怪しいファイルの見分け方

ITサービス課の小松です。
今回はセキュリティについて記事を書いてみました。

昨今よく耳にするウィルスについての話題ですが、実際どういった経路からシステムに侵入してくるのか。
その手口について触れてみたいと思います。

今回は弊社に届いたウィルス付きのメールをもとに、どんなウィルスが添付されているのか調べてみました。

実際に届いたメールが以下のメールです。
写真と思われるファイルがzip形式で添付されており、本文には「フォト」、送信元のアドレスが弊社社員と同じ名前といういかにもなメールです(笑)。
画像1

実際に添付されていたファイルを注意を払って作業用に用意したマシンで確認してみました。
画像2

添付されていたファイルを他の画像ファイルと並べて比較してみました。
勘の良い方は気づかれたかもしれませんが、おかしな点が2点あります。
1.ファイルのアイコンが画像形式ではない
2.問題のファイルのみファイル拡張子が表示されている

上記のように無害なファイルを装ったウィルスには、注意して確認していればすぐに気づくことができる不審な点が存在しているケースが少なからず見受けられます。

より詳しい情報を得るため、ファイルを作業用のLinuxマシンで調べてみます。
画像4

ファイルを確認してみると、実際の拡張子は「.exe」 種類はWindows実行ファイルとなっています。
問題のファイルを特定するためファイルのHASH値を確認します。

ウィルスの名称はメール受信者の興味を引くような内容に書き換えられています(例えば請求書、契約書などPDFやWordに偽造したものが多い)
ですから、データの内容をHASH値から分析します。
ファイルの名称が違っていてもデータの内容が1bit違わず同じであれば、既存のウィルスのHASH値と比較して同じHASH値のウィルスを特定し、正体を突き止めることができます。
画像5

md5sumコマンドを使って求めたHASH値の値が
f4b61f8a65507699c098718bb720418a
このHASH値をvirustoalというサービスを使って確認します。
画像6

怪しいファイルやURLをさまざまの会社のアンチウィルスエンジンを使って分析してくれるサイトです(アンチウィルスのセカンドオピニオンだと思ってください)
今回は「Search」を使ってHASH値からファイルを調べます。
画像7

入力フォームに問題のファイルHASH値を入力し、「Search it!」を押します。
すると下記のようにファイルの解析結果が表示されます。
画像8

今回のファイルが「トロイの木馬」と呼ばれるウィルスの一種であることが確認できました。
このウィルスの詳細なファイルの解析結果は下記から確認できます。

https://www.virustotal.com/en/file/884fccbbfa5a5b96d2e308856b996ee20d9656d04505fb3cdf926270f5d11c28/analysis/

いかがだったでしょうか。
エンジニアが実際にどのように調査を行っているか、参考になったでしょうか。

今回はウィルスの調査方法を解説しましたが、実際には怪しいファイルはくれぐれも開いてはいけません。

Share on Facebook0Tweet about this on Twitter0Share on Google+0Share on LinkedIn0Pin on Pinterest0
Tagged on: , ,