macOS malware 解析入門

Transcript

1. macOS Malware 解析入門 Twitter: @atbys

2. 概要 • macOSのマルウェアについて • 環境構築 • 静的解析 • 動的解析

3. macOSマルウェアについて • macは安全だと昔から言われてきたが，近年macOSをターゲッ トにしたマルウェアが増加 • Macを襲うマルウェアが猛威、その特徴は「偽のアップデート」とい う単純な手法にあり • Macユーザーをターゲットにしたランサムウェア「EvilQuest」が発見 される、身代金支払後もターゲットを逃がさない凶悪さ

   • 解説記事も圧倒的に少ないが，一部の人が熱心に取り組んで発 信していてコンテンツは充実している印象

4. 環境構築 • macOS上の仮想マシンにmacOSをインストールするのはOKら しい • 営利目的には使用してはいけないとか，最大2つとか細かいところはあ る • インストール方法は調べれば結構出てくるが，今回かなり手間 取った

   • 最終的に成功した方法はこれ • VirtualBoxを使ってMacOS Catalinaの仮想環境を構築する

5. 大まかな手順 1. インストールメディアを作成 1. App storeにあるアップデート用のソフトから作成 2. 仮想ハードディスクを作成 3. 仮想ハードディスクをmac用にフォーマット

   4. 実機と同様にインストール

6. 失敗した理由 • 外付けのメディアに仮想マシンを作成した • 後々別の端末に移行しようと思っていたので外部メディアに作ると楽 だと思った • Vmware fusionだと一時的にうまくできたが，一度シャットダウンす ると起動しなくなった

   • 仮想ハードディスクの容量が足りなかった • 20~30GBくらいをデフォルトでお勧めしてくるので，それより少し多 いくらい（40~50）でやってもできなかった • 100GBは必要

7. 結果 • Virtualboxにて動作する仮想環境が構築できた • 2コア，メモリ４GBのスペックだが基本的には快適に操作できる • 不具合が多い • 不定期に突然再起動する •

   固まって動かなくなる • どこかのキーが連打される • サスペンドして戻せば治る • おそらくvirtualboxのせい

8. macOSのアプリケーション • 画像などのリソースや各種メタデータなどのファイルがまと まったディレクトリとして成り立っている • それだけではないが，バイナリ単体で配布されていることはCUIツー ルでない限り少ない • PKGファイルも圧縮ファイルの一つ •

   GUI上では一つのファイルのように見える • もちろんその中にバイナリファイルも含まれている • 今回はその形式（バンドル）のマルウェアについて解析する

9. 解析 • こちらのサイトをなぞる形でやっていく • How to Reverse Malware on macOS

   Without Getting Infected | Part 1（環境構築，表層解析） • Part2（静的解析） • Part3（動的解析）

10. 検体 • SHA256： 197977025c53d063723e6ca2bceb9b98beff6f540de80b283753 99cdadfed42c • 記事曰く，あまり危険なものではないらしい • Malshare.comよりダウンロード

11. 表層解析 • fileコマンドで調べる • Zipのため解凍 • UnPackNwという アプリが出現

12. コード署名 • CodeSignatureというディレクトリがあった • macのアプリはコード署名を付与して安全性を高める機能があ る • 偽の不正な署名を利用し，マルウェアは正規のものであるよう に見せている •

    しかしGatekeeperという機構のチェック対象となり，動作しな い可能性がある • 現にこのバージョンのOSでは起動しない

13. codesign • Codesignコマンドでコード署名を確認できる

14. メタデータ • マルウェアのディレクトリには Info.plistというメタデータがある • Plutilコマンドで確認可能 • ほかにもメタデータがあるが 今回は割愛

15. 謎のファイル • Resourcesディレクトリ内にunpack.txtというテキストファイ ルが存在していた • 実行権限が付与されていて不自然

16. Nazo no file • 暗号化されている • これがなにか突き止めるにはコードを解析していくしかなさそ うだ

17. Mach-O形式 • MacOSディレクトリに本体のバイナリが存在している • Mach-Oという形式のファイルになっている • いわゆるWindowsでいうPEファイルやLinuxのELFファイル

18. Mach-O • もちろん違いはあるが，ELFやPEと同じ • Mach-O Header ->ELF Header • Load

    Commands -> Segment Header • Data -> Section, Segment • 詳しくはこのへん • PARSING MACH-O FILES

19. シンボル情報(pagestuff) • pagestuffコマンドでセグメントのシンボル情報を見ることがで きる

20. シンボル情報(nm) • Linuxでのnmも利用できる

21. otool • Linuxでいうところのobjdump • -oV • Objective-Cのクラスを表示 • -L •

    リンクされているライブラリを表示 • Lddコマンドみたいなもの • -tV • アセンブリコードを出力 • ほかにもたくさん

22. otool

23. 静的コード解析 • アセンブリコードからさっきのunpack.txtを検索してみる • その文字列の周辺のコードを見るとenncryptDecryptStringとい うメソッドがある • さらにこのメソッドを検索して中身を見ると，XORの処理をし ているようだ •

    僕はこのコードを見てもXORだとはわからなかった • 感覚が鈍ってしまったのか • 動的解析で復号化された文字列を取得しよう

24. アセンブリ

25. enncryptDecryptString

26. マルウェアを動かす前に • ネットワークは隔離して実験する • macにはgatekeeperというセキュリティ機構がある • xattr –l コマンドで属性を調べて，com.apple.quarantineという出力が 得られたらgatekeeperの対象となっているため，これを外さないとい

    けない • xattr –rc <file name> • 記事にはなかったが，System Integrity Protection(SIP)という 機構も外したほうが良い • SIPについては詳しいことは調べられていません • ルートユーザがアクセスできるファイルやフォルダに制限をかけるものらしい

27. SIPの無効化 • 本来なら電源投入直後にcommand+Rでリカバリモードに入っ て，そこのシェルからcsrutil disableを実行 • Virtualboxだとcommand+Rでリカバリモードに入ることがで きない！ • VirtualboxのBIOSからEFI

    Shellを起動し，そこからリカバリモードを 起動する • 僕の環境の場合，FS4:というドライブの中にリカバリモードをブート するプログラムがあった • これにより無事にSIPを無効化できた

28. lldb • デバッガにはlldbを利用する • GDBと同じくかなり高機能 • lldbで起動，fileコマンド で実行ファイルを指定しprocess launch –sでエントリポイントまで実行

29. SIPが有効になっていると...

30. 動的解析 • ブレークポイントにenncryptDecryptStringを指定して続行

31. 動的解析 • Disassembleコマンドでストップしている関数を逆アセンブル できる • 最後のほうにinitWithStringメソッドが呼び出そうとしている • initWithStringは文字列を生成するメソッドである • 復号化された文字列か入っているのではないか？

32. enncryptDecryptString

33. あの謎のファイルの正体 • rdiにメソッド名，rsiに第一引数が格納される • クラスのメソッド呼び出しだから一個ずれてる？ • rdiにinitWithStringが格納されているのでrsiを見る

34. 謎のファイルの正体 • シェルスクリプトだった • XXXXはXの数と同じ長さのランダムな文字列 • ダウンロードして解凍して実行 • 今回解析したマルウェア自体はドロッパーだったのかな

35. まとめ • macOSマルウェアの解析手法についてザッと解説 • macOSならではのデータやツールがあって面白い • このチュートリアルをやって，さらに色々やりたいことをやる つもりだったが，これやるだけで手いっぱいになってしまった • 自分でマルウェアを解析してみたり，論文を読んだりしていき

    たいと思う