ログイン項目などに設定されている実行ファイルのハッシュ値をVirusTotalを参考にウィルスかどうかを判別してくれるMac用アプリ「KnockKnock」がリリース。

スポンサーリンク

 ログイン項目などに設定されている実行ファイルのハッシュ値をVirusTotalを参考にウィルスかどうかを判別してくれるMac用アプリ「KnockKnock」がリリースされています。詳細は以下から。

 昨日「OS Xに採用されているGatekeeperやXProtectは簡単にバイパスすることが可能」の記事を書いている際、Patrickさんの発表資料を読んでいたところPatrickさんが新しいウィルススキャンアプリ「KnockKnock」を開発したそうなので使用してみました 。

KnockKnock-UI-Synack

KnockKnockとは?

 元NASA, NSA, VRLで脆弱性の解析を行い、現在脆弱性チェックサービスSynackのR&D部門でディレクターを務めるPatrickさんはOS XのGatekeeperやXProtectなどのセキュリティは簡単にバイパスすることが可能ということを証明し、その方法を公開していましたが、同氏は既に攻撃者がOS Xのセキュリティをバイパスしてウィルスやマルウェアをインストールしている場合を想定し、このウィルススキャンスクリプト「KnockKnock」を開発してきたそうで、

Malware installs itself persistently, to ensure it is automatically executed each time a computer is restarted. KnockKnock (UI) uncovers persistently installed software in order to generically reveal such malware.
[KnockKnock – Objective-See]

 KnockKnockはBrowser Extensions, Kernel Extensions, Launch Items, Login Items, Spotlight ImportersなどOS Xの自動実行項目にある実行ファイルのハッシュ値をGoogleが買収したウィルススキャンサービスVirusTotalのデータベースと参照することで、ウィルスがインストールされていないか判断する仕組みで、今回リリースしたKnockKnock UIは去年6月からオープンソースで開発が進んでいたPythonスクリプトにUIを付けたものだそうです。

KnockKnock-Goals

KnockKnockの使い方

 KnockKnockは一般的なウィルス対策アプリのように常駐スキャンや、ストレージ内のファイルを全てスキャンするわけではなく、自動実行項目(Linuxでいうところのrc)だけをスキャンしてくれます。使い方は公式サイトからアプリをダウンロードし起動、後は[Start Scan]ボタンを押すだけで、

KnockKnock-UI-Start-Scan

 自動実行項目の実行ファイルのハッシュ値がVirusTotalのデータベースと比較されて、各ウィルス検索エンジンでの検出率”Detection Ratio”が表示されます。(データベースに登録されていない場合は検出率”?”となります)

KnockKnock-Launch-Items-com-google

If the item is an executable binary, KnockKnock automatically queries VirusTotal with a hash of the binary in order to retrieve any information. While VirusTotal is being queried, this button displays ‘■ ■ ■’. Once the query is complete, the title of the button is automatically updated with either the detection ratio, or a ‘?’ if the binary is not known to VirusTotal.

[KnockKnock – Objective-See]

 スキャンが終了するとウィルス/マルウェアの検出数が表示され、検出された項目については「info”!”」マークをクリックすることで、そのアイテムの作成日や署名した開発者名、ハッシュ値などが表示されるようになっています。

KnockKnock-File-Information

 スキャンされるスタートアップの自動実行項目の重要性や脆弱性はPatrickさん の論文”Methods of Malware Persistence on OS X“(PDF)に詳しく書かれているので、興味のある方どうぞ。

関連リンク:

コメント

  1. Apple7743 より:

    だけどさ、こいつの作った Malware は
    「サードパーティ製アンチウィルスアプリでの検出チェックも行ったようですが、Norton,Trend Micro, Kasperskey, Integoなど全てのアプリが検出に失敗」するんだろ?
    VirusTotal は既存のウィルススキャナでチェックするサイトでしかなく、全てのウィルスチェックアプリで検出に失敗するのなら、VirusTotal でも見つけられないだろ?
    矛盾しているというより、このソフトを売るためのマッチポンプだな

  2. Apple7743 より:

    >>1
    このアプリはOpen Sourceだよ。