Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
malspamの情報収集と解析 / malspam information gathering...
Search
takahoyo
August 04, 2018
Technology
0
83
malspamの情報収集と解析 / malspam information gathering and analysis
すみだセキュリティ勉強会 2018 #2 で話した資料です。
takahoyo
August 04, 2018
Tweet
Share
More Decks by takahoyo
See All by takahoyo
OSEP取るまでにやったこと
takahoyo
0
2k
"申" (猿)がつくセキュリティツールを検証してみた
takahoyo
4
1.2k
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
takahoyo
4
1.8k
Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack
takahoyo
0
120
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
takahoyo
2
2.1k
パケットで遊ぼう / let's play using network packet
takahoyo
0
190
hpingで作るパケット / network packet craft by hping
takahoyo
0
360
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
takahoyo
0
70
Other Decks in Technology
See All in Technology
推し書籍📚 / Books and a QA Engineer
ak1210
0
140
ポストコロナ時代の SaaS におけるコスト削減の意義
izzii
1
470
OpenTelemetryセマンティック規約の恩恵とMackerel APMにおける活用例 / SRE NEXT 2025
mackerelio
3
2k
セキュアな社内Dify運用と外部連携の両立 ~AIによるAPIリスク評価~
zozotech
PRO
0
120
Copilot coding agentにベットしたいCTOが開発組織で取り組んだこと / GitHub Copilot coding agent in Team
tnir
0
190
AI エージェントと考え直すデータ基盤
na0
20
7.9k
マルチプロダクト環境におけるSREの役割 / SRE NEXT 2025 lunch session
sugamasao
1
730
衛星運用をソフトウェアエンジニアに依頼したときにできあがるもの
sankichi92
1
1k
20250708オープンエンドな探索と知識発見
sakana_ai
PRO
4
1k
microCMSではじめるAIライティング
himaratsu
0
150
An introduction to Claude Code SDK
choplin
2
1k
VS CodeとGitHub Copilotで爆速開発!アップデートの波に乗るおさらい会 / Rapid Development with VS Code and GitHub Copilot: Catch the Latest Wave
yamachu
3
460
Featured
See All Featured
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
2.9k
GraphQLとの向き合い方2022年版
quramy
49
14k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
8
700
Intergalactic Javascript Robots from Outer Space
tanoku
271
27k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.4k
Designing Experiences People Love
moore
142
24k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
7
750
The World Runs on Bad Software
bkeepers
PRO
70
11k
Fireside Chat
paigeccino
37
3.5k
Automating Front-end Workflow
addyosmani
1370
200k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Transcript
malspamの情報収集と解析 すみだセキュリティ勉強会2018 #2 @takahoyo
本日の内容 malspamとは malspamの情報収集について malwareの解析について
malspamとは Malware + Spam = Malspam つまり、メール経由でスパムのように配布されるマルウェアのこと
https://blog.malwarebytes.com/threats/malspam/ いわゆる、ばらまき型メール 最近の多くのマルウェアの感染経路はメール IPAの「コンピュータウイルス・不正アクセスの届出状況および相談状況」の統計でも ほとんどがメールによる感染 引用元: https://www.ipa.go.jp/security/txt/2018/q2outline.html
攻撃者がメールを使う理由を考えてみる マルウェアに感染させる主な経路 ① メールにマルウェアを添付して開かせる ② メールでマルウェアに設置したサイトへ誘導する ③ Webページを改ざんし、ブラウザなどの脆弱性を悪用するExploit Kitを実行させる
④ 端末の脆弱性(MS17-010 など)を悪用し、ネットワーク経由で感染させる 攻撃者は可能性が高く、コストが低い方法を選択する(推測) 前提として、マルウェアが配布される時点では、多くの場合ウイルス対策ソフトは検知しない ③, ④は脆弱性パッチが当てられていれば、多くの場合防ぐことができる また、④の場合はインターネットから端末にリーチできなければ難しい => システム管理者によって対策が比較的容易 ①, ②はパッチを当てていても、利用者を騙せればOK => システムの脆弱性を悪用するより、人の脆弱性を悪用する方が容易
少し前(2016年頃)のmalspamメール 引用元: https://www.jc3.or.jp/topics/v_log/201610.html 日本語が何か おかしい?
最近(2018年)のmalspamメール 引用元:https://www.jc3.or.jp/topics/virusmail.html 本物!?
malspamで送られてくるmalwareについて メールで送られるマルウェアの多くはダウンローダ 送られ方のパターンは大体2パターン ① URLが書かれていて、アクセスするとダウンローダをダウンロードするパターン ② そのままメールに添付されているパターン
ダウンローダを実行することで、実際に悪さをするマルウェア本体をダウンロード 最近はvbsやvba、jsからcmd -> powershellを起動させるパターンが多い
malspamメールの情報収集 malspamメールは、本当の標的型メールと違い多く配られている 多くの攻撃者は金銭目的、質より量を配る たくさんの人に行き届くので、情報が多い 逆に本当の標的型メールは、一部にしか送らないので情報が少ない
そこで情報収集に役に立つのが… Twitter
malspamの情報収集 Twitterはリアルタイム性が高く、多くの人が気軽につぶやける ”不審メール”等のキーワードで検索すると、情報をつぶやいてくれてる方が! いつもお世話になってます!
malspamの情報収集 よく見かける情報 malware設置先のURL malwareの通信先のIPアドレス malwareのハッシュ値
外部のマルウェア分析サービスでの解析結果URL これまでのメールの履歴や情報をまとめてくれている方も ばらまき型メールカレンダー (@catnap707 さん) https://docs.google.com/presentation/d/1UASM4_WE5bZYvaPzjnEsOlQgfK1vHbpv- cKXWzPK1nk/edit#slide=id.g1c129bd437cd9168_0 外部公開用_ウイルス付メール(ばらまきメール)まとめ (@taku888infinity さん) https://docs.google.com/spreadsheets/d/11WzP- Xw5w82wLkqdayS0A3Ed976mYLnimtLqUR_eW6g/edit#gid=298230078
malwareの解析 外部のマルウェア分析サービスの情報を使う Virus Total ファイルのアップロード(要注意)することでマルウェアを分析、ハッシュ値でも検索可 各アンチウイルスでの検知状況やマルウェアの表層情報を調べてくれる
ちなみに、Officeのマクロが含まれている場合は、コードを表示してくれる
malwareの解析 外部のマルウェア分析サービスの情報を使う Hybrid Analysis ファイルのアップロード(要注意)することでマルウェアの挙動を解析(SandBox) プロセスの起動状況、通信先を解析してくれるので、ほとんどのIoC情報が手に入る
malwareの解析 Hybrid Analysisで解析すると、powershellが起動するのはわかった scriptだけど、その過程の処理は? 難読化されている
malwareの解析 どのような処理が行われてるか解析してみる 環境 REMnux, Spider Monkey
使用する検体 7/25にばらまかれたjsのダウンローダ Twitterで共有されていた悪性ファイル設置サイトのURLから解析環境にダウンロード b546fc2dbd804948bbece5a28508026eacf0ff971854d0c2c2fd279fb315e2f7 https://www.virustotal.com/#/file/b546fc2dbd804948bbece5a28508026eacf0ff971854d0c2c2fd 279fb315e2f7/
malwareの解析 難読化の場合、多くがevalを使ってコードの実行を行っている evalを違う処理に置き換えたファイル(hook.js)を作っておく 実行してみる ActiveXObjectがSpider Monkeyでは、対応してないので怒られる
eval = function(input_string) { print(input_string) }
malwareの解析 ActiveXObjectの処理の部分だけ、デコードしてみる デコード後 C:¥Users¥[UserName]¥AppData¥Roaming¥Microsoft¥Windows¥Templates にGoogleへのショートカットを作成する処理 ショートカットが作られなかった場合、デコードを続行する? => 何かの解析妨害機能が動いている??
malwareの解析 必要なさそうな部分をコメントアウトして再び実行 実行結果 ActiveXObjectが呼び出されるところを回避して、evalで実行される内容が表示 できた
malwareの解析 Evalで表示されている処理内容をコードに追加、関数yNVxaYpsjqZRwCvuに渡される変 数も表示してみる 実行結果
Malwareの解析 後の関数yNVxaYpsjqZRwCvuで渡しているのは、以下の謎の文字列と、”F”という文字 なんとなく、”F”が多くね? ということで、Fを置換してみる klQZHCEpDMTYqkh =
new ActiveXObject(“shell.application” )なので、関数 yNVxaYpsjqZRwCvu 内で上記コマンドを実行していると思われる この関数内でも何かしらの他の処理をしているかもしれないですが、そこまでは解析できませんでした、、
まとめ 最近の標的型メールは、より多くの人がターゲットにされている より多くの人がターゲットにされている場合、情報が広く出回っているので調 べてみよう。 Twitterが特におすすめ 自分で手を動かして検証してみることも大事
Twitterの情報をやオンラインサービスを鵜呑みにしない 自分で手を動かしてみると新しい発見があるかも