5.5 KiB
5.5 KiB
マルウェアについて
マルウェアDB
VirusTotal
- 運営: Google
- ハッシュまたは(ファイル / URL)1つで 既知マルウェアか即判定
- 実務の判断スピードが段違い
実務での使い方
- 不審ファイル → hash → VT
- IP / Domain も確認可能
MITRE ATT&CK
- マルウェアの「やってること」を共通言語で整理できる
- CVE / インシデント報告 / 製品アラートと直結
- 調査・報告・再発防止に必須
実務での使い方
- 「Command Execution」「Credential Dumping」
- 攻撃フェーズ整理
- 対策の抜け漏れ確認
調査より「整理と説明」に使います
AlienVault OTX
- IP / Domain の 危険度即確認
- 「この通信先ヤバい?」を即判断
- APIで自動化可
外向き通信が怪しい場合 WAF / FW / Cloud Armor (通信系の異常確認用)
実務でのアクション
- 何かおかしい、から始まる
- よくあるトリガー:
- CPUが急に100%
- 外向き通信が増えた
- 見覚えのないプロセス
- ログに怪しい文字列
Trivy / Dependabot / Alert
- よくあるトリガー:
パータン1 怪しいファイル発見時
graph TD
A[怪しいファイル発見] --> B[VirusTotalにhash投げる]
B --> C[マルウェア名 / 種類を確認]
C --> D[Hybrid Analysisで挙動確認]
D --> E[MITRE ATT&CKで行動分類]
パータン2 コンテナ異常(CPU100%)
graph TD
A[コンテナ異常] --> B[プロセス確認 xmrigなど]
B --> C[VirusTotal で hash 照合]
C --> D[Hybrid Analysisで挙動確認]
D --> E[Cryptominerと判明]
プロセスや挙動の確認
ps aux
top
- 見るポイント:
xmrigcurl | shwget httpbash -i- 見覚えのないバイナリ
この時点で「マルウェアっぽいか」はほぼ判断できる
ネットワーク確認
netstat -tunp
ss -tunp
- 不審な外部IP
- 定期通信(C2っぽい)
ファイルの確認
ls /tmp
ls /var/tmp
- ランダム名
- 実行権限付きファイル
ハッシュ確認
sha256sum suspicious_file
VirusTotal にハッシュを投げる
実務上での判断
| 状況 | 実務判断 |
|---|---|
| マイナー | 即停止 → 再デプロイ |
| RAT / Backdoor | インスタンス破棄 |
| ランサム | 即隔離 |
| 原因不明 | 再作成 |
- 「調査より破棄」が普通です
- クラウドは作り直せる
- 解析は 時間がかかる
- 本番で解析は危険
- 責任範囲が広がる
Cloud Run / Docker / K8s では「再構築」が正解です
マルウェア一覧表
| 分類 | マルウェア名 | 概要 | 主な目的 | 代表例 |
|---|---|---|---|---|
| ランサムウェア | Ransomware | データを暗号化し身代金要求 | 金銭 | WannaCry, LockBit |
| トロイの木馬 | Trojan | 正規ソフト偽装 | 侵入 | Zeus |
| ウイルス | Virus | 自己複製・感染 | 破壊 | CIH |
| ワーム | Worm | ネットワーク自己拡散 | 拡散 | Conficker |
| バックドア | Backdoor | 不正アクセス口 | 永続化 | DoublePulsar |
| スパイウェア | Spyware | 情報窃取 | 監視 | Pegasus |
| キーロガー | Keylogger | キー入力記録 | 窃取 | AgentTesla |
| ボット | Bot | C2制御 | DDoS | Mirai |
| ボットネット | Botnet | 複数端末制御 | 大規模攻撃 | Mirai |
| ルートキット | Rootkit | 痕跡隠蔽 | 永続化 | ZeroAccess |
| ダウンローダ | Downloader | 他マルウェア取得 | 展開 | Emotet |
| ドロッパー | Dropper | 内部に格納して展開 | 配置 | TrickBot |
| アドウェア | Adware | 広告表示 | 収益 | Fireball |
| クリプトマイナー | Cryptominer | 仮想通貨採掘 | 金銭 | XMRig |
| ワイパー | Wiper | データ破壊 | 妨害 | NotPetya |
| ローダー | Loader | メモリ展開 | 回避 | Cobalt Strike |
| RAT | Remote Access Trojan | 遠隔操作 | 支配 | njRAT |
| ファイルレス | Fileless Malware | メモリ常駐 | 検知回避 | PowerShell系 |
| ブートキット | Bootkit | 起動領域感染 | 永続化 | Mebroot |
| スケアウェア | Scareware | 偽警告 | 詐欺 | FakeAV |