Analyzing C# (.NET) Malware

© 2021 mopisec All rights reserved. 1 Analyzing C# (.NET)
Malware セキュリティ・キャンプアワード2021 Naoki Takayama (@mopisec) セキュリティ・キャンプ全国大会 2018 修了生 https://mopisec.net

Malware mopisec # whoami ・セキュリティ・キャンプ全国大会2018 修了生・セキュリティ・ネクストキャンプ 2019 ・ Global Cybersecurity Camp 2018 ・地方・全国大会, GCC ではチューターなど・ Interests: Digital Forensics and Incident Response ・ esp. Artifact Analysis ・ https://mopisec.net

Malware Malware Analysis マルウェア解析 • 表層解析、静的解析、動的解析など様々な解析手法が存在する • マルウェアを解析することによって…… • どのように標的のシステムに侵入したのか (Root Cause) • どの C&C サーバーと通信しているのか • 誰が侵入したのか (わからない場合も多い) • を知るためのヒントを得ることができる • インシデントレスポンスの中に含まれると考えている人・企業も多い

Malware Experiences マルウェア解析の経験 • PlugX • Emotet (Downloader) • Obfuscated PowerShell Script • Obfuscated Shell Script ＊マルウェア解析の経験が足りない！課題を克服するためには… → CTF大会に参加しReversingにカテゴライズされる問題を解く → 実際にマルウェアを解析して練習を行う

Malware Which Malware? どのマルウェアを解析する？ • 先述した PlugX のようにビルダーが入手可能なもの • 検証しやすい＆（ある程度）安全であるため • 今まで解析したマルウェアとは違う技術・言語が使われているもの • C (C++), Python (pyinstaller) で開発されたもの、難読化されたスクリプト等以外 • 知名度があり、実際の攻撃で使用されているもの • ANY.RUN , VirusTotal などのサービスへのサブミッションの統計から判断した → Quasar RAT

Malware What is Quasar RAT Quasar RAT とは • Quasar RATとはMaxXOR氏が中心となり開発しているOSSのRATである。 GitHub Repository: https://github.com/quasar/Quasar

Malware What is Quasar RAT リモートシェル機能

Malware What is Quasar RAT リモートデスクトップ機能（操作なども可能！）

Malware What is Quasar RAT Messagebox表示機能

Malware What is Quasar RAT 紹介しきれないほど機能がたくさんある...!!! README.md

Malware What is Quasar RAT 標的型攻撃などに使われている https://www.paloaltonetworks.jp/company/in-the-news/2017/targeted-attack-against-gov-using-Downeks-Quasar-RAT

Malware What is Quasar RAT 多くの亜種、派生版が存在している https://blogs.jpcert.or.jp/ja/2020/12/quasar-family.html

Malware Goals 目標・やりたい事 • Quasar RAT のような C# (.NET) で作成されたプログラム (マルウェア) のリバースエンジニアリング技術を習得する • Quasar RAT の動的解析を行い、挙動について検証する • 最後に実際にインターネット上から取得したサンプルを調査する

Malware Static Analysis dnSpyを用いた静的解析

Malware dnSpy .NET Debugger and Assembly Editor GitHub Repository: https://github.com/dnSpy/dnSpy

Malware dnSpy .NET Debugger and Assembly Editor • C# (.NET) で開発されたプログラムをデコンパイルすることができるツール • デコンパイルエンジン: ILSpy Decompiler Engine • 上記のデコンパイルエンジンは “ILSpy” という別のツールのために開発、使用されていたものだが、インターフェースや機能面から “dnSpy” の方が使いやすい（と私は感じた）

Malware dnSpy .NET Debugger and Assembly Editor

Malware Reference GitHub 上のクライアントサイドコードと比較しながら解析を進める Quasar.Client/Program.cs Decompiled Code (Entry Point)

Malware Configuration 設定情報を発見！ Quasar.Client/Config/Settings.cs Decompiled Code (where configuration is defined)

Malware Configuration 設定情報を発見！ Decompiled Code (where configuration is defined) 何が書いてあるのかわからない。なぜ？？

Malware Configuration AES暗号化されていることがわかった Quasar.Client/Config/Settings.cs

Malware Configuration AES暗号化されていることがわかった Quasar.Client/Config/Settings.cs 復号化している

Malware Configuration 設定情報はいつ、どこで暗号化されている？ Decompiled Code (where configuration is defined) ビルド段階で暗号化された設定情報が埋め込まれるようになっている

Malware Configuration サーバー側のクライアントをビルドするコード内に暗号化処理を発見 Quasar.Server/Build/ClientBuilder.cs

Malware Dumping Configurations 実行バイナリから接続先等の情報を抽出する

Malware Configuration AES暗号化されていては接続先などがわからない Quasar.Client/Config/Settings.cs

Malware Original Implementation オリジナルのAES暗号化・復号化ライブラリを使用している Quasar.Common/Cryptography/Aes256.cs

Malware Awesome Document 谷知亮さん, 朝長秀誠さん, 喜野孝太さんが公開されている資料にて仕様が解説されていましたわかりやすく素晴らしい資料を一般に公開していただき、ありがとうございます。 https://github.com/JPCERTCC/QuasarRAT-Analysis/blob/main/slides/Botconf2020-Hunting_the_Quasar_Family.pdf

Malware Decrypt It!! 仕様の確認 • 設定情報を Base64 エンコードしたものがAES暗号化されている • ENCRYPTIONKEY および salt によって共通鍵を生成している • ENCRYPTIONKEY はビルド時に自動的に生成される • salt は基本的に不変 • 共通鍵: PBKDF2 ( ENCRYPTIONKEY , salt , 50000 ) . read (16)

Malware Decrypt It!! 仕様をもとに暗号化された設定情報を復号化するためのスクリプトを書いた

Malware Decrypt It!! 仕様をもとに暗号化された設定情報を復号化するためのスクリプトを書いた実行バイナリから抽出した ENCRYPTIONKEY

Malware Decrypt It!! 仕様をもとに暗号化された設定情報を復号化するためのスクリプトを書いた実行バイナリから抽出した暗号化されたC&Cサーバーの情報 (ホスト、ポート)

Malware Decrypt It!! 仕様をもとに暗号化された設定情報を復号化するためのスクリプトを書いた Quasar.Common 内で定義されている salt

Malware Decrypt It!! 仕様をもとに暗号化された設定情報を復号化するためのスクリプトを書いた定義したデータをもとに共通鍵を生成している

Malware Decrypt It!! 仕様をもとに暗号化された設定情報を復号化するためのスクリプトを書いた暗号化された設定情報を復号化している

Malware Decrypt It!! 暗号化された設定情報を復号化するためのスクリプトを書いた

Malware Decrypt It!! 暗号化された設定情報を復号化するためのスクリプトを書いた（Python）一致！！

Malware Dynamic Analysis Noriben, FakeNet-NGを用いた動的解析

Malware Dynamic Analysis Noriben, FakeNet-NG を用いた動的解析・ Noriben: Malware Analysis Sandbox Tool → ファイル・レジストリへの書き込み、設定の変更などを確認する → GitHub: https://github.com/Rurik/Noriben ・ FakeNet-NG: Dynamic Network Analysis Tool → パケットキャプチャ & どのプロセスが通信を行ったか記録 & 外部への通信を遮断する → GitHub: https://github.com/fireeye/flare-fakenet-ng

Malware Dynamic Analysis Noriben, FakeNet-NG を用いた動的解析・使用する実行バイナリは静的解析の際に使用したものと同じもの・クリーンな検証用の Windows 10 環境 (on VMware Workstation) を構築しました・スナップショット・ CleanEnv (初期状態) ・ ToolsInstalled (解析ツールなどのインストール後) ・ AfterRun (マルウェア, 解析ツールの実行後) ・サーバーサイドは展開せず、クライアントサイドの挙動の観察に集中します

Malware Run Noriben GitHub からリポジトリをクローン (ダウンロード) する GitHub Repository: https://github.com/Rurik/Noriben

Malware Run Noriben GitHub からリポジトリをクローン (ダウンロード) する

Malware Run Noriben Noriben の実行には Sysinternals Suite が必要なため、配置して PATH に追加する

Malware Run Noriben “Noriben.py” を実行する

Malware Run FakeNet-NG GitHub からリポジトリをクローン (ダウンロード) する GitHub Repository: https://github.com/fireeye/flare-fakenet-ng

Malware Run FakeNet-NG GitHub からリポジトリをクローン (ダウンロード) する

Malware Run FakeNet-NG “fakenet.exe” を実行する

Malware Run Quasar RAT 解析用バイナリを実行する

Malware Analyze Noriben Logs Noriben によって記録されたデータを解析する

Malware File Activities ファイルアクティビティの調査 Noriben実行中に作成されたプロセスで関係のあるもの

Malware Noriben実行中に作成されたプロセスで関係のあるもの一つ目: 解析用マルウェアを私が実行した際の記録 File Activities ファイルアクティビティの調査

Malware Noriben実行中に作成されたプロセスで関係のあるもの一つ目: 解析用マルウェアを私が実行した際の記録二つ目: 解析用マルウェアが自身のコピーを作成した際の記録 File Activities ファイルアクティビティの調査

Malware Noriben実行中に作成されたプロセスで関係のあるもの一つ目: 解析用マルウェアを私が実行した際の記録二つ目: 解析用マルウェアが自身のコピーを実行した際の記録 File Activities ファイルアクティビティの調査

Malware Noriben実行中に作成されたプロセスで関係のあるもの一つ目: 解析用マルウェアを私が実行した際の記録二つ目: 解析用マルウェアが自身のコピーを実行した際の記録マルウェアは自身のコピーを “%AppData%¥SubdirectoryForQuasarRAT” 内に作成 File Activities ファイルアクティビティの調査

Malware Check!! 先ほど作成したスクリプトを改変して解析結果が正しいか確認する

Malware Check!! 実際に解析環境上で “%AppData%¥SubdirectoryForQuasarRAT” を確認する SHA256 Hash: e8792696bfc9a8861ebd7d2cb7a6a6a15ef52af5c29ab9024cb39ce42c0ac37d

Malware New File ファイルアクティビティの中にログファイルを発見

Malware New File どの DLL を実行時に読み込んだのかログが残っている（大まかにだが）どのような処理を行っているか予想できる可能性がある

Malware Registry Activity 自動実行用のエントリが作成されている

Malware Registry Activity 自動実行用のエントリが作成されている HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run 内のエントリに記述されたプログラムはWindows起動時に自動的に実行されるようになっている

Malware Registry Activity 自動実行用のエントリが作成されている HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run 内のエントリに記述されたプログラムはWindows起動時に自動的に実行されるようになっている → Persistence化

Malware Network Activity FakeNet-NG のログの調査定期的に 192.168.169.128:4782 に対して通信を行っている

Malware Practice!! インターネット上から取得した “Quasar RAT” の解析

Malware Static Analysis Quasar RAT としてラベルされているバイナリを ANY.RUN から取得しました SHA256 Hash: 7A1AD31508F2EA1D7ABC2907977EAF32537F09994D1622B3E2E733649905C861

Malware Static Analysis dnSpyを用いて暗号化された設定情報、ENCRYPTIONKEYを取得する ENCRYPTIONKEY

Malware Script is Working!! 作成したスクリプトに静的解析から取得したデータを入力した結果…… インストール名には実在する製品名が入っていたため、C&C サーバーの情報と合わせて念のためマスクしてあります

Malware Threats / Interesting Point 脅威および注目すべき点・設定情報をAES暗号化するメリットが最初わからなかったが、以下の点から効果的だと感じた・平文や単純なEncodingで保存されていないので、表層解析の段階では通信先などがわからない・ ENCRYPTIONKEY をそのまま共通鍵として採用しているわけではない・ Quasar RAT がOSSとして公開されているからこそ仕様の解明が容易だが、ソースコードがなければ静的解析によって少しずつ調べていく必要がある・ ILSpy Decompiler Engine (dnSpyのデコンパイラエンジン) は比較的もとのソースコードに近い形でC# (.NET) プログラムをデコンパイルするが、それでも仕様の解明は困難だと感じた

Malware Threats / Interesting Point 脅威および注目すべき点・もしも salt の値を変更すれば、解析は格段に難しくなってしまうのではないだろうか・共通鍵の生成方法を変更すれば… ・設定情報を保持する方法を変更すれば… ・このように、小さな変更を加えるだけで解析が困難になることこそが同RATの亜種が大量に開発されている理由なのではないだろうか

Malware Future Works 今後やっていきたいこと・まだ自力で解明できていない仕様や動作がある為、ソースコードを読むほか、国内外の皆様が公開されている貴重な資料を読み込み、解析を続ける・本発表を行う中で書いたスクリプトは何らかの形で公開したい（アウトプット）・（私の知る限り）設定情報をデコードするスクリプトは一般に公開されていないため・リファクタリングやインターフェースの実装などが終わり次第、公開したいと考えています・今後もマルウェア解析のスキルを研磨し、社会に出ても情報セキュリティ業界で活躍することができる人材になれるよう努める

Malware Special Thanks スペシャルサンクス・セキュリティ・キャンプ講師の皆様・動的解析の手法など、本発表(解析)で使用した技術の多くは私がセキュリティ・キャンプおよびその関連イベントで講師の皆様から教えていただいたものです。・ JPCERT/CC の皆様・皆様が公開されていた素晴らしい資料がなければ、ここまで辿り着けませんでした。・この発表を聞いてくださったすべての皆様・本当にありがとうございました。

Malware セキュリティ・キャンプアワード2021 Naoki Takayama (@mopisec) セキュリティ・キャンプ全国大会 2018 修了生 https://mopisec.net

Analyzing C# (.NET) Malware

Analyzing C# (.NET) Malware

More Decks by mopi

Other Decks in Technology

Featured

Transcript