GIAC Reverse Engineering Malware (GREM) 1日目 Malware Analysis Fundamentalsのメモ。
Process Monitorからプロセス・ツリーを表示する
ToolsメニューからProcess Treeを選択。
ProcDOT
Process Monitor のCSVログをProcDOTに読み込ませるとProcess Monitorの記録したイベントをグラフィカルに確認できる。
fakedns、INetSim、FakeNet-NG
fakedns
検体が外部ドメインへの通信を試みている場合はfakednsを起動して名前解決要求に応答させる。
INetSim
検体がHTTP/HTTPS/SMTP/FTP/DNS等の通信を行う場合は、INetSimを起動してこれらの通信をエミュレートする。設定ファイル inetsim.confを編集することで任意の通信をエミュレートできる。
FakeNet-NG
INetSim同様、ネットワーク通信をエミュレートする。Windows OSで動作する。
Fiddler
主に検体の生成するHTTP/HTTPSの通信を検証・編集したい場合に用いる。HTTPSの通信を検証する場合はHTTPSの設定メニューより、「Capture HTTPS CONNECTs」「Decrypt HTTPS traffic」「Ignore server certificate errors (unsafe)」を有効にする。通信を生成したプロセスの情報も記録してくれる。
NAT機能を有効にして通信を任意のサーバーに誘導する
検体がドメイン名ではなくIPアドレスと直に通信を行う場合、NAT機能を有効にすることで通信を任意のサーバーに誘導することができる。
Linuxでは以下のiptablesコマンドでNAT機能を有効にできる:iptables -t nat -A PREROUTING -i <interface name> -j REDIRECT
NAT機能を無効にするには以下のコマンドを用いる:
iptables -t nat -D PREROUTING -i <interface name> -j REDIRECT
REMnuxでは以下のコマンドでNAT機能を有効化・無効化できる:
accept-all-ips start
accept-all-ips stop
