Time Table

マルウェアの作成者は、しばしばアンチデバッグ技術を用いて解析を妨害する。デバッガ上で実行されると、マルウェアはデバッガの存在を検出し、その後の動作を停止するか、通常とは異なる動作を行うため、解析が困難になる。アンチデバッグの実装方法は、マルウェアごとにさまざまである。

特に、大規模なメール送信キャンペーンで拡散されるマルウェアや、組織に影響を与える人気のランサムウェアには、複数のアンチデバッグ技術が確認されている。たとえば、アンチデバッグ技術には、デバッグ環境を検出するためのVM検出、デバッグ中にプログラムの実行を一時停止するブレークポイントの検出、デバッガを使用してマルウェアを解析する際の実行時間の違いを利用する時間差検出などが含まれる。

「AntiDebugSeeker」は、解析者によく利用されるバイナリ解析ツールIDAとGhidra用のオープンソース・プラグインであり、Windowsマルウェアに組み込まれたアンチデバッグ技術を自動的に識別することで、マルウェア解析プロセスを効率化する。アンチデバッグ機能に関連するコードは、例えば、マルウェアが使用するプロセスインジェクションの準備ステップとも重なる。したがって、検出ルールを柔軟にカスタマイズすることで、アンチデバッグ機能を特定するだけでなく、マルウェアの機能を理解することも可能である。さらに、このツールは、これらのアンチデバッグに対する説明やデバッグする際のサポート情報を提供し、アナリストが理解し、回避するための対策を講じる能力を向上させる。

本講演では、マルウェア解析を実演し、このツールの機能をどのように使用するかを説明し、実際の脅威シナリオでこれらの機能がどのように応用できるかを実践的に理解する。