目次
文書の過去の版を表示しています。
Avast Free Antivirus - 無料のセキュリティ対策ソフト
本家: アバスト | 無料アンチウイルスと VPN をダウンロード | 無料&簡単
ブログ: Avast Blog
Avast 公式 セキュリティ ブログ
ソースコード: Avast · GitHub
※Avast Antivirus 自体のソースコードは、製品のセキュリティ上の都合などから公開されていないが、RetDec と呼ばれるプラットフォームに依存しない実行可能ファイルの分析のためのデコンパイラーは 2017/12/12 にオープンソース化されたようである。
Avast open-sources its machine-code decompiler
デコンパイラーによる解析技術を公開することで、誰でもアプリケーションを実行せずにコードを調べる事ができる。一緒に悪のアプリケーションと戦おうという事のようである。
Avast (アバスト) は、Windows、MacOS、Android、iOS 用に Avast Software が開発したアンチウィルス製品である。家庭用に非営利目的で利用する場合は無償で利用する事ができる。
アバストは、世界に 4 億人のユーザーがおり 1 日に 6,600 万件を超える脅威をブロックしている。
過去には誤認識の問題もあったが最近は安定していると思う。(個人的に…) 受賞歴 のような数々の受賞歴がある。さらに、アンチウイルス エンジンとしてはとても軽量で動作が高速である。
Avast Software の AVG Technologies 買収
Avast は 2016 年 7 月に AVG Technologies を買収した。
これにより世界で 4 億人のユーザーを持つ世界で最も高度な脅威検出ネットワークを持つセキュリティソフトウェア会社となった。(うち、モバイル ユーザーは 1 億 6,000 万人)
Avast のセキュリティ技術は大規模な機械学習ネットワークを基盤としたクラウドで運営されている。
クラウドシステムでは、仮想マシンでのファイルの実行、機械学習分析、およびその他の Avast 独自の検査が行われることがある。
ファイルが悪意あるものだと Avast の人工知能技術が判断した場合、その情報がクラウドサーバーに転送されて、4 億人を超える Avast ユーザーの完全な保護に、ほぼリアルタイムで活用される。
AVG の買収により、Avast は 1 か月に約 10 億件のマルウェア攻撃を防ぎ、5 億を超える悪質な URL と約 5,000 万件のフィッシング攻撃をブロックできるようになった。また、毎月約 900 万の新たな実行可能ファイルを処理しているが、その 25% は悪質なものだそうです。
アバストと AVG が合併 - Avast 公式 セキュリティ ブログ より
RetDec - LLVM に基づいたターゲット変更可能なマシンコード逆コンパイラ
RetDec(オープンソース) は Avast が開発した LLVM に基づいたターゲット変更可能なマシンコード逆コンパイラである。
- サポートされているファイル形式: ELF、PE、Mach-O、COFF、AR(アーカイブ)、Intel HEX、および raw マシンコード
- サポートされているアーキテクチャ:
- 32ビット: Intel x86、ARM、MIPS、PIC32、および PowerPC
- 64ビット: x86-64、ARM64(AArch64)
- 特徴:
- 詳細情報を含む実行可能ファイルの静的分析。
- コンパイラおよびパッカーの検出。
- ロードと命令デコード。
- 静的にリンクされたライブラリコードの署名ベースの削除。
- デバッグ情報 (DWARF、PDB) の抽出と利用。
- 命令イディオムの再構築。
- C++ クラス階層 (RTTI、vtables) の検出と再構築。
- C++ バイナリ (GCC、MSVC、Borland) からのシンボルの分解。
- 関数、型、および高レベルの構造の再構築。
- 統合された逆アセンブラー。
- 2 つの高水準言語での出力: C と Python のような言語。
- コールグラフ、制御フローグラフ、およびさまざまな統計の生成。
GitHub - avast/retdec: RetDec is a retargetable machine-code decompiler based on LLVM. より
パッカーとは...
パッカーとは、マルウェアの実行時に、マルウェア対策エンジンや静的分析による検出を回避するため、マルウェアの暗号化と圧縮および復号を行う。
UPX が代表的なパッカーである。
UPX の特徴
- 圧縮にはUCLと呼ばれるデータ圧縮アルゴリズムを用いてる。
- UCL は解凍用のコードがわずか数百バイトで実装できるようなシンプルな設計となっている。
- UCLは解凍のための追加のメモリ割り当てを要求しない。このことはUPXで圧縮された実行ファイルが余計なメモリを要求しないことを意味し、明確な優位点となっている。
- UPX(2.90 beta以上)では多くのプラットフォームで LZMA が利用可能になっている。しかし、古いコンピュータでは解凍速度が遅いので16ビット環境ではデフォルトで無効化されている(–lzmaオプションを用いると強制的に有効化できる)。
逆コンパイラの前に逆アセンブルやデバッガ?
逆アセンブラやデバッガには以下のようなものがある。(有名どころ)
しかし、ここで大事なことはプログラム解析手法には、静的プログラム解析 (Static Program Analysis) と 動的プログラム解析 (Dynamic Program Analysis) の 2 つがあることである。
逆アセンブラ/逆コンパイラが静的解析 (プログラムの実行を必要としない解析) であり、デバッガは動的解析 (プログラムの実行を必要とする解析) である。(Java アプリの場合は両方の解析が必要)
マルウエアなどを動的解析するにはリスクを伴うので、通常は仮想マシンなどの サンドボックス (Sandbox) 環境で解析が行われる。
- Ghidra (ギドラ)
- ギドラ ソフトウェア リバースエンジニアリング フレームワーク
- 米国家安全保障局 (NSA) が 2019/03 にリリース 4 月にソース公開
- Ghidra - Wikipedia (英語)
- IDA Pro (アイダ プロ)
- Windows、Linux、MacOS 対応デバッガ (有償)
- OllyDbg (オリーデバッガ)
- x86 用 Windows デバッガ (x64 非対応)
- Immunity Debugger (イミュニティー デバッガ)
- x86 用 Windows デバッガ (x64 非対応)
-
- Microsoft 製 Windows デバッガ
- x86/x64 ユーザモード/カーネルモード Hyper-V のアタッチ 対応
-
- UNIX ライク リバースエンジニアリング フレームワークとコマンドラインツール
- Linux, *BSD, Windows, OSX, Android, iOS, Solaris, Haiku
- オープンソース: GitHub - radare/radare2
-
- x86/x64 Windows デバッガ
-
- クロスプラットフォーム(Linux, FreeBSD, OpenBSD, OSX, Windows AArch32/x86/x64 デバッガ
- オープンソース
この分野のおすすめ関連書籍
アナライジング・マルウェア
- フリーツールを使った感染事案対処
Amazon
リバースエンジニアリング
- Pythonによるバイナリ解析技法
Amazon
Binary Hacks
- ハッカー秘伝のテクニック100選
Amazon
インターネット上で起きているセキュリティ事件の速報
セキュリティを深めるために、現在インターネット上で起こっている事件の速報情報を入手することはとても大事なことである。
いつ自分がそのようなセキュリティリスクに直面するか分からないので、日ごろからそのような情報を集めて対策を行っておくことが重要である。
情報セキュリティ、サイバーセキュリティに関して、以下に有益な情報を提供するサイトを何個か記載しておく。
セキュリティブログ
Avast Blog (英語)
Avast 公式 セキュリティ ブログ (日本語)
OSSセキュリティブログ - サイオスセキュリティブログ (日本語)
ブラックベリーサイランス (AI セキュリティ会社) ブログ (日本語)
トレンドマイクロ セキュリティブログ (日本語)
CVE | Semmle Blog (英語)
脆弱性情報源
Japan Vulnerability Notes (日本語)
Japan Vulnerability Notes - Twitter (日本語)
JVN iPedia - 脆弱性対策情報データベース - 脆弱性情報をデータベース化し一般向けに公開
- CVE: 脆弱性のID
- CVSS: 脆弱性の深刻度点数
- CWE: 脆弱性のカテゴリ
ざっくり分かる脆弱性指標 - CVE CVSS CWE - Qiita より
JPCERT コーディネーションセンター
CVE - Common Vulnerabilities and Exposures (CVE) (英語)
IPA 独立行政法人 情報処理推進機構:重要なセキュリティ情報一覧
Web 改竄情報源
Zone-H.org - Unrestricted information - エストニアのセキュリティーニュースサイト
※Zone-H.org にはサイバー犯罪アーカイブがある。注意: 操作やアクセスはすべて自己責任で!!
JPドメイン Web改竄速報
(注意: 2019/09/14現在 zone-h の CAPTCHA 変更により 2018/05 中旬よりリアルタイム更新が止まっているようである)
Malware Domain List (英語)
※こちらも、注意: 操作やアクセスはすべて自己責任で!!
Web 改竄検知ツール
Tripwire
Tripwireについて|トリップワイヤ・ジャパン株式会社
Open Source Tripwire (商用版もあり)
GitHub - Tripwire/tripwire-open-source: Open Source Tripwire®
Tripwireによるファイル改ざん検知の導入〜設定〜運用の流れ - Qiita
Tripwire [IT Admins Group]
参考文献
ネットセキュリティブログ
マルウェア検体を入手する方法について
debuggers - What is the linux equivalent to OllyDbg and Ida Pro? - Reverse Engineering Stack Exchange
Ghidra - Wikipedia
ブログ | Cylance Japan株式会社
脅威のスポットライト:Ghidraによるコード解析入門| Cylance Japan株式会社
WikiLeaks - [Vault 7] の公開元
暴露されたCIAの諜報能力「Vault 7」の衝撃度(前編) - THE ZERO/ONE
暴露されたCIAの諜報能力「Vault 7」の衝撃度(中編) - THE ZERO/ONE
暴露されたCIAの諜報能力「Vault 7」の衝撃度(後編) - THE ZERO/ONE