FLOSS

FLOSS(FireEye Labs Obfuscated String Solver)は、Windows PE(Portable Executable)ファイル内の難読化された文字列を自動的に検知、抽出、デコードするオープンソースのツールです。このツールを利用すれば、マルウェア・アナリストやフォレンジック調査担当者、インシデント対応担当者は機密性の高い文字列を迅速に抽出し、セキュリティ侵害の証拠や痕跡(IOC: 侵害インジケーター)を見つけ出せます。

マルウェアの作成者は、悪意のある機能を隠蔽し、リバース・エンジニアリングを妨げるため、プログラム内の文字列をエンコードします。単純なエンコーディングでも、「Strings」ツールを無効にし、静的および動的解析を困難にします。エンコードされたこうした文字列も、エミュレーションなどの高度な静的解析技術を使用するFLOSSなら解読できます。

FLOSSから出力される情報により、インシデント対応担当者とフォレンジック・アナリストは、バイナリで見つかった文字列を正確に解釈できます。不正なドメイン、IPアドレス、疑わしいファイルのパスなどのIOCをはじめ、難読化される文字列には通常、特に機密性の高い構成リソースが含まれるため、FLOSSが抽出する情報はより価値の高いものとなります。

リリース・ノート

最新バージョン:FLOSS 1.5
公開日:2017年5月8日

FLOSS 1.5は、誤検知されたデコード済み文字列のフィルタリング、ヒューリスティック技術の改善、stackstringsの抽出機能の強化、さらなるAPIフック、エミュレーションの適用範囲拡大という特長を備えています。

  • サポートされるオペレーティング・システム:Windows、Linux、macOS

FLOSSをダウンロード