5章Windowsでのマルウェアの検知と解析

　メモリダンプの解析により、ユーザの挙動が解析できるだけではなく、被害者の端末に侵入した攻撃者の挙動も解析できます。この場合は、不正なプロセス、ネットワーク接続、コードインジェクションなどをはじめとする、マルウェアや攻撃者による、悪意のある挙動の追跡が求められます。最近のマルウェアはディスク上にできるだけ痕跡を残さない傾向があり、攻撃者はPowerShellやバッチスクリプトを使ってステルス性を保とうとするため、メモリ解析はフォレンジック調査の重要な要素になってきています。

　この章では、Windowsレジストリ、イベントログ、ファイルシステムなどのメモリ内のアーティファクトを使って、ネットワーク接続およびアクティブプロセス内の悪意のある活動の痕跡を検索する方法について解説します。

　この章の内容：

• 悪性プロセスの探索
• コマンドライン引数の解析
• ネットワーク接続の調査
• ペイロードが注入されたプロセスの調査
• 永続化の痕跡の探索
• タイムラインの作成

5.1　悪性プロセスの探索

　メモリダンプの作成時に稼働しているプロセスを解析して、ユーザの挙動を特定する方法はすでに解説しました。攻撃者の痕跡の探索にも同様の手法が適用できますが、ここでは、悪意のある行為の特定に役立つ指標の検出に焦点を当てます。WebブラウザやMicrosoft Officeなどのソフトウェアは、ユーザの直近の挙動を追跡するというよりも、初期アクセスの痕跡を残す潜在的な情報源です。また、クラウドストレージに関連するプロセスは、データ流出への悪用という観点で調査します。調査の主な目的は、悪意のある挙動の痕跡や異常な動作（見慣れない名前や引数が設定されていたり、普通ではない挙動をするプロセスなど）の検出です。まずは、プロセスの名前という分かりやすい指標から解説しましょう。 ...