マルウェアを分析して、キーロガーがデータを送信した場所を見つける方法は?
最近、アンチウイルスがネットワークに感染したキーロガーをいくつか検出しました。それらのマルウェアファイルがあり、それらを分析したいと思います。
この分析を行うにはどうすればよいですか?これらのログの送信先などの詳細を確認することが重要です。少なくとも調査の手がかりが必要です。
このスキルの専門家でない場合でも、ファイルから情報を取得するために使用できる自動マルウェア分析ツールがいくつかあります。
サンドボックスは非常に便利なツールであり、 Cuckoo はおそらく最もよく知られているツールです。自分で設定するか、 online Cuckoo sandboxes を見つけることができます。 Cuckooは、どのDNSクエリが実行され、どのHTTP接続が試行されているか、およびその他の多くの詳細を通知します。
マルウェアをクローズドVMで実行し、ネットワーク接続とファイルシステムに加えられた変更を監視することで、サンドボックスの動作の一部を複製できます。これにより、ほんの少しの情報しか得られません(そして、自分で未知のマルウェアを実行するのは非常に危険ですVMあなたが何をしているか知らない場合)、しかしそれはまたオプションです。
スキルがある場合は、デバッガーを実行して、デバッガーの動作を正確に確認することもできますが、これは高度なスキルです。
もちろん、数多くの商用ツールが利用可能です。
マルウェアの分析には、リバースエンジニアリングに関する知識が必要です。マルウェアの複雑さによっては、その仕組みを理解するのが大変になる場合があります。たとえば、IDAまたはOllyDbgを一度も開いたことがない場合は、自分でファイルを分析する必要はありません(処理方法を学習せずに、アセンブリ、リバースエンジニアリング、解凍...)。
@schroederが言ったように、ネットワークを監視したいだけの場合は、VMで悪意のあるファイルを実行し、次に Wireshark を実行すると、おそらくうまくいくでしょう。
キーロガーに関する「詳細な」情報を取得するために使用できるオンラインサンドボックス/マルウェア分析サービスを以下に示します。
- http://sandbox.pikker.ee/
- https://www.hybrid-analysis.com/
- http://www.threatexpert.com/submit.aspx
- https://www.joesandbox.com/
これをチェックしてください リンク 、それはいくつかの無料の自動マルウェア分析サンドボックスとサービスをリストします。