マルウェア解析 と OSINT

  • インシデントレスポンスを守るため
  • 自社を守るため
  • 攻撃を把握するため
    • Malicious Sofyware

マルウェアの定義

マルウェアの定義 : FAQ

  • あくまでもプログラムである

最近のトレンド

  • rakhni
    • 95%以上はロシア製
    • 感染者のPC能力に応じてランサムウェアになるかnet感染させる
  • Mirai
  • Masuta
  • Satori
  • Akuma

マルウェアの解析手法

  1. 表層解析
  • 検体を動作させずに情報収集
  • 検体の情報収集
  • 観戦端末の使用者へヒアリング(いつ気づいた?,何をした?,どこのサイトつないだ?)
    メリット 
    • 簡易に素早く情報を収集可.
    • 簡易に素早く情報を収集可能
    • 今後の解析方法の方向性を見極め
      デメリット 
    • 検体の挙動が本当かわからん.
  1. 動的解析
  • ブラックボックス解析
    メリット 
    検体を動作させて,どんな挙動をするか解析
    素早く比較的必要な情報を収集可能
    デメリット 
    あくまで解析環境での挙動しかわからん
  • サンドボックス(自動解析)システム
    メリット 
    複数の環境で,並列で検体を実行
    デメリット 
    高い
  • 耐解析機能(動的解析)
    • 権利すると動作を停止
    • 解析ツールの検知
    • 仮想環境の検知
  1. 静的解析

  • ホワイトボックス解析

  • 逆アセンブル

    • C,C++はできない
      .NET Framework,Javaなどは出来る

  • 耐解析機能(静的解析)

    • 逆アセンブルしたコードを読ませない
      パック,難読化,暗号化

  • コードインジェクション

    • 動作を隠ぺいすためにほかのプロセスにコードを注入して動作させる

  • DLLハイジャッキング

    • EXEファイルが読み込むDLLのフォルダの検索順を悪用し、実際に読み込ませたいDLLより検索順の高いフォルダに、悪意のあるDLLを設置し、読み込ませて実行させる方法。

解析者の技術的ハードル

表層解析 < 動的解析 <<< (超えられない壁) <<< 静的解析

少しやってみた

  • 物理環境
    • メリット 
      実環境で動作可能
    • デメリット 
      感染前に復旧するのに時間がかかる
      ネットワーク機器等の機材が必要
  • 仮想環境
    • メリット
      感染前に復旧するのが容易
      ネットワーク機器が不要
    • デメリット
      仮想環境を検知し、本来の動作を行わない可能性がある

注意

ミイラ取りがミイラにならないように!!!

ゲストがWindowsであればホストをMacやLinuxにする(OSを同じにしない!).

静的解析

PEフォーマットを解析
フェールセーフ 実行時には末尾フォーマットを変更しよう

  • 表層解析用
    surface.ex_
  • 動的解析用
    blackbox1.ex_

https://raw.githubusercontent.com/ynadji/peid/master/userdb.txt

圧縮するとき
upx.exe 圧縮するファイル
解凍するとき
upx.exe -d 解凍したいファイル

注意 バックアップをとること

  • virustotal
    ショートカット
    • ファイルを登録されているウイルス対策ソフトでチェック
    • ドメイン名、IPアドレス等をマルウェアが含まれていないかサイトスキャンエンジンでチェック

BKDR_SYSIE.Aとは?

動的解析

物理環境は閉じた環境で!
CurrentVersion\Run\


Process Monitor で 検体調査


blackbox2 見つけた


HashMyFiles で MD5確認


blackbox1 で生成されたやつ


PEview でコンパイル日時確認


Process Explorer でプロセス確認


Process Monitor でプロセス確認


strings でexeファイルからtxt作成


UAS設定


PEiDでpackされたやつを確認 UPXだった


コマンドー


レジストリごにょごにょ

OSINT/OPSEC

STFU (Shut The Fuck Up)

OPSECのルール

  • 誰も信用してはいけない
  • 計画を誰にも話さない
  • オペレーションについて明らかにしない
  • ハッカーとしてのIDと私生活をしっかり分ける
  • 力を誰にも渡さない
  • ポエムとかの重要なデータはローカルに保存しない

以下便利なツール

フルディスク暗号

filevault2
veracrypt
LUKS

パスマネ

KeePassXC
1password

暗号通信

Telegram
Signal
Wire
PGP

スキャニングサービス

Shodan
Ceosys
FDFA
ZoomEye

Twitterアカウント

deepdotweb
lorenzofb
x0xz
inteltechniques
arresttracker
5auth
campuscodi
DNStatsNET
Briankrebs

OSINTに使えるWebサービス

https://searx.me/
https://dnsdumpster.com/
https://bgpview.io/

その他

REMnuxのセットアップ
https://qiita.com/hibi221b/items/bc90d1b150e3191cfb77

マルウェア解析に便利なツール Noriben
https://github.com/Rurik/Noriben