ferrox(Rust製 Windows インフォスティーラー・研究用)

Security
ferrox(Rust製 Windows インフォスティーラー・研究用)

ferrox(Rust製 Windows インフォスティーラー・研究用)

Ferrox は、研究・教育目的で公開されている Rust 製の Windows 向けインフォスティーラー(情報窃取ツール)リポジトリです。ポリモルフィックなビルド技術やコンパイル時暗号化、ユーザーモードフック回避を意図した Hell's Gate 系のシステムコール手法など、現代のスチーラーに見られる技術的特徴を学習・解析するための教材的コードを含みます。重要なコンポーネントは意図的に除去されており、そのまま実行可能な危険なサンプルではありません。セキュリティ研究者や教育目的の解析に限定して扱うべきリポジトリです。

https://github.com/vibheksoni/ferrox

概要

Ferrox は “RESEARCH AND EDUCATIONAL PURPOSE ONLY” を明示した、Windows 向けのインフォスティーラー(情報窃取型マルウェア)を題材にした Rust 製のリポジトリです。作者は近年のスチーラーに見られる回避技術や多様化したビルド手法を学術的に示すことを目的としており、ポリモルフィックなビルド、コンパイル時暗号化、そしてユーザーモードのフックを回避することを狙った Hell’s Gate 系のシステムコール利用といった技術的トピックを含んでいます。README は実行禁止や危険性を強調しており、実用的なステーラーとして機能する重要部分は意図的に削除されています。研究者やマルウェア分析者が手法を理解するための教材的リソースです。

GitHub

リポジトリの統計情報

  • スター数: 4
  • フォーク数: 1
  • ウォッチャー数: 4
  • コミット数: 4
  • ファイル数: 10
  • メインの言語: Rust

主な特徴

  • Rust で実装された Windows 向けインフォスティーラーの学習用サンプル
  • ポリモルフィックビルド(ビルドごとの差分生成)やコンパイル時暗号化の概念を実装
  • Hell’s Gate 系のシステムコール手法に関する実装例(ユーザーモードフック回避を意図)
  • 重要コンポーネントは意図的に除去、研究目的のみに限定

技術的なポイント

このリポジトリが注目される理由は、マルウェア解析や検出回避の学術的議論で取り上げられる要素を Rust で表現している点にあります。Rust を選択することで、メモリ安全性や近年の言語エコシステムの恩恵を受けつつ、低レイヤの Windows API 呼び出しやバイナリ整形を行える点が特徴です。README に示されている主な技術要素としては、ポリモルフィックなビルド戦略(ビルド毎にバイト列が変化することでシグネチャ検出を回避する試み)、コンパイル時暗号化(ペイロードや定数をビルド時に暗号化して静的解析を困難にする)、および Hell’s Gate 系のアプローチ(カーネルへの直接的なシステムコール呼び出しを介して、ユーザーモードの API フックを迂回する思想)があります。

実装面では Cargo によるパッケージ管理や .cargo ディレクトリが用いられており、Rust のビルドフローを利用した変形やビルドスクリプトを組み合わせることでポリモフィズムや暗号化を実現する考え方が示唆されています。一方で本リポジトリは「重要なコンポーネントは意図的に削除」されているため、動作するマルウェアを再現することなく、設計や検出回避の概念、コード構成の読み取りに重点を置いた教材として使えます。

倫理面では、著者自身が研究・教育目的を強く明示している点を評価できます。マルウェア関連のコードを扱う際は、実検証を実施する場合でも隔離された環境(VM、ネットワーク分離)で行い、法的・倫理的な制約を順守する必要があります。本リポジトリは学習材料としての価値を持ちますが、濫用を防ぐ観点からも取り扱いに注意が求められます。

プロジェクトの構成

主要なファイルとディレクトリ:

  • .cargo: dir
  • .gitignore: file
  • Cargo.toml: file
  • LICENSE: file
  • README.md: file

その他にソースコード類やビルド関連ファイルが含まれ、合計で約10ファイルの小規模リポジトリです。重要部分は削除されており、ソース全体は解析や設計理解に適した断片的な構成になっています。…他 5 ファイル

まとめ

研究・教育目的に限定した、技術理解に役立つ Rust 製の教材的リポジトリです(実行禁止・解析向け)。

リポジトリ情報:

READMEの抜粋:

Ferrox

[!WARNING] RESEARCH AND EDUCATIONAL PURPOSE ONLY

This project was developed exclusively for security research and academic study of modern stealer techniques. All testing was conducted in isolated virtual machine environments against Windows Defender only. Critical components have been intentionally removed from this codebase - this is NOT a functional stealer out of the box.

  • Written in Rust (not Go as commonly seen in malware)
  • Successfully evaded Windows …