Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Fileless Malware !
Search
Bigdrea6
October 29, 2021
Technology
0
140
Fileless Malware !
明石高専IT系勉強会#21での発表スライドです
ファイルレスマルウェア関連についての雑な紹介をしました。
Bigdrea6
October 29, 2021
Tweet
Share
More Decks by Bigdrea6
See All by Bigdrea6
Bluetooth Mesh
bigdrea6
0
23
Bluetoothのあれこれ
bigdrea6
0
41
Annotate Windows API!
bigdrea6
0
56
Other Decks in Technology
See All in Technology
JAWS-UG Bedrock Claude Night
yamahiro
3
610
Java EE/Jakarta EEの現状と将来―クラウドネイティブ時代にJava EEは対応できるのか?―
takakiyo
1
160
検証を通して見えてきたTiDBの性能特性
lycorptech_jp
PRO
6
3.8k
Terraformあれやこれ/terraform-this-and-that
emiki
8
1.4k
Meta Quest 3 で動く桜マシマシ WebXR アプリを IBM Cloud Code Engine と Babylon.js で作った話
1ftseabass
PRO
0
120
開発パフォーマンスを最大化するための開発体制
ham0215
2
420
On Your Data を超えていく!
hirotomotaguchi
2
690
Gitlab本から学んだこと - そーだいなるプレイバック / gitlab-book
soudai
4
430
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
taishin
1
370
競技としてのKaggle、役に立つKaggle
yu4u
3
1.6k
プロトタイピングによる不確実性の低減 / Reducing Uncertainty through Prototyping
ohbarye
5
390
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
210
Featured
See All Featured
Mobile First: as difficult as doing things right
swwweet
216
8.6k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
187
16k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
357
22k
The Mythical Team-Month
searls
216
42k
GraphQLとの向き合い方2022年版
quramy
32
12k
Designing for humans not robots
tammielis
248
25k
Building Effective Engineering Teams - LeadDev
addyosmani
28
1.8k
How to name files
jennybc
65
93k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
The Invisible Customer
myddelton
114
12k
How To Stay Up To Date on Web Technology
chriscoyier
782
250k
Transcript
None
What is Fileless Malware? 名前の通りファイルがないマルウェア 一般的なマルウェア • ファイルがある(形式 : exe(pe
format)、elf) • このファイル自体が悪さを働くものなので、解析者はこれの動きを調べる(または検知される) • 余談ですが、マルウェア倉庫を見つけたので興味がある人は後で声かけて下さい ファイルレスマルウェア • 先ほど挙げたファイルから攻撃が始まらない(後のスライドで詳しく説明) • ファイルが全く持って0というわけではない • 大抵、powershellが用いられる • 普通のマルウェアもそうだけど、だいたいはWindowsユーザーを攻撃対象としてる(気がする) メモリ HDD/SSD ファイルレスマルウェア マルウェア
• 攻撃の流れ • ファイルレスの構造 • 検知できなかった理由 Table of contents •
難読化 • ログ Attack Flow Obfuscation + Log 02 01
Attack Flow 様々な攻撃とファイルレスマルウェアの 構造を理解する 01
Malware type Trojans Ransomware Worm • ユーザーにダウンロードさせる • 個人情報の抜き取り、監視 または踏み台に
• ファイルを暗号化などして 身代金を要求する • マシンからマシンへの感染 • 自己複製の機能がある https://www.mcafee.com/ja-jp/antivirus/malware.html
Attack .inkなどのファイルにスクリプトを 埋め込んで被害者にダウンロードさせる スクリプト作成 02 01 03 Fileless Malware 04
スクリプト実行 powershellの立ち上げ、スクリプトを実行 ダウンロード スクリプト実行でダウンローダーが生成される マルウェアをダウンロードする マルウェアを実行する マルウェア実行
検知できそうだけど、 なんで検知できないの?
◆ まず、全部が全部マルウェアをダウンロードするわけではない ◆ ディスク上にあるexeしか検査しなかった ◆ ファイルレスはpowershell上、メモリ上で実行される ◆ Powershellでなんでもできるのと権限が高い ◆ 今は検査対象を広くしてるから検知できる
◆ 実行ログが残るからログを調べればいい ◆ バックグラウンドで通信したりしてたらそのタスクを 終了すれば通信は終わる ◆ Powershellを使えなくするのは間違い。Powershellは結構いろんなものに 使われている 理由と現状
Obfuscation + Log Powershellスクリプトの記述(難読化)とログの残り方 02
Powershell • イベントビューアー • IDは4104と800 Log • スクリプト言語 • .NET
Framework language
Obfuscation • 省略 • 大文字・小文字混ぜ • スペース多用 • バッククオート -enc、-joinなどの
パラメータでの難読化 • 分割・入れ替え・置換 • 型で持つ • エンコード・エンクリプト • 圧縮 Command Layout Parameter String 分かりづらく、解析しづらく、検知しづらくするために難読化は行われる
Log イベントビューアーから • アプリケーションと… -> Windows Powershell -> ID:800 •
アプリケーションと… -> Microsoft -> Windows -> Powershell -> Operational -> ID:4104 きちんと仕様は読んでなくてあくまで主観 800はスクリプトの解釈が残っている 4104はスクリプトの中身全部が残っているだけ 800は何がされたか、4104はファイルの中身が理解できる ただ、4103 ≒ 800だと最近、解析してて思った では実際にログを見てみましょう!
Detection System on Log ログを見る検知システムを作っている ログを見て検知だと遅いと思われるがそれは半分間違い • バックグラウンドで通信してるやつはタスクを切れば終了する • ファイルが暗号化されたとしたらどう暗号化されたのかログを見て復号
• ダウンロードされたマルウェアによる攻撃はものによればきついかも (新種や亜種のマルウェアだと情報が少なそうだから)