【無料で使える】「 マルウェア 」対策ツールまとめ　として、
以下の内容を紹介しています。

・【無料オープンソース】「 マルウェア 」対策ツール 11選

【無料オープンソース】「 マルウェア 」対策ツール 11選

①ウイルス対策ツールキット「ClamAV」

概要

「ClamAV」は、オープンソースのウイルス対策ツールキットです。

「トロイの木馬」「ウイルス」「マルウェア」「Microsoft Officeマクロウイルス」「その他脅威」を検出します。

「Windows」「MacOS X」「Linux」「BSD」などで利用できます。

特徴

・柔軟スケーラブルなマルチスレッドデーモン
・パッケージコア=共有ライブラリ形式で利用可能なアンチウイルスエンジン
・コマンドラインスキャナー
・データベース自動更新用ツール
・リアルタイム保護機能(Linuxのみ)
・署名データベースにより「信頼できる署名定義」のみを実行
・アーカイブ(圧縮ファイル)スキャン機能

オフィシャルサイト

→github.com　→Cisco-Talos/clamav

→clamav.net

②PHPベースアンチマルウェアソリューション「phpMussel」

概要

「phpMussel」は、PHPベースアンチマルウェアソリューションです。

PHPスクリプトとして動作し、システムにアップロードされたファイル内の「トロイの木馬」「ウイルス」「マルウェア」「その他脅威」を検出します。

特に、従来型ウイルス対策ソリューションを利用できないケースが多い「共有ホスティング環境」において、有効に利用できます。

特徴

・「インストール」「カスタマイズ」「利用」が簡単
・OS非依存　：PHP+PCREがインストールされているすべてのシステムで動作
・シェルアクセスは不要
・管理者権限は不要
・ニーズに合わせたカスタマイズ性
・強力で安定したサポートベース

オフィシャルサイト

→github.com　→phpMussel/phpMussel

→phpmussel.github.io

③Linux用マルウェアスキャナー「Linux Malware Detect」

概要

「Linux Malware Detect」(LMD)は、Linux用のマルウェアスキャナーです。

「共有ホスト環境で直面する脅威対策」を中心に設計されています。

ネットワークエッジ侵入検知システムからの脅威データを使用して、攻撃で積極的に使用されているマルウェアを抽出し、検出用のシグネチャを生成します。

特徴

・MD5ファイルハッシュ検出　：脅威を迅速に特定
・HEXベースパターンマッチング　：脅威亜種を特定
・統計分析コンポーネント　：難読化脅威を検出
・ClamAV統合検出
・スキャン結果検疫バッチオプション
・Linuxカーネルサブシステムモニター機能　：システムユーザーを監視

オフィシャルサイト

→github.com　→rfxn/linux-malware-detect

→rfxn.com　→projects　→linux-malware-detect

④POSIX互換環境用マルウェアブロックスクリプト「Hostsblock」

概要

「Hostsblock」は、POSIX互換環境用マルウェアブロックスクリプトです。

「/etc/hostsファイル」を利用して「脅威の可能性があるコンテンツ」をシステム全体でブロックするように設計されています。

「Linux」「BSD」「macOS」などにおいて利用できます。

特徴

・非特権ユーザーとして実行
・定期的バックグラウンドジョブとして実行可能
・systemdサービスファイル　：バックグラウンドプロセスを大幅にサンドボックス化
・プロキシされていないすべての接続はHOSTSファイルを使用
・zip(7zip)で圧縮されたファイルを処理
・柔軟構成　：「拒否/許可リスト」「後処理スクリプト」
・DNSキャッシングを使用する高性能ブロッキング
・リダイレクトによるDNSキャッシュポイズニング対策

オフィシャルサイト

→github.com　→gaenserich/hostsblock

⑤マルウェアサンプル識別分類サポートツール「YARA」

概要

「YARA」は、マルウェアサンプル識別分類サポートツールです。

主に、マルウェア研究者の利用が想定されています。

「Windows」「Linux」「Mac OS X」で利用できます。

特徴

・テキスト(バイナリパターン)に基づいてマルウェアファミリの説明作成をサポート
・各説明(別名ルール)は「文字列セット」+「そのロジックを決定するブール式」で構成
・yara-python拡張子を持つ独自Pythonスクリプトからの使用も可能

オフィシャルサイト

→github.com　→VirusTotal/yara

→virustotal.github.io　→yara

⑥モバイルアプリ向けセキュリティ評価フレームワーク「Mobile Security Framework」

概要

「Mobile Security Framework」(MobSF)は、オールインワン自動化セキュリティ評価フレームワークです。

「Android」「iOS」「Windows」アプリに対して、各種セキュリティテストを実施できます。
・侵入テスト
・マルウェア分析
・静的分析
・動的分析

特徴

・モバイルアプリのバイナリサポート　：「APK」「XAPK」「IPA」「APPX」
・圧縮されたソースコードをサポート
・REST API を提供
・開発パイプラインとのシームレスな統合　：「CI/CD」または「DevSecOps」
・「Dynamic Analyzer」　：「ランタイムセキュリティ評価」「対話型計測テスト」を実行

動的アナライザー

■Genymotion Android
・摩擦を最小限に抑えてセットアップできる優先動的解析環境
・MobSF開始する前に「Genymotion Android VM」を実行
・すべてが実行時に自動的に構成される
・「Android 7.0以降」推奨

■Android Studio Emulator
・GooglePlayストアの「Android Emulatorイメージ」はMobSFでは使用不可
・GooglePlayストアなしで「Android仮想デバイス」を作成

■Genymotion Cloud Android
・Genymotion Android VM をクラウドで実行
・adb経由で接続
・すべてが実行時に自動的に構成
・「Android 7.0以降」推奨

動作環境

■以下の環境でテスト済み
・Windows 10
・Ubuntu(18.04、19.04)
・macOS Catalina

オフィシャルサイト

→github.com　→MobSF/Mobile-Security-Framework-MobSF

⑦マルウェア分析環境テストツール「Pafish」

概要

「Pafish」は、マルウェアファミリと同じ方法で「仮想マシン」と「マルウェア分析環境」を検出するテストツールです。

特徴

・プロジェクトは無料でオープンソース
・すべての分析防止手法のコードは公開されている
・Windows用実行可能ファイルをダウンロード可能

プロジェクトの目標

・マルウェアサンプルで一般的に観察される手法を収集して、分析システムを回避する
・アナリストはそれらを調査し、分析環境が適切に実装されているかどうかをテストできる

動作環境

以下の環境でコンパイルして利用できます。
・Windows
・GNU/Linux

オフィシャルサイト

→github.com　→a0rtega/pafish

⑧PEファイルチェック用Pythonツール「pestudio-cli」

概要

「pestudio-cli」は、「既知悪意パターンに該当するPEファイル」を分析するための「Pythonベースコマンドラインツール」です。

特徴

■対象ファイルをマルウェア検査Webサイト「VirusTotal」に送信　：結果概要をユーザーに提示
・PEファイルを「既知悪意プログラムの署名」と照合
・バイナリが「ブラックリストに登録されたライブラリ/インポート」を使用しているかチェック
・疑わしいリソースをチェック
・バイナリ文字列から「ブラックリストに登録された値」を検出
・PEファイルに関する異常を強調表示
・「PEファイルに100を超える機能が存在するか？」をチェック
・さまざまな「疑わしい値」をチェック
・yara-pythonライブラリを呼び出してyaraルールのサポートを含める
・複数の出力形式をサポート

動作環境

Python動作環境が必要です。

オフィシャルサイト

→github.com　→KuechA/pestudio-cli

⑨実行可能ファイル機能検出「capa」

概要

「capa」は、実行可能ファイル内の機能を検出できるツールです。

悪意のあるプログラムを分析するために利用できます。
・バックドアが開かれている可能性
・サービスをインストールする可能性
・HTTPに依存している可能性　など

開発コミュニティは、マルウェアとして確認された「動作」「エンコード」「認識」などについて共有するためのフレームワークを提供しています。

特徴

■サポート実行可能ファイル
・PE(Portable Executable)　：Windows用の「実行ファイル」「オブジェクトファイル」「DLL」
・ELF(Executable and Linking Format)　：コンパイラが生成する「オブジェクト」「ライブラリ」「実行ファイル」
・.NET モジュール
・シェルコードファイル

■capaルール
・プログラム内の機能を識別するためのルール
・リバースエンジニアリングの初心者でも簡単に記述可能
・実行可能ファイル検査時にルールの内容を解釈
・ルール追加によりcapa認識機能を拡張

■制限事項
・「パッケージ化プログラム」「インストーラー」「ランタイムプログラム」は認識精度が落ちる

オフィシャルサイト

→github.com　→mandiant/capa

⑩【NSA製】リバースエンジニアリングフレームワーク「Ghidra」

概要

「Ghidra」は、ソフトウェアリバースエンジニアリング(SRE)フレームワークです。

「Windows」「macOS」「Linux」などのさまざまなプラットフォームでコンパイルされたコードを分析できるフル機能のハイエンド分析ツールが含まれています。

特徴

■「NSA」(National Security Agency)(米国国家安全保障局)によるSREフレームワーク
・NSAのサイバーセキュリティミッションをサポート
・カスタマイズ可能で拡張可能なSRE研究プラットフォーム
・複雑なSREの取り組みにおけるスケーリングとチーム化の問題解決を目指す

■SREアナリスト向けの深い洞察を生成
・悪意のあるコードの分析
・ネットワークやシステムの潜在的な脆弱性をよりよく理解

■主な機能
・逆アセンブリ
・アセンブリ
・逆コンパイル
・グラフ作成
・スクリプト作成
・※その他の数百の機能

オフィシャルサイト

→github.com　→NationalSecurityAgency/ghidra

→ghidra-sre.org

⑪【UNIXライク】リバースエンジニアリングフレームワーク「Radare2」

概要

「Radare2」は、「UNIXライクなリバースエンジニアリングフレームワーク」および「コマンドラインツールセット」です。

リバースエンジニアリングタスクを容易にする一連の「ライブラリ」「ツール」「プラグイン」が提供されています。

「Windows」および「UNIXライクOS」で動作します。

ユースケース

・フォレンジック
・ソフトウェアリバースエンジニアリング
・エクスプロイト
・デバッグ　など

特徴

・「バッチ実行」「コマンドライン実行」「ビジュアル対話型」モード
・組み込みWebサーバ　：「jsスクリプト」+「WebUI」をサポート
・ネイティブデバッガ機能　：「GDB」「WINDBG」「QNX」「FRIDA」
・コントロールフローグラフ
・バイナリへのパッチ適用
・検索機能　：「パターン」「マジックヘッダー」「関数シグネチャ」

オフィシャルサイト

→github.com　→radareorg/radare2

→radare.org　→radare2

【お知らせ】ITセミナー「マジセミ」のご紹介

「 マジセミ 」では、日々、多くのIT関連セミナーを開催しています。

参加者のみなさまのために「本当に役立つ情報の提供」を目標としています。

また、「 マジセミ 」を通じて、デジタル関連プロダクト(サービス)との「新たな出会いの場」「新たな体験の場」を創造することで、「IT業界の発展」「製造業の発展」「エンジニアの活躍促進」の実現を目指しています。

多くのセミナーの中から「ご自身のスキルやビジネスを強化できるセミナー」を見つけて、ぜひ一度、ご参加ください。

---

参考サイト
→comparitech.com　→「10 Best Malware Analysis Tools for 2022」
→helpnetsecurity.com　→「7 open-source malware analysis tools you should try out」
→linuxlinks.com　→「10 Best Free and Open Source Anti-Malware Tools」
→how2shout.com　→「10 popular Open-Source Tools to Secure Your Linux Server in 2022」