Wiresharkとは

　ネットワークトラフィックを解析することができる無償ソフトウェア。通信パケットの分析ができる。

e-words.jp

Wiresharkおすすめのチュートリアル

　マルウェアが生成するネットワーク トラフィックを解析する場合に役に立つチュートリアル。全部で12回くらいある。1回ごとのチュートリアルがサイト内でつながってないので、Google検索で「Wireshark によるパケット解析講座 」と講座毎に検索すると良い。

• Wireshark によるパケット解析講座 1 - Palo Alto Networks

　一通り、このチュートリアルで学習すると、マルウェアのパケットに現れる特徴が学習できる楽しいチュートリアルになっている。

　大まかなチュートリアルの構成

• Wireshark によるパケット解析講座 1~4
  • マルウェアのパケット分析に役立つ設定や基本的な使い方について学ぶ。
• Wireshark によるパケット解析講座 5~
  • 各マルウェアの感染調査についての解説

マルウェアのトラフィックを収集したPCAPファイルを入手できるサイト

　Wiresharkで実際にマルウェアのパケットを読んでみたい場合、以下のようなサイトのPCAPファイルが利用すると良いかもしれない。twitter上では、bradさんという方がいる。このかたは、IOCやマルウェアの通信の痕跡を見つけると、レポート共にその解析ファイルごと自分のブログ（Malware-Traffic-Analysis.net）にあげている。二番煎じになるけど、追うだけでも楽しい。

　ちなみに、更新ペースがすごい。どこからこんなモチベーションが湧いてくるのか。一体何者なのか。とても気になる。世の中、尊敬できる人、すごい人いっぱいいる。楽しい。

• Malware-Traffic-Analysis.net

• BroadAnalysis – Threat Intelligence and Malware Research

自分の研究に利用

　Broad Analysisは、過去流行ったExploit Kitの調査で利用した。具体的には、HTTPプロトコルを参照して、EKの作った悪性ウェブサイトのURLを抜き出した。そのURLに含まれる固定文字列の特徴を攻撃を検知する指標として利用できないか考察した。過去、固定文字列の特徴が現れていたのだが、現在はURLが不規則に変化するように進化しており、固定文字列を利用した単純なアクセスブロックなどができないことがわかった。 

　サイトに訪れたら強制的にマルウェアをダウンロードさせるDBD攻撃は、どのような対策が考えられるのか、ブロックできるのか、もうちょっと知りたい。怪しいサイトに訪れないこと以外にもっと直接的なアプローチはないのかな。