コンテンツへスキップ
ホーム » Criminalip-Volatility3プラグインのインストール・利用ガイド

Criminalip-Volatility3プラグインのインストール・利用ガイド

今回の記事はVolatilityメモリフォレンジックにCriminal IPの脅威インテリジェンスデータを使う方法について紹介します。脅威インテリジェンスデータが連動された Criminal IP Volatility プラグインをインストールし、利用する方法を説明します。

Criminalip-Volatility3プラグインの概要はCriminal IP Volatilityの統合事例Criminal IPの公式GitHubリポジトリをご参考ください。

Criminalip-Volatility3プラグインのインストール方法

1. Criminal IP Volatility の統合事例ページでプラグインをダウンロードする

Criminal IP APIの統合事例ページでVolatilityを確認できます。

Criminal IP Volatility
Criminal IP APIの統合事例ページ、Volatilityとの連動事例が紹介されている

Criminal IP APIの統合事例ページでVolatilityのロゴをクリックすると、Volatilityとどのように統合されたかに加えてプラグインの簡単な紹介と使い方が説明されています。

Criminal IP Volatility
Criminal IP APIとVolatilityの統合事例

次はCriminalip-Volatility3プラグインをダウンロードするためにGitHubに移動します。API統合事例ページの右上の「GitHubへ移動する」ボタンをクリックしてください。

GitHubにアクセスした後、「Code」ボタンをクリックするとZIPファイルをダウンロードできます。

Criminal IP Volatility
Criminal IPの公式GitHubからCriminalip-Volatility3プラグインのZIPファイルをダウンロードする

2. ダウンロードしたプラグインファイルをVolatiltiy3フォルダにインストールする

ZIPファイルをダウンロードした後、圧縮ファイルを解凍します。解凍した「Criminalip-Volatility3-Plugins-main」ファイルに存在する「Criminlaip」フォルダがCriminalip-Volatility3プラグインのコードが含まれている部分です。

この「Criminlaip」ファイルをコピーして「voltaility3」フォルダの「/volatility3/volatility3/plugins」に貼り付けます。

Criminal IP Volatility
「/volatility3/volatility3/plugins」フォルダに貼り付けた「Criminalip」フォルダ

3. DB構成でCriminalip-Volatility3プラグインの設定を完了する

プラグインのコードが存在する「Criminlaip」ファイルを上記の場所に移動したら、次はDBを構成します。まず、alembicをインストールする必要があります。

pip install alembic
alembic init practice

alembicのインストールが完了されたら、alembic.iniファイルで「sqlalchemy.url」を見つけ、下記のように変更します。

  • 変更前:sqlalchemy.url
  • 変更後:sqlalchemy.url = sqlite:///db_file.db
Criminal IP Volatility
「sqlalchemy.url」の内容を見つけ、「sqlalchemy.url = sqlite:///db_file.db」に変更

たまにすべての設定を完了した後でもDBに内容が存在しないと表示されたら、alembic.iniファイルの3行目の名称が「alembic」になっているか確認してください。もし、名称が作成されていない場合、下の画像のように「alembic」を作成してください。

Criminal IP Volatility
設定後もDB内容が存在しない場合、alembic.iniファイルの3行目に表示された名称を確認する

alembicのインストールと設定が完了されたら、volatility3の位置にpracticeファイルとdb_file.dbが存在することが確認できます。Criminalip-Volatility3-Plugins-mainファイルに存在するpracticeファイルとdb_file.dbをvolatility3へコピーします。

コピーが完了されたら、下記のコマンドを実行します。下記のコマンドはデータベースの現在のスキーマバージョンを最新バージョンにアップグレードするコマンドで、変更されたデータベーススキーマとコードベース間の一貫性を維持するために実行します。

alembic upgrade head

Criminal IP-Volatility3 Pluginsの設定が完了されました。これからプラグインを実際に活用してみます。

Volatilityメモリダンプファイルの生成

Windows基準でメモリダンプファイルを生成してみます。ダンプファイルを生成するために、FTK Imagerを使います。FTK Imagerを実行したら、以下のような画面が確認できます。この画面で赤い丸がついている部分をクリックします。

メモリキャプチャのポップアップウィンドウが生成されたことが確認できます。この画面でダンプファイルとして作成したい部分の領域を「Browse」をクリックして選択します。この時、ダンプファイル名は好きな名前に変更しても大丈夫です。すべての選択が完了されたら、「Capture Memory」ボタンをクリックします。

もし、「Capture Memory」をクリックした後、以下の画像のようなポップアップウィンドウが表示されたら、FTK Imagerを管理者権限で実行した後、メモリダンプファイルを生成する手順に従ってください。

「Capture Memory」をクリックした時、正常に以下のような画面が表示されたら、メモリキャプチャが正常に行われていることを意味します。

「Status」が100%になると、Status部分に「Memory capture finished successfully」という案内文が表示されます。この案内文が表示されたら、ポップアップウィンドウを閉じてください。

ダンプファイルが生成された「C:\<設定されたパス>\」を確認してみると、下の画像の赤いボックスに表示されたようにダンプファイルが生成されたことが確認されます。

生成されたダンプファイルでCriminalip-Volatility3プラグインを実行してみます。

Criminalip-Volatility3プラグインの実行

Criminalip-Volatility3プラグインは、次のように2つの構成に分類されます。IPアドレスに関する情報を確認できる「criminalipip」プラグインと、悪意のあるURLを簡単に識別できる「criminalipdomain」プラグインです。

この2つのプラグインを通じて悪性情報だけを識別したい場合は、「criminalipip」プラグインでは「malIP」オプションを使用し、「criminalipdomain」プラグインでは「malD」オプションを活用して悪性情報を検出することができます。

1. criminalipipプラグインで悪意のあるIPアドレス情報を識別する

メモリダンプファイル内で確認した外部IPアドレスの危険レベルをCriminal IPで診断した情報を通じて確認できます。

python vol.py -f “” Criminalip.criminalipip

「–malIP」オプションを使用して、危険レベルの高い情報だけを抽出して表示します。

python vol.py -f “” Criminalip.criminalipip –malIP

2. criminalipdomainプラグインで悪意のあるURL情報を識別する

プロセスの仮想メモリに存在するURLの危険レベルをCriminal IPで診断したフィッシング情報を通じて確認できます。

「–malD」オプションを使用して危険レベルの高い情報だけを抽出して表示します。

もし、より直観的に悪性情報を確認したい場合は、「–Hardware」オプションを追加することができます。

このようにCriminal IP APIが連動されたVolatilityプラグインのインストールと実行方法を調べてみました。Criminalip-Volatility3プラグインのインストール方法はCriminal IPの公式YouTubeチャンネルの動画でも確認できます。

次の記事ではCriminalip-Volatility3プラグインを実際のメモリ分析に活用した事例を紹介します。


当レポートはイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。Criminal IP Volatilityの統合事例Criminal IPの公式GitHubをご参考にし、メモリフォレンジックに有用なCriminalip-Volatility3プラグインをご利用いただけます。

関連してCriminal IP APIをSTIXに連動して脆弱性を分析する方法をご参照ください。

ご参照:

タグ:

コメントを残す

%d