株式会社ラックは10月18日、マルウェアに含まれるアンチデバッグ機能を自動的に識別するツール「AntiDebugSeeker」を開発し、IDA Plugin Contest 2023に提出したと発表した。 同社サイバー救急センターの武田貴寛氏が開発した。
2009年から毎年開催されている IDA Plugin Contestは、その年のIDAプラグイン上位3位を決めるコンテスト。
多くのマルウェアでは、解析を困難にすることを目的としたアンチデバッグという機能を持っていることがあり、多くの被害組織が出るばらまき型メールで拡散するマルウェアや流行しているランサムウェアでは、複数のアンチデバッグ機能の実装を確認している。
「AntiDebugSeeker」は、マルウェア解析を始めて間もない研究者や、アンチデバッグに壁を感じている技術者も直感的に使えるよう、武田氏はシンプルで分かりやすいUIを心掛け、作成している。
同ツールは、マルウェアが使用している可能性のあるアンチデバッグ機能を自動的に識別し、抽出でき、主な機能として下記の2つを備えている。
・マルウェアによってアンチデバッグに使用されている可能性のあるWindows APIを抽出
・Windows APIに加え、キーワードをトリガーとして使用することで、Windows API呼び出しのみでは識別できないアンチデバッグ機能を抽出
また、ルールを定義したファイルは、簡単に検知したいキーワードやAPIを追加できるため、ツールを使用する方が自由にルールを変更、追加できる。
同ツールはGitHubで公開している。同社記事では同ツールの使い方についても解説している。
