マジセミドライブ
ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。
ツール・サービス紹介
2023.02.21
【無料で使える】「 マルウェア 」対策ツールまとめ
【無料で使える】「 マルウェア 」対策ツールまとめ として、
以下の内容を紹介しています。
・【無料オープンソース】「 マルウェア 」対策ツール 11選
コンテンツ
【無料オープンソース】「 マルウェア 」対策ツール 11選
①ウイルス対策ツールキット「ClamAV」
概要
「ClamAV」は、オープンソースのウイルス対策ツールキットです。
「トロイの木馬」「ウイルス」「マルウェア」「Microsoft Officeマクロウイルス」「その他脅威」を検出します。
「Windows」「MacOS X」「Linux」「BSD」などで利用できます。
特徴
・柔軟スケーラブルなマルチスレッドデーモン
・パッケージコア=共有ライブラリ形式で利用可能なアンチウイルスエンジン
・コマンドラインスキャナー
・データベース自動更新用ツール
・リアルタイム保護機能(Linuxのみ)
・署名データベースにより「信頼できる署名定義」のみを実行
・アーカイブ(圧縮ファイル)スキャン機能
オフィシャルサイト
→github.com →Cisco-Talos/clamav
②PHPベースアンチマルウェアソリューション「phpMussel」
概要
「phpMussel」は、PHPベースアンチマルウェアソリューションです。
PHPスクリプトとして動作し、システムにアップロードされたファイル内の「トロイの木馬」「ウイルス」「マルウェア」「その他脅威」を検出します。
特に、従来型ウイルス対策ソリューションを利用できないケースが多い「共有ホスティング環境」において、有効に利用できます。
特徴
・「インストール」「カスタマイズ」「利用」が簡単
・OS非依存 :PHP+PCREがインストールされているすべてのシステムで動作
・シェルアクセスは不要
・管理者権限は不要
・ニーズに合わせたカスタマイズ性
・強力で安定したサポートベース
オフィシャルサイト
→github.com →phpMussel/phpMussel
③Linux用マルウェアスキャナー「Linux Malware Detect」
概要
「Linux Malware Detect」(LMD)は、Linux用のマルウェアスキャナーです。
「共有ホスト環境で直面する脅威対策」を中心に設計されています。
ネットワークエッジ侵入検知システムからの脅威データを使用して、攻撃で積極的に使用されているマルウェアを抽出し、検出用のシグネチャを生成します。
特徴
・MD5ファイルハッシュ検出 :脅威を迅速に特定
・HEXベースパターンマッチング :脅威亜種を特定
・統計分析コンポーネント :難読化脅威を検出
・ClamAV統合検出
・スキャン結果検疫バッチオプション
・Linuxカーネルサブシステムモニター機能 :システムユーザーを監視
オフィシャルサイト
→github.com →rfxn/linux-malware-detect
→rfxn.com →projects →linux-malware-detect
④POSIX互換環境用マルウェアブロックスクリプト「Hostsblock」
概要
「Hostsblock」は、POSIX互換環境用マルウェアブロックスクリプトです。
「/etc/hostsファイル」を利用して「脅威の可能性があるコンテンツ」をシステム全体でブロックするように設計されています。
「Linux」「BSD」「macOS」などにおいて利用できます。
特徴
・非特権ユーザーとして実行
・定期的バックグラウンドジョブとして実行可能
・systemdサービスファイル :バックグラウンドプロセスを大幅にサンドボックス化
・プロキシされていないすべての接続はHOSTSファイルを使用
・zip(7zip)で圧縮されたファイルを処理
・柔軟構成 :「拒否/許可リスト」「後処理スクリプト」
・DNSキャッシングを使用する高性能ブロッキング
・リダイレクトによるDNSキャッシュポイズニング対策
オフィシャルサイト
→github.com →gaenserich/hostsblock
⑤マルウェアサンプル識別分類サポートツール「YARA」
概要
「YARA」は、マルウェアサンプル識別分類サポートツールです。
主に、マルウェア研究者の利用が想定されています。
「Windows」「Linux」「Mac OS X」で利用できます。
特徴
・テキスト(バイナリパターン)に基づいてマルウェアファミリの説明作成をサポート
・各説明(別名ルール)は「文字列セット」+「そのロジックを決定するブール式」で構成
・yara-python拡張子を持つ独自Pythonスクリプトからの使用も可能
オフィシャルサイト
⑥モバイルアプリ向けセキュリティ評価フレームワーク「Mobile Security Framework」
概要
「Mobile Security Framework」(MobSF)は、オールインワン自動化セキュリティ評価フレームワークです。
「Android」「iOS」「Windows」アプリに対して、各種セキュリティテストを実施できます。
・侵入テスト
・マルウェア分析
・静的分析
・動的分析
特徴
・モバイルアプリのバイナリサポート :「APK」「XAPK」「IPA」「APPX」
・圧縮されたソースコードをサポート
・REST API を提供
・開発パイプラインとのシームレスな統合 :「CI/CD」または「DevSecOps」
・「Dynamic Analyzer」 :「ランタイムセキュリティ評価」「対話型計測テスト」を実行
動的アナライザー
■Genymotion Android
・摩擦を最小限に抑えてセットアップできる優先動的解析環境
・MobSF開始する前に「Genymotion Android VM」を実行
・すべてが実行時に自動的に構成される
・「Android 7.0以降」推奨
■Android Studio Emulator
・GooglePlayストアの「Android Emulatorイメージ」はMobSFでは使用不可
・GooglePlayストアなしで「Android仮想デバイス」を作成
■Genymotion Cloud Android
・Genymotion Android VM をクラウドで実行
・adb経由で接続
・すべてが実行時に自動的に構成
・「Android 7.0以降」推奨
動作環境
■以下の環境でテスト済み
・Windows 10
・Ubuntu(18.04、19.04)
・macOS Catalina
オフィシャルサイト
→github.com →MobSF/Mobile-Security-Framework-MobSF
⑦マルウェア分析環境テストツール「Pafish」
概要
「Pafish」は、マルウェアファミリと同じ方法で「仮想マシン」と「マルウェア分析環境」を検出するテストツールです。
特徴
・プロジェクトは無料でオープンソース
・すべての分析防止手法のコードは公開されている
・Windows用実行可能ファイルをダウンロード可能
プロジェクトの目標
・マルウェアサンプルで一般的に観察される手法を収集して、分析システムを回避する
・アナリストはそれらを調査し、分析環境が適切に実装されているかどうかをテストできる
動作環境
以下の環境でコンパイルして利用できます。
・Windows
・GNU/Linux
オフィシャルサイト
⑧PEファイルチェック用Pythonツール「pestudio-cli」
概要
「pestudio-cli」は、「既知悪意パターンに該当するPEファイル」を分析するための「Pythonベースコマンドラインツール」です。
特徴
■対象ファイルをマルウェア検査Webサイト「VirusTotal」に送信 :結果概要をユーザーに提示
・PEファイルを「既知悪意プログラムの署名」と照合
・バイナリが「ブラックリストに登録されたライブラリ/インポート」を使用しているかチェック
・疑わしいリソースをチェック
・バイナリ文字列から「ブラックリストに登録された値」を検出
・PEファイルに関する異常を強調表示
・「PEファイルに100を超える機能が存在するか?」をチェック
・さまざまな「疑わしい値」をチェック
・yara-pythonライブラリを呼び出してyaraルールのサポートを含める
・複数の出力形式をサポート
動作環境
Python動作環境が必要です。
オフィシャルサイト
→github.com →KuechA/pestudio-cli
⑨実行可能ファイル機能検出「capa」
概要
「capa」は、実行可能ファイル内の機能を検出できるツールです。
悪意のあるプログラムを分析するために利用できます。
・バックドアが開かれている可能性
・サービスをインストールする可能性
・HTTPに依存している可能性 など
開発コミュニティは、マルウェアとして確認された「動作」「エンコード」「認識」などについて共有するためのフレームワークを提供しています。
特徴
■サポート実行可能ファイル
・PE(Portable Executable) :Windows用の「実行ファイル」「オブジェクトファイル」「DLL」
・ELF(Executable and Linking Format) :コンパイラが生成する「オブジェクト」「ライブラリ」「実行ファイル」
・.NET モジュール
・シェルコードファイル
■capaルール
・プログラム内の機能を識別するためのルール
・リバースエンジニアリングの初心者でも簡単に記述可能
・実行可能ファイル検査時にルールの内容を解釈
・ルール追加によりcapa認識機能を拡張
■制限事項
・「パッケージ化プログラム」「インストーラー」「ランタイムプログラム」は認識精度が落ちる
オフィシャルサイト
⑩【NSA製】リバースエンジニアリングフレームワーク「Ghidra」
概要
「Ghidra」は、ソフトウェアリバースエンジニアリング(SRE)フレームワークです。
「Windows」「macOS」「Linux」などのさまざまなプラットフォームでコンパイルされたコードを分析できるフル機能のハイエンド分析ツールが含まれています。
特徴
■「NSA」(National Security Agency)(米国国家安全保障局)によるSREフレームワーク
・NSAのサイバーセキュリティミッションをサポート
・カスタマイズ可能で拡張可能なSRE研究プラットフォーム
・複雑なSREの取り組みにおけるスケーリングとチーム化の問題解決を目指す
■SREアナリスト向けの深い洞察を生成
・悪意のあるコードの分析
・ネットワークやシステムの潜在的な脆弱性をよりよく理解
■主な機能
・逆アセンブリ
・アセンブリ
・逆コンパイル
・グラフ作成
・スクリプト作成
・※その他の数百の機能
オフィシャルサイト
→github.com →NationalSecurityAgency/ghidra
⑪【UNIXライク】リバースエンジニアリングフレームワーク「Radare2」
概要
「Radare2」は、「UNIXライクなリバースエンジニアリングフレームワーク」および「コマンドラインツールセット」です。
リバースエンジニアリングタスクを容易にする一連の「ライブラリ」「ツール」「プラグイン」が提供されています。
「Windows」および「UNIXライクOS」で動作します。
ユースケース
・フォレンジック
・ソフトウェアリバースエンジニアリング
・エクスプロイト
・デバッグ など
特徴
・「バッチ実行」「コマンドライン実行」「ビジュアル対話型」モード
・組み込みWebサーバ :「jsスクリプト」+「WebUI」をサポート
・ネイティブデバッガ機能 :「GDB」「WINDBG」「QNX」「FRIDA」
・コントロールフローグラフ
・バイナリへのパッチ適用
・検索機能 :「パターン」「マジックヘッダー」「関数シグネチャ」
オフィシャルサイト
→github.com →radareorg/radare2
【お知らせ】ITセミナー「マジセミ」のご紹介
「 マジセミ 」では、日々、多くのIT関連セミナーを開催しています。
参加者のみなさまのために「本当に役立つ情報の提供」を目標としています。
また、「 マジセミ 」を通じて、デジタル関連プロダクト(サービス)との「新たな出会いの場」「新たな体験の場」を創造することで、「IT業界の発展」「製造業の発展」「エンジニアの活躍促進」の実現を目指しています。
多くのセミナーの中から「ご自身のスキルやビジネスを強化できるセミナー」を見つけて、ぜひ一度、ご参加ください。
参考サイト
→comparitech.com →「10 Best Malware Analysis Tools for 2022」
→helpnetsecurity.com →「7 open-source malware analysis tools you should try out」
→linuxlinks.com →「10 Best Free and Open Source Anti-Malware Tools」
→how2shout.com →「10 popular Open-Source Tools to Secure Your Linux Server in 2022」
この記事のタグ一覧
フリーワード検索
カテゴリー一覧
アクセスランキング
- 🏆ランク1位🏆
【AIツール実験室】楽曲作成ツール「 Suno AI 」〜AI生成ミュージックフェス〜 - 🏆ランク2位🏆
【無料で使える】「 ドキュメント管理 」ツールまとめ - 🏆ランク3位🏆
【無料で使える】「 翻訳 」ツールまとめ - 🏆ランク4位🏆
【AIツール実験室】画像生成AIツール「 Emi 」(前編) - 🏆ランク5位🏆
【無料で使える】「 暗号化 」ツールまとめ - 🏆ランク6位🏆
【無料で使える】「 プロジェクト管理 」ツールまとめ - 🏆ランク7位🏆
【ツール紹介】無料オープンソース「 ビデオ監視 ツール 」まとめ3選 - 🏆ランク8位🏆
【無料で使える】「 OCR 」ツールまとめ - 🏆ランク9位🏆
【OSS情報】ディスクイメージング(クローニング)ツール「 Clonezilla 」 - 🏆ランク10位🏆
【OSS情報アーカイブ】Open Lowcode