAはバイナリに含まれる以下の機能を自動的に特定します。

  • ファイル操作: ファイルの読み取り/書き込み/削除/暗号化
  • ネットワーク通信: HTTPリクエスト、ソケット接続、DNSルックアップ
  • プロセス操作: プロセスの作成、コードインジェクション、権限昇格
  • レジストリ操作: レジストリキーの作成/変更/削除
  • 情報収集: システム情報、ブラウザデータ、認証情報へのアクセス
  • 防御回避: アンチデバッグ、アンチVM、コードの難読化
  • 永続化: 自動起動の登録、サービスの作成、タスクスケジューラへの登録

MITRE ATT&CKマッピング: 検出された各機能は、MITRE ATT&CKフレームワークの対応する技術に自動的にマッピングされます。これにより、マルウェアの戦術と技術を体系的に把握できます。

対応ファイル形式#

  • PE(32ビット、64ビット)
  • ELF
  • Mach-O
  • .NETアセンブリ
  • シェルコード

Ghidraによる静的分析#

Ghidraは、NSAが開発したオープンソースのリバースエンジニアリングフレームワークです。unJaenaプラットフォームでは、Ghidraのヘッドレスモードを使用して自動的に静的分析を実行します。

分析内容#

バイナリ構造分析:

  • セクション情報: コード、データ、リソースの各セクションのサイズとエントロピー
  • インポートテーブル: 使用されているライブラリおよびAPI関数の一覧
  • エクスポートテーブル: 外部に公開されている関数
  • 文字列分析: バイナリに含まれる意味のある文字列の抽出

コードフロー分析:

  • 主要関数の特定: 中核的なロジックを含む関数の検出
  • 不審なAPIコール: VirtualAlloc、WriteProcessMemory、CreateRemoteThreadなど
  • 制御フローグラフ: プログラムの論理的な実行フロー

エントロピー分析#

エントロピー値が高い場合、データが圧縮または暗号化されている可能性があります。

  • 0~3: 構造化されたデータ(コード、テキスト)
  • 3~6: 一般的なバイナリデータ
  • 6~7.5: 圧縮またはパックされたデータ
  • 7.5以上: ランダム性が高い(暗号化されたデータの可能性)

分析レポート#

すべての分析が完了すると、包括的な分析レポートが生成されます。

レポートの構成#

  1. サマリー

    • 最終判定: Malicious(悪意あり) / Suspicious(疑わしい) / Clean(安全)
    • 総合リスクスコア(0~100)
    • 主要な脅威タイプの分類

  2. YARAスキャン結果

    • 一致したルールの一覧と詳細
    • 検出されたマルウェアファミリー

  3. CAPA行動分析

    • 検出された機能の一覧
    • MITRE ATT&CKマッピング結果

  4. 静的分析結果

    • バイナリ構造のサマリー
    • 不審なAPIコールの一覧
    • 文字列分析結果

  5. AI総合評価

    • コンテキストに基づくリスク評価
    • 関連する脅威インテリジェンス
    • 推奨される対応アクション

レポートの活用方法#

  • PDFエクスポート: 専門的なレポート形式でPDFとしてダウンロードできます
  • 共有: 分析結果をチームメンバーと共有できます
  • IOC抽出: 検出されたIOC(Indicators of Compromise)の一覧を抽出できます