Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Discordを乗っ取るマルウェアの解析
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
mopi
March 12, 2022
150
0
Share
Discordを乗っ取るマルウェアの解析
セキュリティ・キャンプ 交友会 2022 春 オンラインのLT会での発表で使用するスライドです。
mopi
March 12, 2022
More Decks by mopi
See All by mopi
PLAY & PLAY & PLAY with Ghidra Debugger
mopisec
0
330
Analyzing C# (.NET) Malware
mopisec
1
540
DetExploit - Windows用OSS脆弱性スキャナー (未踏ジュニア最終成果報告会)
mopisec
0
150
Featured
See All Featured
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
290
The Mindset for Success: Future Career Progression
greggifford
PRO
0
330
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.4k
How GitHub (no longer) Works
holman
316
150k
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
240
BBQ
matthewcrist
89
10k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.2k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
690
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
230
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
290
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.4k
Transcript
Discordを乗っ取るマルウェアの解析 Naoki Takayama セキュリティ・キャンプ 交友会 2022 春 オンライン 1 Discordを乗っ取るマルウェアの解析
2 Background Discordを乗っ取るマルウェアの解析
3 Info Discordを乗っ取るマルウェアの解析 ファイル名 Beholder3.exe SHA256 cf6194084a0b7eaa297585ad9981ffb7ca4a9b0227d28a806014d7a01735d61e • Windows Defender
/ VirusTotal で脅威として判定されなかった (2/14) • ファイル名の “Beholder3.exe” は3月3日にリリースされた “Beholder 3” という新作のインディーゲームを意識してつけられている?
4 Extract Discordを乗っ取るマルウェアの解析 • “strings” コマンドなどを実行すると、”nexe” というツールを使用して Node.jsアプリケーションをPEファイル化していることがわかる • また、難読化されたペイロード(JavaScript)も抽出することができた
(https://gist.github.com/mopisec/9bf5472b54a0017ff74775b35f812bcb) $ strings Beholder3.exe.malware | grep “<nexe~~sentinel>” function a0_0xc71027(_0xdc1ad2,_0x24f7bb,_0x5619a0,_0x4a3e17,_ …… # 以下略
g 5 Decode Discordを乗っ取るマルウェアの解析 • “a0_0x550c” という関数が頻繁に呼び出されている • 文字列をデコードもしくは復号化する関数だと推測できる •
ペイロード内の関数呼び出し箇所をデコード後の文字列に置換する スクリプトをNode.jsで実装した
g 6 Deobfuscate Discordを乗っ取るマルウェアの解析 • 一般的な難読化手法も用いられていたので、それらはオンラインツール (deobfuscator.io など) を使用することで対処した
g 7 Analyze Discordを乗っ取るマルウェアの解析 • Discord内部で使用されている “index.js” をインターネット上から取得した Maliciousなファイル(情報を窃取するもの)に置換していた •
窃取したDiscord内の情報を攻撃者が用意したWebhook宛てに送信する • 窃取する情報 • Discordの認証情報、支払い情報、フレンド情報など • 入手した情報を利用して、更に感染者を増やそうと試みる
g 8 Inspect (1) Discordを乗っ取るマルウェアの解析
g 9 Inspect (2) Discordを乗っ取るマルウェアの解析 • デバッグ用の処理などが追加されていたが、概ね PirateStealer2 という 別のDiscordを乗っ取るマルウェアと同じコードだった
• PirateStealer2 のソースコードは誰でも入手できる • 同一作者の可能性もあるが、PirateStealer2の作者であるStanley氏はマ ルウェア開発にはもう関わりたくないと表明している • Twitter上でDiscordをメンションして「私に連絡したらDiscordを 安全なアプリにする方法を教える(意訳)」とアピールしていた
g 10 Discordを乗っ取るマルウェアの解析
g 11 Conclusion Discordを乗っ取るマルウェアの解析 • 知り合いから送られてきたものであっても、怪しいファイル(特に実行 ファイルやマクロ付き文書ファイルなど)は開かないようにしましょう • 攻撃者にとっての Discord
というプラットフォームの存在 • 今後も同じような攻撃が発生するかもしれない • 他のプラットフォームが攻撃対象になる可能性も • 継続して情報収集に取り組んでいきたい
g 12 Any Questions? Discordを乗っ取るマルウェアの解析 • コメント・質問などは感想戦 (17:10~) にて! •
Slack / Discord に書き込んでいただいてもOKです! • 交友会はまだまだ続くので、盛り上げていきましょう!
Discordを乗っ取るマルウェアの解析 Naoki Takayama セキュリティ・キャンプ 交友会 2022 春 オンライン 13 Discordを乗っ取るマルウェアの解析
mopisec
tammyeverts
greggifford
inesmontani
holman
retrage
matthewcrist
denniskardys
kimpetersen
cassininazir
skoyamalab
rmw
