Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
malspamの情報収集と解析 / malspam information gathering...
Search
takahoyo
August 04, 2018
Technology
0
81
malspamの情報収集と解析 / malspam information gathering and analysis
すみだセキュリティ勉強会 2018 #2 で話した資料です。
takahoyo
August 04, 2018
Tweet
Share
More Decks by takahoyo
See All by takahoyo
OSEP取るまでにやったこと
takahoyo
0
1.9k
"申" (猿)がつくセキュリティツールを検証してみた
takahoyo
4
1.1k
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
takahoyo
4
1.8k
Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack
takahoyo
0
100
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
takahoyo
2
2k
パケットで遊ぼう / let's play using network packet
takahoyo
0
180
hpingで作るパケット / network packet craft by hping
takahoyo
0
340
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
takahoyo
0
66
Other Decks in Technology
See All in Technology
Why Go?
xpmatteo
0
130
3/26 クラウド食堂LT #2 GenU案件を通して学んだ教訓 登壇資料
ymae
1
190
OPENLOGI Company Profile for engineer
hr01
1
22k
セマンティックレイヤー入門
ikkimiyazaki
8
2.6k
PHPStan をできる限り高速化してみる
colopl
0
250
Amazon EKS Auto ModeでKubernetesの運用をシンプルにする
sshota0809
0
110
ドメインイベントを活用したPHPコードのリファクタリング
kajitack
2
1.1k
LINE Notify互換のボットを作った話
kenichirokimura
0
170
Restarting_SRE_Road_to_SRENext_.pdf
_awache
0
150
コード品質向上で得られる効果と実践的取り組み
ham0215
2
200
Engineering Managementのグローバルトレンド #emoasis / Engineering Management Global Trend
kyonmm
PRO
6
970
Compose MultiplatformにおけるiOSネイティブ実装のベストプラクティス
enomotok
1
210
Featured
See All Featured
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.4k
For a Future-Friendly Web
brad_frost
176
9.6k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
11
610
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.1k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.4k
Rails Girls Zürich Keynote
gr2m
94
13k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
22
2.6k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.5k
Gamification - CAS2011
davidbonilla
81
5.2k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.1k
Transcript
malspamの情報収集と解析 すみだセキュリティ勉強会2018 #2 @takahoyo
本日の内容 malspamとは malspamの情報収集について malwareの解析について
malspamとは Malware + Spam = Malspam つまり、メール経由でスパムのように配布されるマルウェアのこと
https://blog.malwarebytes.com/threats/malspam/ いわゆる、ばらまき型メール 最近の多くのマルウェアの感染経路はメール IPAの「コンピュータウイルス・不正アクセスの届出状況および相談状況」の統計でも ほとんどがメールによる感染 引用元: https://www.ipa.go.jp/security/txt/2018/q2outline.html
攻撃者がメールを使う理由を考えてみる マルウェアに感染させる主な経路 ① メールにマルウェアを添付して開かせる ② メールでマルウェアに設置したサイトへ誘導する ③ Webページを改ざんし、ブラウザなどの脆弱性を悪用するExploit Kitを実行させる
④ 端末の脆弱性(MS17-010 など)を悪用し、ネットワーク経由で感染させる 攻撃者は可能性が高く、コストが低い方法を選択する(推測) 前提として、マルウェアが配布される時点では、多くの場合ウイルス対策ソフトは検知しない ③, ④は脆弱性パッチが当てられていれば、多くの場合防ぐことができる また、④の場合はインターネットから端末にリーチできなければ難しい => システム管理者によって対策が比較的容易 ①, ②はパッチを当てていても、利用者を騙せればOK => システムの脆弱性を悪用するより、人の脆弱性を悪用する方が容易
少し前(2016年頃)のmalspamメール 引用元: https://www.jc3.or.jp/topics/v_log/201610.html 日本語が何か おかしい?
最近(2018年)のmalspamメール 引用元:https://www.jc3.or.jp/topics/virusmail.html 本物!?
malspamで送られてくるmalwareについて メールで送られるマルウェアの多くはダウンローダ 送られ方のパターンは大体2パターン ① URLが書かれていて、アクセスするとダウンローダをダウンロードするパターン ② そのままメールに添付されているパターン
ダウンローダを実行することで、実際に悪さをするマルウェア本体をダウンロード 最近はvbsやvba、jsからcmd -> powershellを起動させるパターンが多い
malspamメールの情報収集 malspamメールは、本当の標的型メールと違い多く配られている 多くの攻撃者は金銭目的、質より量を配る たくさんの人に行き届くので、情報が多い 逆に本当の標的型メールは、一部にしか送らないので情報が少ない
そこで情報収集に役に立つのが… Twitter
malspamの情報収集 Twitterはリアルタイム性が高く、多くの人が気軽につぶやける ”不審メール”等のキーワードで検索すると、情報をつぶやいてくれてる方が! いつもお世話になってます!
malspamの情報収集 よく見かける情報 malware設置先のURL malwareの通信先のIPアドレス malwareのハッシュ値
外部のマルウェア分析サービスでの解析結果URL これまでのメールの履歴や情報をまとめてくれている方も ばらまき型メールカレンダー (@catnap707 さん) https://docs.google.com/presentation/d/1UASM4_WE5bZYvaPzjnEsOlQgfK1vHbpv- cKXWzPK1nk/edit#slide=id.g1c129bd437cd9168_0 外部公開用_ウイルス付メール(ばらまきメール)まとめ (@taku888infinity さん) https://docs.google.com/spreadsheets/d/11WzP- Xw5w82wLkqdayS0A3Ed976mYLnimtLqUR_eW6g/edit#gid=298230078
malwareの解析 外部のマルウェア分析サービスの情報を使う Virus Total ファイルのアップロード(要注意)することでマルウェアを分析、ハッシュ値でも検索可 各アンチウイルスでの検知状況やマルウェアの表層情報を調べてくれる
ちなみに、Officeのマクロが含まれている場合は、コードを表示してくれる
malwareの解析 外部のマルウェア分析サービスの情報を使う Hybrid Analysis ファイルのアップロード(要注意)することでマルウェアの挙動を解析(SandBox) プロセスの起動状況、通信先を解析してくれるので、ほとんどのIoC情報が手に入る
malwareの解析 Hybrid Analysisで解析すると、powershellが起動するのはわかった scriptだけど、その過程の処理は? 難読化されている
malwareの解析 どのような処理が行われてるか解析してみる 環境 REMnux, Spider Monkey
使用する検体 7/25にばらまかれたjsのダウンローダ Twitterで共有されていた悪性ファイル設置サイトのURLから解析環境にダウンロード b546fc2dbd804948bbece5a28508026eacf0ff971854d0c2c2fd279fb315e2f7 https://www.virustotal.com/#/file/b546fc2dbd804948bbece5a28508026eacf0ff971854d0c2c2fd 279fb315e2f7/
malwareの解析 難読化の場合、多くがevalを使ってコードの実行を行っている evalを違う処理に置き換えたファイル(hook.js)を作っておく 実行してみる ActiveXObjectがSpider Monkeyでは、対応してないので怒られる
eval = function(input_string) { print(input_string) }
malwareの解析 ActiveXObjectの処理の部分だけ、デコードしてみる デコード後 C:¥Users¥[UserName]¥AppData¥Roaming¥Microsoft¥Windows¥Templates にGoogleへのショートカットを作成する処理 ショートカットが作られなかった場合、デコードを続行する? => 何かの解析妨害機能が動いている??
malwareの解析 必要なさそうな部分をコメントアウトして再び実行 実行結果 ActiveXObjectが呼び出されるところを回避して、evalで実行される内容が表示 できた
malwareの解析 Evalで表示されている処理内容をコードに追加、関数yNVxaYpsjqZRwCvuに渡される変 数も表示してみる 実行結果
Malwareの解析 後の関数yNVxaYpsjqZRwCvuで渡しているのは、以下の謎の文字列と、”F”という文字 なんとなく、”F”が多くね? ということで、Fを置換してみる klQZHCEpDMTYqkh =
new ActiveXObject(“shell.application” )なので、関数 yNVxaYpsjqZRwCvu 内で上記コマンドを実行していると思われる この関数内でも何かしらの他の処理をしているかもしれないですが、そこまでは解析できませんでした、、
まとめ 最近の標的型メールは、より多くの人がターゲットにされている より多くの人がターゲットにされている場合、情報が広く出回っているので調 べてみよう。 Twitterが特におすすめ 自分で手を動かして検証してみることも大事
Twitterの情報をやオンラインサービスを鵜呑みにしない 自分で手を動かしてみると新しい発見があるかも