NightMAREとは?
Elastic Security Labsは、マルウェア分析とリバースエンジニアリングのワークフローを効率化するために設計された包括的なPythonライブラリ、NightMAREバージョン0.16を正式にリリースしました。このオープンソースツールは、複数の分析機能を単一のフレームワークに統合し、セキュリティ研究者が広範なマルウェアファミリーから設定データとインテリジェンス指標をより効率的に抽出できるようにします。
開発の背景と課題
NightMAREの開発は、マルウェアアナリストが直面する重要な課題、すなわち多数の依存関係の管理と分析ツール間でのコードの重複を解消することを目的としています。以前は、Elastic Security Labsは実行可能ファイルの解析にLIEF、逆アセンブルにCapstone、クロスリファレンス分析にSMDAなど、個別のPythonモジュールを使用していました。この断片化されたアプローチは、メンテナンスの複雑さとワークフローの非効率性を生み出していました。
Rizinの統合による解決
この問題を解決するため、開発チームはRadare2からフォークされたオープンソースのリバースエンジニアリングフレームワークであるRizinを主要なバックエンドとして統合しました。Rizinのモジュール化されたアーキテクチャ、広範な機能セット、およびコマンドベースのインターフェースは、rz-pipeモジュールを介して強力な分析機能を研究者に提供し、シームレスなPython統合を可能にします。これにより、サードパーティの依存関係が大幅に削減され、分析機能が拡張されました。
ライブラリのアーキテクチャ
NightMAREのアーキテクチャは、3つのコアモジュールに組織されています。
- 分析モジュール: 逆アセンブルと命令エミュレーションを通じて静的バイナリ分析を処理します。
- コアモジュール: ビット演算、整数キャスト、および繰り返し出現する正規表現パターンを使用した設定抽出のための必須ユーティリティを提供します。
- マルウェアモジュール: 暗号化関数、アンパックルーチン、設定エクストラクタなど、マルウェアファミリーとバージョンごとに整理されたアルゴリズムの実装が含まれています。
分析技術:リバースとエミュレーション
NightMAREは、異なるリバースエンジニアリングシナリオに対応する2つの補完的な分析技術を提供します。
- リバースモジュール: Rizinの機能に対する抽象化レイヤーを提供し、深いフレームワーク知識を必要とせずに一般的に使用される機能を公開します。アナリストは、基盤となるRizinコマンドを自動的に処理する簡単な関数呼び出しを通じて、パターンマッチング、逆アセンブル、クロスリファレンス分析、およびデータ抽出を実行できます。
- エミュレーションモジュール: バージョン0.16で再構築され、Rizinの機能とUnicornエンジンを活用してマルウェアサンプルからコードスニペットを実行します。WindowsEmulatorクラスは、完全なシステムエミュレーションではなく、特定のコードシーケンスの実行に焦点を当てた軽量なPEエミュレーションを提供します。このアプローチは、スタック上でデータを手動で構築したり、カスタム暗号化関数を実装したりする難読化されたマルウェアを分析する際に特に価値があります。
このエミュレーション機能は、マルウェアが暗号化されたデータをスタックに手動でプッシュする場合、研究者はコードブロック全体をエミュレートして復号化された結果を読み取ることができ、各命令を苦労して追跡する必要がありません。同様に、独自の暗号化実装に遭遇した場合、アナリストはアルゴリズムをリバースエンジニアリングして再実装する代わりに、マルウェアの既存の復号化関数を呼び出すことができます。
LUMMA Stealerの設定抽出事例
NightMAREの機能を実証するため、Elastic Security Labsは、2025年5月のテイクダウン作戦後も感染キャンペーンで活動を続けていた情報窃取型マルウェアLUMMA Stealerから設定データを抽出するための詳細なチュートリアルを提供しました。LUMMAは、制御フローの難読化とChaCha20暗号化を組み込んでおり、静的および動的分析の両方を複雑にしています。
抽出プロセスは4つの主要なステップで構成されます。
- パターンマッチングによりChaCha20初期化コードを特定し、命令オペランドから復号化キーとノンスを抽出します。
- WinHTTPインポートをロードするコードからの16進パターンを照合することで、復号化関数を特定します。
- 復号化関数からのクロスリファレンス分析により、暗号化されたコマンド&コントロール(C2)ドメインが保存されているベースアドレスを明らかにします。
- エミュレーションモジュールがマルウェア自身のChaCha20復号化関数を直接呼び出し、ドメイン名を復号化します。
この方法論により、分析されたサンプルから9つのC2 URLが正常に抽出され、NightMAREがパターンマッチング、逆アセンブル、エミュレーションを連携させることで分析時間を短縮する方法が示されました。
サポートされるマルウェアファミリーと今後の展望
バージョン0.16では、Blister、GhostPulse、Latrodectus、Lobshot、LUMMA、NetWire、RedLine Stealer、Remcos、SmokeLoader、StealC、Strela Stealer、XorDDosを含む13のマルウェアファミリーの設定抽出と分析をサポートしています。各ファミリーのアルゴリズムは、ライブラリの分析機能の実用的な応用を示すサブモジュールとして実装されています。
Elastic Security Labsは、マルウェアの急速な進化が継続的なメンテナンスの課題をもたらすことを認識しています。脅威アクターは、検出と分析を回避するためにマルウェアコードを頻繁に変更するため、設定エクストラクタとアルゴリズムの実装の継続的な更新が必要です。開発チームは、カバレッジを拡大し、新たなマルウェア亜種との互換性を維持するために、直接のコード提出または問題報告を通じたコミュニティの貢献を歓迎しています。
結論
NightMAREは、オープンソースのセキュリティコミュニティへの重要な貢献であり、以前は複数のツールに分散していたエンタープライズグレードのマルウェア分析機能を研究者に提供します。リバースエンジニアリング機能を統一されたRizinベースのフレームワークに統合することで、このライブラリはより効率的な脅威インテリジェンスの抽出とマルウェア研究のワークフローを可能にします。