157 lines
5.5 KiB
Markdown
157 lines
5.5 KiB
Markdown
# マルウェアについて
|
||
|
||
## マルウェアDB
|
||
|
||
### VirusTotal
|
||
|
||
* 運営: Google
|
||
* ハッシュまたは(ファイル / URL)1つで 既知マルウェアか即判定
|
||
* 実務の判断スピードが段違い
|
||
|
||
**実務での使い方**
|
||
* 不審ファイル → hash → VT
|
||
* IP / Domain も確認可能
|
||
|
||
### MITRE ATT&CK
|
||
|
||
* マルウェアの「やってること」を共通言語で整理できる
|
||
* CVE / インシデント報告 / 製品アラートと直結
|
||
* 調査・報告・再発防止に必須
|
||
|
||
**実務での使い方**
|
||
* 「Command Execution」「Credential Dumping」
|
||
* 攻撃フェーズ整理
|
||
* 対策の抜け漏れ確認
|
||
|
||
調査より「整理と説明」に使います
|
||
|
||
### AlienVault OTX
|
||
|
||
* IP / Domain の 危険度即確認
|
||
* 「この通信先ヤバい?」を即判断
|
||
* APIで自動化可
|
||
|
||
外向き通信が怪しい場合
|
||
WAF / FW / Cloud Armor
|
||
(通信系の異常確認用)
|
||
|
||
---
|
||
|
||
## 実務でのアクション
|
||
|
||
1. 何かおかしい、から始まる
|
||
* よくあるトリガー:
|
||
* CPUが急に100%
|
||
* 外向き通信が増えた
|
||
* 見覚えのないプロセス
|
||
* ログに怪しい文字列
|
||
* `Trivy / Dependabot / Alert`
|
||
|
||
### パータン1 怪しいファイル発見時
|
||
|
||
```mermaid
|
||
graph TD
|
||
A[怪しいファイル発見] --> B[VirusTotalにhash投げる]
|
||
B --> C[マルウェア名 / 種類を確認]
|
||
C --> D[Hybrid Analysisで挙動確認]
|
||
D --> E[MITRE ATT&CKで行動分類]
|
||
```
|
||
|
||
### パータン2 コンテナ異常(CPU100%)
|
||
|
||
```mermaid
|
||
graph TD
|
||
A[コンテナ異常] --> B[プロセス確認 xmrigなど]
|
||
B --> C[VirusTotal で hash 照合]
|
||
C --> D[Hybrid Analysisで挙動確認]
|
||
D --> E[Cryptominerと判明]
|
||
```
|
||
|
||
### プロセスや挙動の確認
|
||
|
||
```sh
|
||
ps aux
|
||
top
|
||
```
|
||
|
||
* 見るポイント:
|
||
* `xmrig`
|
||
* `curl | sh`
|
||
* `wget http`
|
||
* `bash -i`
|
||
* 見覚えのないバイナリ
|
||
|
||
この時点で「マルウェアっぽいか」はほぼ判断できる
|
||
|
||
### ネットワーク確認
|
||
|
||
```sh
|
||
netstat -tunp
|
||
ss -tunp
|
||
```
|
||
|
||
* 不審な外部IP
|
||
* 定期通信(C2っぽい)
|
||
|
||
### ファイルの確認
|
||
|
||
```sh
|
||
ls /tmp
|
||
ls /var/tmp
|
||
```
|
||
|
||
* ランダム名
|
||
* 実行権限付きファイル
|
||
|
||
### ハッシュ確認
|
||
|
||
```sh
|
||
sha256sum suspicious_file
|
||
```
|
||
|
||
VirusTotal にハッシュを投げる
|
||
|
||
### 実務上での判断
|
||
|
||
| 状況 | 実務判断 |
|
||
| -------------- | ------------------- |
|
||
| マイナー | 即停止 → 再デプロイ |
|
||
| RAT / Backdoor | インスタンス破棄 |
|
||
| ランサム | 即隔離 |
|
||
| 原因不明 | 再作成 |
|
||
|
||
* 「調査より破棄」が普通です
|
||
* クラウドは作り直せる
|
||
* 解析は 時間がかかる
|
||
* 本番で解析は危険
|
||
* 責任範囲が広がる
|
||
|
||
Cloud Run / Docker / K8s では「再構築」が正解です
|
||
|
||
---
|
||
|
||
## マルウェア一覧表
|
||
|
||
| 分類 | マルウェア名 | 概要 | 主な目的 | 代表例 |
|
||
| -------------------- | -------------------- | -------------------------- | ---------- | ----------------- |
|
||
| **ランサムウェア** | Ransomware | データを暗号化し身代金要求 | 金銭 | WannaCry, LockBit |
|
||
| **トロイの木馬** | Trojan | 正規ソフト偽装 | 侵入 | Zeus |
|
||
| **ウイルス** | Virus | 自己複製・感染 | 破壊 | CIH |
|
||
| **ワーム** | Worm | ネットワーク自己拡散 | 拡散 | Conficker |
|
||
| **バックドア** | Backdoor | 不正アクセス口 | 永続化 | DoublePulsar |
|
||
| **スパイウェア** | Spyware | 情報窃取 | 監視 | Pegasus |
|
||
| **キーロガー** | Keylogger | キー入力記録 | 窃取 | AgentTesla |
|
||
| **ボット** | Bot | C2制御 | DDoS | Mirai |
|
||
| **ボットネット** | Botnet | 複数端末制御 | 大規模攻撃 | Mirai |
|
||
| **ルートキット** | Rootkit | 痕跡隠蔽 | 永続化 | ZeroAccess |
|
||
| **ダウンローダ** | Downloader | 他マルウェア取得 | 展開 | Emotet |
|
||
| **ドロッパー** | Dropper | 内部に格納して展開 | 配置 | TrickBot |
|
||
| **アドウェア** | Adware | 広告表示 | 収益 | Fireball |
|
||
| **クリプトマイナー** | Cryptominer | 仮想通貨採掘 | 金銭 | XMRig |
|
||
| **ワイパー** | Wiper | データ破壊 | 妨害 | NotPetya |
|
||
| **ローダー** | Loader | メモリ展開 | 回避 | Cobalt Strike |
|
||
| **RAT** | Remote Access Trojan | 遠隔操作 | 支配 | njRAT |
|
||
| **ファイルレス** | Fileless Malware | メモリ常駐 | 検知回避 | PowerShell系 |
|
||
| **ブートキット** | Bootkit | 起動領域感染 | 永続化 | Mebroot |
|
||
| **スケアウェア** | Scareware | 偽警告 | 詐欺 | FakeAV |
|