MalConfScan-with-Cuckoo は既知のマルウェアの設定情報を抽出する Cuckoo Sandbox のプラグインです。 Cuckoo Sandbox（以下、Cuckoo） はマルウエアを動的に解析するオープンソースのサンドボックスシステムです。このプラグインはサンドボックスでマルウエアが実行された際のメモリイメージをサーチし、既知のマルウエアの設定情報を抽出します。このプラグインは、MalConfScanをCuckooに組み込み、Cuckooに登録された各検体ごとにマルウエア実行時のメモリを分析します。このプラグインを導入するには、Cuckooが稼働しているサーバに Volatility、Yara、 MalConfScan をインストールする必要があります。

図: マルウエアHimawari(RedLeaves亜種) をMalconfscan-with-Cuckooで分析した結果

MalConfScan-with-Cuckoo では以下のマルウエアの設定情報やデコードされた文字列、DGAで生成されるドメインを抽出します。

• Ursnif
• Emotet
• Smoke Loader
• PoisonIvy
• CobaltStrike
• NetWire
• PlugX
• RedLeaves / Himawari / Lavender / Armadill / zark20rk
• TSCookie
• TSC_Loader
• xxmm
• Datper
• Ramnit
• HawkEye
• Lokibot
• Bebloh (Shiotob/URLZone)
• AZORult
• NanoCore RAT
• AgentTesla
• FormBook
• NodeRAT (https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html)
• njRAT
• TrickBot
• Remcos
• Pony