Upgrade to Pro — share decks privately, control downloads, hide ads and more …

マルウェア解析におけるセマンティックギャップ

Yuma Kurogome
August 13, 2014
Programming
5
2.8k

 マルウェア解析におけるセマンティックギャップ

セキュリティ・キャンプ全国大会2014 発表資料 #seccamp #spcamp

Yuma Kurogome

August 13, 2014
Tweet

More Decks by Yuma Kurogome

See All by Yuma Kurogome
The Art of De-obfuscation
ntddk
16
27k
死にゆくアンチウイルスへの祈り
ntddk
55
39k
Windows Subsystem for Linux Internals
ntddk
10
3k
なぜマルウェア解析は自動化できないのか
ntddk
6
4.2k
Linear Obfuscation to Drive angr Angry
ntddk
4
840
CAPTCHAとボットの共進化
ntddk
2
1.2k
マルウェアを機械学習する前に
ntddk
3
1.6k
Peeling Onions
ntddk
7
3.6k
仮想化技術を用いたマルウェア解析
ntddk
8
27k

Other Decks in Programming

See All in Programming
Youtube Lofier - Chrome拡張開発
ninikoko
0
2.4k
On-the-fly Suggestions of Rewriting Method Deprecations
ohbarye
1
3k
Vibe Coding の話をしよう
schroneko
10
2.6k
Cursor/Devin全社導入の理想と現実
saitoryc
15
10k
Chrome Extension Techniques from Hell
moznion
1
160
Golangci-lint v2爆誕: 君たちはどうすべきか
logica0419
1
130
Exit 8 for SwiftUI
ojun9
0
140
大LLM時代にこの先生きのこるには-ITエンジニア編
fumiyakume
7
3.1k
Agentic Applications with Symfony
el_stoffel
2
310
スモールスタートで始めるためのLambda×モノリス(Lambdalith)
akihisaikeda
2
290
メモリウォールを超えて:キャッシュメモリ技術の進歩
kawayu
0
1.9k
Laravel × Clean Architecture
bumptakayuki
PRO
0
100

Featured

See All Featured
A designer walks into a library…
pauljervisheath
205
24k
A better future with KSS
kneath
239
17k
Practical Orchestrator
shlominoach
186
11k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.3k
Code Reviewing Like a Champion
maltzj
522
40k
GraphQLとの向き合い方2022年版
quramy
46
14k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
178
53k
Typedesign – Prime Four
hannesfritz
41
2.6k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
RailsConf 2023
tenderlove
30
1.1k
KATA
mclloyd
29
14k

Transcript

  1. チュータープレゼン: マルウェア解析における セマンティックギャップ 2014/08/13 セキュリティ・キャンプ全国大会2014 @ntddk

  2. whoami • @ntddk – #include <ntddk.h> • 慶應義塾大学 SFC 村井研/武田研

    B2 – マルウェアの研究 • ゲヒルンという会社で働き始めました – スマートフォンアプリの脆弱性診断とか

  3. whoami • #spcamp '11 ソフトウェアセキュリティクラス 参加 • #seccamp '13 セキュアなシステムをつくろうクラス

    システムソフトウェアゼミ チューター • #seccamp '14 ソフトウェアセキュリティクラス チューター

  4. whoami • EpsilonDelta – メンバーを募集しているっぽいです – 明後日のCTFでみなさんの力を見せてください

  5. 話すこと • セマンティックギャップについて紹介します – アセンブリ言語とプログラミング言語とのギャップ – 仮想マシンモニタとゲストOSとのギャップ – コンピュータと人間の認知とのギャップ

  6. セマンティックギャップとは • Semantic Gap(語義の隔たり) • ソースコードとアセンブラと機械語 • この違いがあるため、逆コンパイルは難しい

  7. アセンブリ言語とプログラミング言語とのギャッ プ

  8. 難読化されたマルウェア • マルウェア開発者は解析に時間をかけさせたい – コンパイラによる最適化と反対のことをする 00874389 /EB 05 JMP SHORT

    sample.00874390 0087438B |43 INC EBX 0087438C |41 INC ECX 0087438D |42 INC EDX 0087438E |EB 07 JMP SHORT sample.00874397 00874390 \B8 07000000 MOV EAX,7 00874395 ^ EB F4 JMP SHORT sample.0087438B 00874397 C3 RET 003B0000 B8 07000000 MOV EAX,7 003B0005 43 INC EBX 003B0006 41 INC ECX 003B0007 42 INC EDX 003B0008 C3 RET

  9. LLVM • 最適化を頑張ってくれるコンパイラ基盤 • ソースコードを読み込んで独自の中間コードに 変換(フロントエンド) • 最適化した上で(ミドルエンド) • コンパイルやJIT、任意の言語のソースコード

    に変換(バックエンド)

  10. LLVM • 最適化を頑張ってくれるコンパイラ基盤 • 逆アセンブルコードを読み込んで独自の中間 コードに変換 • 最適化することで難読化を除去できないか? • アセンブリ言語とLLVMの中間コードとの

    ギャップが問題となってくる

  11. LLVM • 逆アセンブルコードを中間コードに変換し、さ らにC++などのソースコードに変換することに よって、逆コンパイルを実現できないか? – C++をC++11に変換するC++11 MigratorやC++を JavaScriptに変換するEmscriptenなど参考例がある –

    ただし標準関数のみサポート • プログラミング言語とLLVMの中間コードとの ギャップが問題となってくる

  12. LLVMの中間コード • 変換してもこんなんばっか • SSA形式なので無限にレジスタが増える llvm_cbe_bb12_2e_i: llvm_cbe_tmp__64 = ((unsigned int

    )(((unsigned int )llvm_cbe_j_2e_018_2e_i) + ((unsigned int )1u))); if ((llvm_cbe_tmp__64 == 64u)) { goto llvm_cbe_test_all_2e_exit; } else { llvm_cbe_j_2e_018_2e_i__PHI_TEMPORARY = llvm_cbe_tmp__64; /* for PHI node */ goto llvm_cbe_bb7_2e_i; }

  13. • みたいな試みがあります • ぶっちゃけHex-Rays Decompilerのほうがよっ ぽどマシ

  14. 仮想マシンモニタとゲストOSとのギャップ

  15. VMI • VM Introspectionという分野 – 仮想マシンモニタからゲストOSのメモリやデバイ スを監視する手法 – マルウェアを自動で解析するのにも使えそう –

    最近はクラウドコンピューティングサービスにおい てマルウェアを検出するという方向性ばかり • VMIにもセマンティックギャップの問題がある

  16. VMIのセマンティックギャップ • VMの内側と外側で取得できる情報が異なる – 解析したいプロセスを特定できない – カーネル内のシンボル情報を読み取れない • これを解決する研究がなされてきた

  17. マルウェアの高度化 • ルートキット – カーネルのデータ構造を改竄し、悪意のシステム コールへ実行をリダイレクトしたり、ファイルやメ モリを隠蔽したりする • コードインジェクション –

    他プロセスのメモリに自身をロードして実行状態を 移す

  18. 既存研究 TTAnalyze: A Tool for Analyzing Malware[EICAR06] – ゲストOSに挿入したmoduleから解析対象を識別す ることでセマンティックギャップを解決

    ゲストOSの ユーザーモード ゲストOSの カーネルモード 仮想マシンモニタ ホストOS VM Introspectionが ゲストに影響を与える 仮想マシンモニタが 検出されてしまう

  19. 既存研究 Ether: Malware Analysis via Hardware Virtualization Extensions[ACM08] – 事前にOSを解析することでセマンティックギャッ

    プを解決したが、ルートキットなどに対処できない ゲストOSの ユーザーモード ゲストOSの カーネルモード 仮想マシンモニタ ホストOS VM Introspectionが ゲストに影響を与えない 仮想マシンモニタが 検出されない

  20. 解析対象の識別方法 • VMの外部からはプロセスの情報をそのまま取 得できないので、 – コンテキストスイッチによって変化するCR3レジス タの値を監視 – 予めOSを解析してPIDやTIDが保存されている箇所 を特定 

    – 予めOSが用いるデータ構造体のシグネチャを作成 – etc...

  21. 既存手法の問題点 • そもそもPaaSでのマルウェア検出のみを目的 としたVMIが多い • ゲストOSを書き換えてしまうと、仮想マシン モニタがマルウェアに検出されてしまう • セマンティックギャップを解消した上、さらに セマンティックス情報を追跡しなければ、コー

    ドインジェクションやルートキットに対処でき ない

  22. 提案手法 • オフレコ

  23. • みたいな研究をしています

  24. コンピュータと人間の認知とのギャップ

  25. マルウェアを理解するには • いくら自動でマルウェアを解析したところで、 その動作を理解できなければ意味がない • どうすればマルウェアを直感的に理解すること ができるか? • 人間が理解できる内容とコンピュータが理解で きる内容のギャップ

  26. None

  27. マルウェアの可視化 • 直感的にマルウェアの構造を把握する手段 • 命令ポインタのログをgraphvizに投げてみた – さっきのはWindowsのメモ帳

  28. None

  29. マルウェアの可視化 • 何をもとに可視化するか – 命令ポインタ – API – ファイル –

    ネットワークアクセス

  30. マルウェアの可視化 • IDA ProのGraph Viewだって可視化 – コードブロックと条件分岐

  31. マルウェアの可視化 • VERA http://1.bp.blogspot.com/-OHhtZ567BBs/Tzt9paOnhkI/AAAAAAAAK6Y/wA5CBLGUUnQ/s1600/NotePADUnpacked.png

  32. マルウェアの可視化 • どのようなコードがどのように可視化されるか 覚えなければならない – 新しいセマンティックギャップが生まれてしまう • 結局のところ解析者の負担は変わらない? • 可視化によって得られるメリットは何か?

  33. マルウェアの可視化 • どのようなコードがどのように可視化されるか 覚えなければならない – 新しいセマンティックギャップが生まれてしまう • 結局のところ解析者の負担は変わらない? – 人間が理解しやすい可視化の方式とは

    • 可視化によって得られるメリットは何か? – マルウェア亜種の分類など

  34. 情報セキュリティにおける可視化 • マルウェアに限った話ではない • ネットワークの可視化 – NICTER – DAEDALUS –

    NIRVANA改 http://www.nict.go.jp/info/topics/2014/02/img/seccon2013-1.png

  35. • みたいな試みがあります

  36. おわりに • セマンティックギャップという視点から、マル ウェア解析における3つのトピックについて紹 介しました • マルウェア解析を主に扱っているのはソフト ウェアセキュリティクラスだが、クラスに縛ら れることはない