Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Fileless Malware !

Be27f3e349639f80e28f5fff1d0bc4a2?s=47 Bigdrea6
October 29, 2021

Fileless Malware !

明石高専IT系勉強会#21での発表スライドです
ファイルレスマルウェア関連についての雑な紹介をしました。

Be27f3e349639f80e28f5fff1d0bc4a2?s=128

Bigdrea6

October 29, 2021
Tweet

More Decks by Bigdrea6

Other Decks in Technology

Transcript

  1. None
  2. What is Fileless Malware? 名前の通りファイルがないマルウェア 一般的なマルウェア • ファイルがある(形式 : exe(pe

    format)、elf) • このファイル自体が悪さを働くものなので、解析者はこれの動きを調べる(または検知される) • 余談ですが、マルウェア倉庫を見つけたので興味がある人は後で声かけて下さい ファイルレスマルウェア • 先ほど挙げたファイルから攻撃が始まらない(後のスライドで詳しく説明) • ファイルが全く持って0というわけではない • 大抵、powershellが用いられる • 普通のマルウェアもそうだけど、だいたいはWindowsユーザーを攻撃対象としてる(気がする) メモリ HDD/SSD ファイルレスマルウェア マルウェア
  3. • 攻撃の流れ • ファイルレスの構造 • 検知できなかった理由 Table of contents •

    難読化 • ログ Attack Flow Obfuscation + Log 02 01
  4. Attack Flow 様々な攻撃とファイルレスマルウェアの 構造を理解する 01

  5. Malware type Trojans Ransomware Worm • ユーザーにダウンロードさせる • 個人情報の抜き取り、監視 または踏み台に

    • ファイルを暗号化などして 身代金を要求する • マシンからマシンへの感染 • 自己複製の機能がある https://www.mcafee.com/ja-jp/antivirus/malware.html
  6. Attack .inkなどのファイルにスクリプトを 埋め込んで被害者にダウンロードさせる スクリプト作成 02 01 03 Fileless Malware 04

    スクリプト実行 powershellの立ち上げ、スクリプトを実行 ダウンロード スクリプト実行でダウンローダーが生成される マルウェアをダウンロードする マルウェアを実行する マルウェア実行
  7. 検知できそうだけど、 なんで検知できないの?

  8. ◆ まず、全部が全部マルウェアをダウンロードするわけではない ◆ ディスク上にあるexeしか検査しなかった ◆ ファイルレスはpowershell上、メモリ上で実行される ◆ Powershellでなんでもできるのと権限が高い ◆ 今は検査対象を広くしてるから検知できる

    ◆ 実行ログが残るからログを調べればいい ◆ バックグラウンドで通信したりしてたらそのタスクを 終了すれば通信は終わる ◆ Powershellを使えなくするのは間違い。Powershellは結構いろんなものに 使われている 理由と現状
  9. Obfuscation + Log Powershellスクリプトの記述(難読化)とログの残り方 02

  10. Powershell • イベントビューアー • IDは4104と800 Log • スクリプト言語 • .NET

    Framework language
  11. Obfuscation • 省略 • 大文字・小文字混ぜ • スペース多用 • バッククオート -enc、-joinなどの

    パラメータでの難読化 • 分割・入れ替え・置換 • 型で持つ • エンコード・エンクリプト • 圧縮 Command Layout Parameter String 分かりづらく、解析しづらく、検知しづらくするために難読化は行われる
  12. Log イベントビューアーから • アプリケーションと… -> Windows Powershell -> ID:800 •

    アプリケーションと… -> Microsoft -> Windows -> Powershell -> Operational -> ID:4104 きちんと仕様は読んでなくてあくまで主観 800はスクリプトの解釈が残っている 4104はスクリプトの中身全部が残っているだけ 800は何がされたか、4104はファイルの中身が理解できる ただ、4103 ≒ 800だと最近、解析してて思った では実際にログを見てみましょう!
  13. Detection System on Log ログを見る検知システムを作っている ログを見て検知だと遅いと思われるがそれは半分間違い • バックグラウンドで通信してるやつはタスクを切れば終了する • ファイルが暗号化されたとしたらどう暗号化されたのかログを見て復号

    • ダウンロードされたマルウェアによる攻撃はものによればきついかも (新種や亜種のマルウェアだと情報が少なそうだから)