9章Linuxでのマルウェアの検知と解析

　ほとんどの状況下では、メモリフォレンジックの目標は悪意のある挙動の発見です。TrendMicro（https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/a-look-at-linux-threats-risks-and-recommendations）とGroup-IB（https://www.group-ib.com/media-center/press-releases/ransomware-2021、https://blog.group-ib.com/blackmatter）の研究によると、Linuxシステムに対する攻撃は増加しており、攻撃者はLinuxシステムを標的とする特別なソフトウェアを攻撃に活用しています。例えば、BlackMatter、RansomExx、Hiveのようなランサムウェアの管理者は、Linuxに対応したバージョンを用意しています。さらに、ポストエクスプロイトフレームワークや様々なスクリプトも、Linuxシステムの攻撃に用いられています。同時に、脆弱性に対する攻撃や設定不備の悪用は、特にWebアプリケーションに関して言えば、最も一般的な初期アクセスの手法です。

　主な挙動はWindowsと大差ありません。ネットワーク接続、プロセスインジェクション、特殊なリソースへのアクセスなどを中心に調査します。この章では、具体的な例を挙げながら、様々な解析手法を分解して解説を進めます。

　この章の内容：

• ネットワーク的な挙動の調査
• 悪意のある挙動の解析
• カーネルオブジェクトの調査

9.1　ネットワーク的な挙動の調査 ...