初心者向けマルウェア解析チュートリアルをPalo Alto Networksが公開：セキュリティニュースアラート

Palo Alto Networksがツールを用いて感染チェーン全体を解析する教育資料を公開した。静的・動的解析を通じ、マルウェアの動作や検知回避技術を詳細に解説し、解析初心者にも実践的スキルを習得させる構成となっている。

[後藤大地，有限会社オングス]

　Palo Alto Networksは2025年8月14日（現地時間）、マルウェア解析の教育的リソースとして「Mega Malware Analysis Tutorial Featuring Donut」を公開した。

　同チュートリアルでは「Donut」というツールを利用するマルウェアサンプルを題材に、1つの感染チェーンを最初から最後まで追跡し、解析を実行する手順を示している。Donutは「.NET」アセンブリをシェルコード化するためのツールとされ、対象は基礎的な解析スキルを有する読者で実際に多くのマルウェアサンプルを扱った経験が少ない層を想定している。

初心者用マルウェア解析チュートリアル　Donutツールで学ぶ手順と技術

　同資料は、感染の初期段階から最終的なペイロードに至るまでの流れを解説しており、ダウンロードや痕跡の隠ぺい、シェルコードの展開といったステージごとの役割が示されている。読者は「dnSpy」「IDA Pro」「x64dbg」「ProcessHacker」といった解析ツールの使用方法を実例で学べる構成となっており、静的解析と動的解析の両手法を組み合わせて挙動の全体像を把握する過程が詳細に説明されている。

　解析の過程ではマルウェアにしばしば組み込まれる技術として動的API解決やプロセスインジェクション、AMSIのメモリ改変による回避手法などが取り上げられている。例ではコード内で「sub_10A31A」と呼ばれる関数が登場し、これは実質的にプログラムカウンター相対アドレッシングを実現する単純な処理だと解説されている。

　こうした手法によってシェルコードは位置非依存で動作可能となり、固定アドレスに依存せずリソースへアクセスできる。この仕組みはシェルコード特有の特徴であり、PEファイルに備わるリロケーション機能を持たないために必要となる。

　チュートリアル内では「Windows」のAMSI（Antimalware Scan Interface）やイベントトレーシング機能の無効化方法も示されている。「AmsiScanBuffer」や「AmsiScanString」に対し不正な命令を書き込み、常に「無害」と判定させるよう改変する例が含まれている。また、「EtwEventWrite」関数を上書きしてイベントログを無効化する手口も確認されている。これにより監視や検知をすり抜ける挙動が具体的に示されている。

　解析の実演部分ではシェルコードのデータ構造や関数ポインターの取得方法が明らかにされ、「LoadLibraryA」や「GetProcAddress」を利用した動的API解決の典型例が紹介されている。これらはインポートテーブルに依存せずライブラリーや関数を読み込む手段であり、セキュリティ製品からの検知を困難にする目的で多用されている。

　最終的にこの感染チェーンは.NETのCLR（Common Language Runtime）を動的に生成し、「Remcos」と呼ばれる既知のマルウェアを展開する仕組みを備えていることが確認されている。解析の過程ではメモリにPEファイルを展開し、その後のプロセスインジェクションによって実行環境に侵入する流れが追跡されている。

　このチュートリアルは教育用に設計されているが、扱われている技術や手法は実際の攻撃において広く確認されている。読者は各ステップの解析手法を学ぶことで、未知のサンプルに対しどのように調査するべきかという実務的な感覚を養える構成になっている。

　今回公開の解析資料は「GitHub」で閲覧可能となっている。ステップごとの詳細な記録と分析者の思考過程を含む内容は、初心者にとって学習リソースとして有用であり、同時に実践的な解析プロセスを知れる資料となっている。字数にして数万語規模におよび詳細な解説が行われており、マルウェア解析の実践的な流れを把握するための参考資料として位置付けられる。