Upgrade to Pro — share decks privately, control downloads, hide ads and more …

なぜマルウェア解析は自動化できないのか

Yuma Kurogome
August 14, 2016
Programming
6
4.1k

 なぜマルウェア解析は自動化できないのか

セキュリティ・キャンプ全国大会2016 講義資料

Yuma Kurogome

August 14, 2016
Tweet

More Decks by Yuma Kurogome

See All by Yuma Kurogome
The Art of De-obfuscation
ntddk
16
27k
死にゆくアンチウイルスへの祈り
ntddk
55
38k
Windows Subsystem for Linux Internals
ntddk
10
2.9k
Linear Obfuscation to Drive angr Angry
ntddk
4
810
CAPTCHAとボットの共進化
ntddk
2
1.1k
マルウェアを機械学習する前に
ntddk
3
1.6k
Peeling Onions
ntddk
7
3.5k
仮想化技術を用いたマルウェア解析
ntddk
8
27k
An Introduction to Drawbridge(ja)
ntddk
11
3.2k

Other Decks in Programming

See All in Programming
Kaigi on Rails 2024 - Rails APIモードのためのシンプルで効果的なCSRF対策 / kaigionrails-2024-csrf
corocn
5
3.4k
色々なIaCツールを実際に触って比較してみる
iriikeita
0
270
C#/.NETのこれまでのふりかえり
tomokusaba
1
160
ピラミッド、アイスクリームコーン、SMURF: 自動テストの最適バランスを求めて / Pyramid Ice-Cream-Cone and SMURF
twada
PRO
9
990
CSC509 Lecture 09
javiergs
PRO
0
100
Server Driven Compose With Firebase
skydoves
0
400
Realtime API 入門
riofujimon
0
110
/←このスケジュール表に立ち向かう フロントエンド開発戦略 / A front-end development strategy to tackle a single-slash schedule.
nrslib
1
590
qmuntal/stateless のススメ
sgash708
0
120
のびしろを広げる巻き込まれ力:偶然を活かすキャリアの作り方/oso2024
takahashiikki
1
410
Why Spring Matters to Jakarta EE - and Vice Versa
ivargrimstad
0
960
推し活としてのrails new/oshikatsu_ha_iizo
sakahukamaki
3
1.7k

Featured

See All Featured
10 Git Anti Patterns You Should be Aware of
lemiorhan
654
59k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
9
680
Art, The Web, and Tiny UX
lynnandtonic
296
20k
Navigating Team Friction
lara
183
14k
The Art of Programming - Codeland 2020
erikaheidi
51
13k
Six Lessons from altMBA
skipperchong
26
3.5k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
228
52k
A Modern Web Designer's Workflow
chriscoyier
692
190k
A designer walks into a library…
pauljervisheath
202
24k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
3
370
Music & Morning Musume
bryan
46
6.1k
Producing Creativity
orderedlist
PRO
341
39k

Transcript

  1. None
  2. None
  3. None
  4. None
  5. None

  6. • • • • • • • • • •

    • • • •

  7. • • • •

  8. • • • • • • • • • •

    • • • •

  9. • • • • • • • • • •

    • • •
  10. None

  11. • • • • • • • • • •

    • • • • • • • • • • • • • • • • • • • •

  12. • • • • • •

  13. typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; ... DWORD SizeOfCode; //

    コード全体のサイズ ... DWORD AddressOfEntryPoint; // エントリポイントのアドレス (RVA) DWORD BaseOfCode; // コード領域のベースアドレス (RVA) DWORD BaseOfData; // グローバル変数などの値が確定していないデータ領域のベースアドレス (RVA) DWORD ImageBase; // 仮想メモリにロードされるときの開始(ベース)アドレス // RVAはImageBaseのアドレスを引いた相対アドレス ... DWORD SizeOfImage; // メモリにロードされたときの全体サイズ DWORD SizeOfHeaders; ... IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; // インポート情報やエクスポート情報などへのアドレス (RVA) } IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;
  14. None

  15. • • • • • •

  16. None

  17. • • • • • • •

  18. • • • • • • • •

  19. • • • •

  20. • MOV EBX, EAX ADD EAX, $0x4 … MOV EBX,

    EAX ADD EAX, $0x4 … • • • mov_i32 ebx, eax movi_i32 tmp1, 0x4 add_i32 eax, tmp1 •

  23. None
  24. None

  25. • • • • • • • • •

  26. • • •

  27. • • • • •

  28. • • • • •

  29. None

  30. • • • • •

  31. • • • • • •

  32. • •

  33. • • • • • • • •

  34. from datetime import date from hashlib import sha256 def dyre_dga(num,

    date_str=None): if None == date_str: date_str = '{0.year}-{0.month}-{0.day}'.format(date.today()) tlds = ['.cc', '.ws', '.to', '.in', '.hk', '.cn', '.tk', '.so'] hash = sha256('{0}{1}'.format(date_str, num)).hexdigest()[3:36] replace_char = chr(0xFF & ((num % 26) + 97)) return '{0}{1}{2}:443'.format(replace_char, hash, tlds[num % len(tlds)]) todays_domains = [dyre_dga(i) for i in xrange(333)]

  35. • • • •

  36. • •

  37. • • •

  38. None
  39. None

  40. • • • • • • • • •

  41. • • • •

  42. • •

  43. cmp eax, 0x7E0 je 0xdeadbaad if(x!=2016) Invalid. ASSERT( INPUT_*_*_* =0hex7E0

    ); (a1 or !a2 or a3 … or an) and (b1 or b2 or !b3 … or !bn) and …
  44. None

  45. • •

  47. None

  48. • •

  49. None

  51. None

  52. • • • • • •

  53. • • •