Japan Computer Emergency Response Team Coordination Center

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は10月28日、「標的型攻撃に使われるマルウエアを検知するVolatility Plugin(2015-10-28)」において、標準型攻撃に使われるマルウェアの検出および検出したマルウェアの設定情報を抽出するツール「Volatility Plugin - apt17scan.py」について伝えた。

「apt17scan.py」はJPCERTコーディネーションセンターによって開発されたソフトウェア。メモリフォックスレンジツール「The Volatility Framework」のプラグインとして実装されており、ソースコードは「Artifact analysis tools by JPCERT/CC Analysis Center」において公開されている。

このソフトウェアは日本の組織を対象とした標的型攻撃で使われることの多いマルウェアを検出する機能を持っている。本稿執筆時点で「apt17scan.py」を検出できるマルウェアは次のとおり。

  • Agtid
  • Hikit
  • McRAT
  • Preshin
  • BlackCoffee
  • Derusbi

標的型攻撃ではメモリ上にのみ存在するマルウェアを使うケースではディスクをスキャンしてもマルウェアを発見することができない。「apt17scan.py」はそうした場合でもマルウェアを検出できるようにメモリフォックスレンジツールのプラグインとして実装されている。JPCERTコーディネーションセンターは今後ほかのマルウェアに関しても検出対象としていくと説明している。