マルウェア解析の基礎
制御された体系的な環境で不審なバイナリを調査し、マルウェア解析の基礎を学びます。セキュリティチームは、回収された実行ファイルに対して、「それが何であるか」「何をしようとしているのか」「どのファイルにアクセスするのか」「どの程度危険なのか」といった疑問に即座に答える必要があります。本コースでは、Linux のツールを活用した静的解析および動的解析を通じて、これらの情報を収集する方法を習得します。
なぜ重要なのか
マルウェア解析は、必ずしも完全なリバースエンジニアリングから始まるわけではありません。多くの場合、最優先事項は未知のバイナリを迅速かつ安全にトリアージ(選別)することです。つまり、実行前に有用なシグナルを抽出し、実行時の挙動を詳細に観察することで、脅威の正体を把握することが求められます。
本コースでは、このトリアージのワークフローに焦点を当てます。バイナリを静的に調査し、システムやライブラリの活動を動的に追跡し、それらの調査結果を統合することで、プログラムの挙動と意図を明確にしていきます。
学習内容
- 実行することなく、不審なバイナリに対して静的解析を行う。
- 文字列、ハッシュ値、アーキテクチャの詳細など、マルウェア解析に有用な指標(インジケーター)を抽出する。
straceを使用して、システムコールと実行時の挙動を監視する。ltraceを使用して、ライブラリレベルの挙動と隠れたプログラムロジックを調査する。- 安全性と有用な洞察のバランスを考慮した、基本的なマルウェア解析ワークフローを構築する。
コースのロードマップ
- 静的マルウェア解析: 実行前にバイナリを安全に調査し、指標を抽出する。
- strace による動的解析: システムコールトレースを通じて、ファイル、プロセス、ネットワークの挙動を観察する。
- ltrace によるライブラリコールの追跡: ライブラリのやり取りを調査し、プログラム内部のロジックを理解する。
- マルウェアリバースエンジニアリング・チャレンジ: 静的解析と動的解析を組み合わせ、回収された不審なバイナリを調査する。
対象読者
- マルウェア解析やインシデントレスポンスのトリアージを学び始めた方。
- バイナリ調査の実践的な出発点を必要としているセキュリティアナリスト。
- 高度なリバースエンジニアリングに飛び込む前に、マルウェアの挙動を理解したい防御側(ディフェンダー)の方。
到達目標
本コースを修了すると、不審なバイナリをより安全に解析し、有意義な挙動や指標を抽出できるようになります。また、静的・動的な証拠がどのようにマルウェアのトリアージを裏付けるのかを説明できるようになります。
