Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Investigating-Malware-20191030

hiro
October 30, 2019

 Investigating-Malware-20191030

hiro

October 30, 2019
Tweet

More Decks by hiro

Other Decks in Technology

Transcript

  1. 不審メールの分類
 ※添付されるファイルは、ダウンローダが主流 不審メール
 メールの形態
 目的
 ばらまき型メール
 マルウェアを含む添付
 ファイル
 金銭目的(バンキングトロージャンか、
 ランサムウェアがほとんど)


    不審なリンクを含むメール
 フィッシング(アカウント情報、
 クレジットカード情報の窃取)
 出会い系サイトやアダルトサイトへの
 誘導(迷惑メール、SPAMメール)
 メールアドレスの死活確認
 標的型攻撃メール
 RAT(リモートアクセスツ
 ール)を含む添付ファイル
 特定組織が保有する秘密情報の窃取
 ランサムウェアのダウン ローダを含む添付ファイル
 標的型ランサムウェア(Ryuku、 Sodinokibi、RobinHood)
 BEC
 (ビジネスメール詐欺)
 テキスト
 攻撃者が用意した口座への振込み
 5
  2. 6 OSINTとは
 公開情報
 OSINT
  (オシント)
 Webサイトや書籍などの公開情報
 (オープン・ソース・インテリジェンス)
 非公開情報
 HUMINT
  (ヒューミント)


    人から情報を収集
 SIGINT
  (シギント)
 通信、電磁波、
 信号等の傍受を
 利用した諜報活動
 参考:第382号コラム「3つのインテリジェンス」 - デジタル・フォレンジック研究会
    https://digitalforensic.jp/2015/10/05/column382/
 ※OSINTを有効に利用するだけで、知るべき情報の98%
  は得られるという人もいる。

  3. 7 1 現在主流のマルウェア感染手法
 3年ほど前までは実行ファイル(.exe、.scr等)が添付されていたが、
 現在は、JavaScriptやOfficeファイルのVBAマクロや PowerShell スクリ プトがダウンローダ(ドロッパー)として添付されている。
 ダウンローダーのアクセス先URLや、ペイロードが通信するC&Cサーバ (C2サーバ)の通信先などの脅威情報(IoC:Indicator

    of Compromise) が判明すれば、通信制限することで被害を最小限にできる。 C&Cサーバ ペイロード
 (マルウェア本体) 接続を制限 ▪参考情報
 ・防ぎきれない攻撃を検知するため利用が広がるIoC、課題や限界を踏まえた上での利用が不可欠
  https://www.cybernet.co.jp/carbonblack/tips/06.html

  4. 12 3 マルウェアの調査(自前で調査する場合)
 (1)解析方法
 解析
 概要
 解析時間
 難易度
 表層解析
 ハッシュ値、ファイルタイプ、文字列抽出など から得られた情報など、表面的な情報から解

    析する手法。
 短い
 易しい
 動的解析
 実際にマルウェアを動作させて、その挙動(通 信先、ファイル変更、レジストリ変更等)を調べ る解析手法。ブラックボックス解析。
 
 
 静的解析
 マルウェアの実行ファイルをデバッガを使用し てプログラムコードを分析する解析手法。
 ホワイトボックス解析。
 長い
 難しい
 ※ハッシュ値
 一方向関数によって得られる固定長の不可逆な文字列。ハッシュ値から元の 入力データを生成することはできない。入力データが同じであればハッシュ値 も同じとなる。ファイル名が異なっていても中身が同じであれば、同じハッシュ 値となるためマルウェアの調査でよく利用される。(SHA256、MD5)

  5. 13 3 (2)調査に便利なサイト
 サイト名、URL
 ハッシュ値
 検索
 ファイル名
 検索
 動的
 解析


    最近の
 検体
 URL
 解析
 IPアドレス、
 ドメイン名
 URL調査
 PCAP
 解析
 virustotal.com
 ウイルストータル
 ◎
 ×
 -
 ×
 〇
 ◎
 -
 hybrid-analysis.com
 ハイブリッドアナリシス
 〇
 △
 ◎
 〇
 〇
 △
 -
 app.any.run
 エニーラン
 〇
 -
 △
 〇
 △
 △
 -
 joesandbox.com
 ジョーサンドボックス
 〇
 〇
 △
 ◎
 〇
 〇
 -
 cape.contextis.com
 ケープ
 〇
 〇
 △
 〇
 〇
 〇
 〇
 packettotal.com
 パケットトータル
 〇
 -
 -
 〇
 -
 〇
 ◎
 凡例 ◎おすすめ、〇可能、×有償オプション、△要ユーザ登録、-機能なし
 (以下、VirusTotalをVT、Hybrid-AnalysisをHA、JoeSanboxをJOEという。)
 virustotal.com
 ウイルストータル
 ◎
 ×
 -
 ×
 〇
 ◎
 -
 hybrid-analysis.com
 ハイブリッドアナリシス
 〇
 △
 ◎
 〇
 〇
 △
 -
 app.any.run
 エニーラン
 〇
 -
 △
 〇
 △
 △
 -

  6. 34