JPCERT/CC Eyes

Rustは、CやC++を代替する言語として期待されている言語であり、メモリ安全性や高速性に優れていることから近年注目されています。 Rustがプログラミング言語として普及していく反面、SysJokerのRust亜種やBlackCatランサムウェアなどRustを用いて開発されたマルウェア（以下、「Rustマルウェア」という。）が近年増加傾向にあります。 しかしながら、Rustマルウェアに対するリバースエンジニアリング手法に関する知見は、古典的なC・C++マルウェアのリバースエンジニアリング手法と比較して十分ではありません。 そのため、JPCERT/CCでは、Rustで作成されたバイナリ(以下、「Rustバイナリ」という。)に対するリバースエンジニアリングに関して検証した結果をまとめた「Rustで作成されたバイナリのリバースエンジニアリング調査レポート」を本日公開しました。

Rustで作成されたバイナリのリバースエンジニアリング調査レポート

今回はこのレポートについて紹介したいと思います。

レポートの内容

本レポートは、Rustバイナリのリバースエンジニアリングに関する調査項目を選定し、調査・検証を行った結果をまとめたものです。 レポートの詳細な調査項目については Appendix Aをご覧ください。 また、本調査で使用したツールのバージョンは以下のとおりです。 加えて、バイナリのコンパイルは Windows MSVC環境を使用して調査・検証を実施しました。

  
    cargo: 1.82.0
    rustc: 1.82.0
    IDA Pro v8.3.230608
  

活用イメージ

本レポートは、調査項目ごとに独立しているため、全体を通読するのではなく、気になる調査項目のみを参照できます。 一部の調査項目にはサンプルプログラムも記載しています。 そのため、関心のある項目を確認した上で、サンプルプログラムを実際にコンパイルし、レポートとあわせてRustバイナリを確認することを推奨します。

おわりに

Rustは急速に普及している言語であり、リバースエンジニアリングが比較的困難とされることから、攻撃者による悪用が増加すると考えられます。 本レポートがRustマルウェアのリバースエンジニアリングに少しでも役立てば幸いです。 記載内容に不備やご意見がございましたら、ぜひお寄せください。

インシデントレスポンスグループ 亀井 智矢

Appendix A: 調査項目