Malware Lab 19トラックリファレンス
Malware Lab 19トラックリファレンス#
unJaena Malware Labは入力フォーマットに応じて適切な分析トラックを自動選択します。平均分析時間は約90秒で、全トラックでMITRE ATT&CK 14フェーズマッピング·YARAシグネチャ·AI自然言語サマリを共通アウトプットとして提供します。
トラックカタログ#
| # | トラック | 入力形式 | 主要エンジン | 出力ハイライト |
|---|---|---|---|---|
| 1 | PE | .exe, .dll, .sys | Ghidra (デコンパイル) + CAPA + Speakeasy (エミュレーション) + YARA | 関数グラフ、CAPAケイパビリティ、IOC、MITREマッピング |
| 2 | APK | Android .apk | MobSF + YARA + マニフェスト静的解析 | パーミッションリスク、疑わしいAPIコール、証明書情報 |
| 3 | IPA | iOS .ipa | MobSF + YARA + コード署名検証 | エンタイトルメント監査、URLスキーム、資産窃取パターン |
| 4 | Office (DOCX/XLSX/PPTX) | OOXMLパッケージ | olevba + YARA + マクロ抽出 | VBAソース、AutoOpen/AutoExecトリガ、IOC |
| 5 | HWP / HWPX | 韓国HWP·HWPXドキュメント | olevba + 韓国特化解析 | 埋め込みOLE、マクロ、外部呼び出し |
| 6 | .pdf | PDF.jsエミュレーション + YARA + JavaScriptトレーサ | OpenActionハンドラ、隠しオブジェクト、JavaScriptベースIOC | |
| 7 | ELF | Linux実行ファイル | Qiling (ユーザーモードエミュレーション) + CAPA + YARA | システムコールトレース、ケイパビリティ、パッカー検出 |
| 8 | Mach-O | macOS実行ファイル | Qiling + YARA + 署名検証 | エンタイトルメント、動的ライブラリ、インジェクション痕跡 |
| 9 | .NET | CLRアセンブリ | dnfile + Ghidra + YARA | ILデコンパイル、難読化検出、コールグラフ |
| 10 | JAR | Javaアーカイブ | CFR/Procyonデコンパイル + YARA | クラスツリー、マニフェスト、サードパーティライブラリ呼び出し |
| 11 | JavaScript | .js, .mjs | サンドボックスエミュレーション + AST解析 | DOM操作、eval/Function 使用、外部呼び出し |
| 12 | PowerShell | .ps1 | サンドボックス + AMSIトレーサ + デオブファスケータ | コマンドツリー、ダウンロードURL、エンコードペイロード |
| 13 | VBS·HTA | .vbs, .hta | サンドボックスエミュレーション + スクリプト静的解析 | ダウンローダパターン、コマンド実行、レジストリ操作 |
| 14 | OneNote | .one, .onepkg | OneNoteパーサ + 添付抽出 | 埋め込みペイロード、外部リンク、マクロ |
| 15 | EML·MSG | メールメッセージ | EML/MSGパーサ + 添付分離 | ヘッダ解析、送信者認証、添付の再帰スキャン |
| 16 | MSI·MSIX·APPX | Windowsインストーラ | MSIテーブルパーサ + ペイロード抽出 + YARA | CustomActionリスト、インストール後コマンド、署名情報 |
| 17 | LNK | Windowsショートカット | LNKパーサ + コマンドラインデコーダ | ターゲットコマンド、エンコード引数、アイコンソース |
| 18 | WebAssembly | .wasm | Wasmデコンパイル + YARA | Import/Export関数、疑わしい呼び出し、静的文字列 |
| 19 | Browser Extension | .crx, .xpi | マニフェスト解析 + コンテンツスクリプト抽出 + YARA | パーミッションスコープ、外部呼び出し、コードインジェクションパターン |
共通出力項目#
すべてのトラックで以下の共通レポート項目を生成します。
- 脅威判定: clean / suspicious / malicious の3段階。
- MITRE ATT&CK 14フェーズマッピング: ReconnaissanceからImpactまで自動分類。
- IOC: ドメイン·IP·ハッシュ·ミューテックス·ファイルパスの抽出。
- YARAマッチ: 公開ルールセット + unJaena独自ルールの結果。
- AIサマリ: 韓国語·英語·日本語の自然言語レポート。
平均分析時間#
ほとんどのサンプルは90秒以内に完了します。PEのアンパック処理やGhidraのフルデコンパイルなどの重い段階が必要な場合は最大5分程度かかることがあり、UIの進捗バーで現在のステージと残り作業を確認できます。
次のステップ#
- マルウェアラボガイド — UIのステップバイステップ解説
- 連携アクセスガイド — 承認済み顧客向けの連携アクセス手順