ファイル識別

file sample.exe sha256sum sample.exe

文字列抽出

strings -a sample.exe | head -100 FLOSS sample.exe # 難読化された文字列

パッカー検出

diec sample.exe # Detect It Easy exeinfope sample.exe

インポート分析

rabin2 -i sample.exe dumpbin /imports sample.exe

### フェーズ 3: スタティック分析
1. **ディスアセンブラにロード**: IDA Pro、Ghidra、または Binary Ninja
2. **主要機能を特定**: エントリーポイント、WinMain、DllMain
3. **実行フローをマップ**: 重要な判断分岐、ループ
4. **機能を識別**: ネットワーク、ファイル、レジストリ、プロセス操作
5. **IOC を抽出**: C2 アドレス、ファイルパス、ミューテックス名

### フェーズ 4: ダイナミック分析

1. 環境セットアップ:

   • 一般的なソフトウェアがインストールされた Windows VM
   • Process Monitor、Wireshark、Regshot
   • API Monitor または ロギング機能付き x64dbg
   • INetSim または FakeNet でネットワークシミュレーション

2. 実行:

   • 監視ツールを開始
   • サンプルを実行
   • 5～10 分間の動作を観察
   • 機能をトリガー (ネットワーク接続など)

3. ドキュメンテーション:

   • 試みられたネットワーク接続
   • 作成・変更されたファイル
   • レジストリ変更
   • 生成されたプロセス
   • 永続化メカニズム

## このスキルを使用する場合

- ファイル識別タスクやワークフローに取り組んでいる場合
- ファイル識別のガイダンス、ベストプラクティス、チェックリストが必要な場合

## このスキルを使用しない場合

- タスクがファイル識別と無関係である場合
- このスコープ外の異なるドメインやツールが必要な場合

## 指示

- 目標、制約、必要な入力を明確にする
- 関連するベストプラクティスを適用し、成果を検証する
- 実行可能なステップと検証を提供する
- 詳細な例が必要な場合は、`resources/implementation-playbook.md` を開く

## 一般的なマルウェア技術

### 永続化メカニズム

レジストリ Run キー - HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run スケジュール済みタスク - schtasks、Task Scheduler サービス - CreateService、sc.exe WMI サブスクリプション - 実行用イベントサブスクリプション DLL ハイジャッキング - 検索パスに DLL を配置 COM ハイジャッキング - レジストリ CLSID 修正 スタートアップフォルダ - %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup ブートレコード - MBR/VBR 修正

### 回避技術

Anti-VM - CPUID、レジストリチェック、タイミング Anti-debugging - IsDebuggerPresent、NtQueryInformationProcess Anti-sandbox - スリープ加速検出、マウス移動検出 パッキング - UPX、Themida、VMProtect、カスタムパッカー 難読化 - 文字列暗号化、制御フローフラット化 プロセスホローイング - 正規プロセスへの注入 Living-off-the-land - 組み込みツール使用 (PowerShell、certutil)

### C2 通信

HTTP/HTTPS - Web トラフィックでカモフラージュ DNS トンネリング - DNS クエリ経由のデータ流出 ドメイン生成 - 耐性のある C2 用 DGA Fast flux - 急速に変わる DNS Tor/I2P - 匿名性ネットワーク ソーシャルメディア - Twitter、Pastebin を C2 チャネルとして使用 クラウドサービス - 正規サービスを C2 として使用

## ツール習熟度

### 分析プラットフォーム

Cuckoo Sandbox - オープンソース自動分析 ANY.RUN - インタラクティブクラウドサンドボックス Hybrid Analysis - VirusTotal の代替 Joe Sandbox - エンタープライズサンドボックスソリューション CAPE - 機能拡張された Cuckoo フォーク

### 監視ツール

Process Monitor - ファイル、レジストリ、プロセスアクティビティ Process Hacker - 高度なプロセス管理 Wireshark - ネットワークパケットキャプチャ API Monitor - Win32 API コールロギング Regshot - レジストリ変更比較

### アンパッキングツール

Unipacker - 自動アンパッキングフレームワーク x64dbg + plugins - IAT 再構築用 Scylla OllyDumpEx - メモリダンプと再構築 PE-sieve - ホローされたプロセスを検出 UPX - UPX パック済みサンプル用

## IOC 抽出

### 抽出するインジケータ
```yaml
ネットワーク:
  - IP アドレス (C2 サーバー)
  - ドメイン名
  - URL
  - User-Agent 文字列
  - JA3/JA3S フィンガープリント

ファイルシステム:
  - 作成されたファイルパス
  - ファイルハッシュ (MD5、SHA1、SHA256)
  - ファイル名
  - ミューテックス名

レジストリ:
  - 変更されたレジストリキー
  - 永続化場所

プロセス:
  - プロセス名
  - コマンドライン引数
  - 注入されたプロセス

YARA ルール

rule Malware_Generic_Packer
{
    meta:
        description = "Detects common packer characteristics"
        author = "Security Analyst"

    strings:
        $mz = { 4D 5A }
        $upx = "UPX!" ascii
        $section = ".packed" ascii

    condition:
        $mz at 0 and ($upx or $section)
}

レポーティングフレームワーク

分析レポート構造

# マルウェア分析レポート

## エグゼクティブサマリー
- サンプル識別
- 主要な知見
- 脅威レベルの評価

## サンプル情報
- ハッシュ (MD5、SHA1、SHA256)
- ファイルタイプとサイズ
- コンパイルタイムスタンプ
- パッカー情報

## スタティック分析
- インポートとエクスポート
- 関心のある文字列
- コード分析の知見

## ダイナミック分析
- 実行動作
- ネットワークアクティビティ
- 永続化メカニズム
- 回避技術

## 侵害の指標
- ネットワーク IOC
- ファイルシステム IOC
- レジストリ IOC

## 推奨事項
- 検出ルール
- 軽減措置
- 修復ガイダンス

倫理的ガイドライン

適切な使用

• インシデント対応とフォレンジックス
• 脅威インテリジェンスリサーチ
• セキュリティ製品開発
• 学術研究
• CTF コンペティション

決して支援しない

• マルウェアの作成・配布
• 認可されていないシステムへの攻撃
• セキュリティ製品の悪意ある回避
• ボットネットまたは C2 インフラストラクチャの構築
• 適切な認可のないいかなる攻撃的操作

対応アプローチ

1. コンテキストを検証: 防御的/認可された目的を確認する
2. サンプルを評価: 何を扱っているかを理解するための迅速なトリアージ
3. アプローチを推奨: 適切な分析方法論
4. 分析をガイド: 安全考慮事項を含むステップバイステップ指示
5. 価値を抽出: IOC、検出ルール、理解
6. 知見をドキュメント化: ステークホルダー向けの明確なレポート

制限事項

• このスキルは、タスクが上記で説明されたスコープと明確に一致する場合にのみ使用してください
• 出力を環境固有の検証、テスト、または専門家レビューの代替とは見なさないでください
• 必要な入力、権限、安全境界、または成功基準が不明な場合は立ち止まり、明確化を求めてください