Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Discordを乗っ取るマルウェアの解析
Search
mopi
March 12, 2022
0
110
Discordを乗っ取るマルウェアの解析
セキュリティ・キャンプ 交友会 2022 春 オンラインのLT会での発表で使用するスライドです。
mopi
March 12, 2022
Tweet
Share
More Decks by mopi
See All by mopi
PLAY & PLAY & PLAY with Ghidra Debugger
mopisec
0
280
Analyzing C# (.NET) Malware
mopisec
1
440
DetExploit - Windows用OSS脆弱性スキャナー (未踏ジュニア最終成果報告会)
mopisec
0
120
Featured
See All Featured
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
GraphQLとの向き合い方2022年版
quramy
44
13k
KATA
mclloyd
29
14k
We Have a Design System, Now What?
morganepeng
51
7.3k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
247
1.3M
Gamification - CAS2011
davidbonilla
80
5.1k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
The Pragmatic Product Professional
lauravandoore
32
6.3k
Code Reviewing Like a Champion
maltzj
520
39k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
48
2.2k
Docker and Python
trallard
42
3.1k
A better future with KSS
kneath
238
17k
Transcript
Discordを乗っ取るマルウェアの解析 Naoki Takayama セキュリティ・キャンプ 交友会 2022 春 オンライン 1 Discordを乗っ取るマルウェアの解析
2 Background Discordを乗っ取るマルウェアの解析
3 Info Discordを乗っ取るマルウェアの解析 ファイル名 Beholder3.exe SHA256 cf6194084a0b7eaa297585ad9981ffb7ca4a9b0227d28a806014d7a01735d61e • Windows Defender
/ VirusTotal で脅威として判定されなかった (2/14) • ファイル名の “Beholder3.exe” は3月3日にリリースされた “Beholder 3” という新作のインディーゲームを意識してつけられている?
4 Extract Discordを乗っ取るマルウェアの解析 • “strings” コマンドなどを実行すると、”nexe” というツールを使用して Node.jsアプリケーションをPEファイル化していることがわかる • また、難読化されたペイロード(JavaScript)も抽出することができた
(https://gist.github.com/mopisec/9bf5472b54a0017ff74775b35f812bcb) $ strings Beholder3.exe.malware | grep “<nexe~~sentinel>” function a0_0xc71027(_0xdc1ad2,_0x24f7bb,_0x5619a0,_0x4a3e17,_ …… # 以下略
g 5 Decode Discordを乗っ取るマルウェアの解析 • “a0_0x550c” という関数が頻繁に呼び出されている • 文字列をデコードもしくは復号化する関数だと推測できる •
ペイロード内の関数呼び出し箇所をデコード後の文字列に置換する スクリプトをNode.jsで実装した
g 6 Deobfuscate Discordを乗っ取るマルウェアの解析 • 一般的な難読化手法も用いられていたので、それらはオンラインツール (deobfuscator.io など) を使用することで対処した
g 7 Analyze Discordを乗っ取るマルウェアの解析 • Discord内部で使用されている “index.js” をインターネット上から取得した Maliciousなファイル(情報を窃取するもの)に置換していた •
窃取したDiscord内の情報を攻撃者が用意したWebhook宛てに送信する • 窃取する情報 • Discordの認証情報、支払い情報、フレンド情報など • 入手した情報を利用して、更に感染者を増やそうと試みる
g 8 Inspect (1) Discordを乗っ取るマルウェアの解析
g 9 Inspect (2) Discordを乗っ取るマルウェアの解析 • デバッグ用の処理などが追加されていたが、概ね PirateStealer2 という 別のDiscordを乗っ取るマルウェアと同じコードだった
• PirateStealer2 のソースコードは誰でも入手できる • 同一作者の可能性もあるが、PirateStealer2の作者であるStanley氏はマ ルウェア開発にはもう関わりたくないと表明している • Twitter上でDiscordをメンションして「私に連絡したらDiscordを 安全なアプリにする方法を教える(意訳)」とアピールしていた
g 10 Discordを乗っ取るマルウェアの解析
g 11 Conclusion Discordを乗っ取るマルウェアの解析 • 知り合いから送られてきたものであっても、怪しいファイル(特に実行 ファイルやマクロ付き文書ファイルなど)は開かないようにしましょう • 攻撃者にとっての Discord
というプラットフォームの存在 • 今後も同じような攻撃が発生するかもしれない • 他のプラットフォームが攻撃対象になる可能性も • 継続して情報収集に取り組んでいきたい
g 12 Any Questions? Discordを乗っ取るマルウェアの解析 • コメント・質問などは感想戦 (17:10~) にて! •
Slack / Discord に書き込んでいただいてもOKです! • 交友会はまだまだ続くので、盛り上げていきましょう!
Discordを乗っ取るマルウェアの解析 Naoki Takayama セキュリティ・キャンプ 交友会 2022 春 オンライン 13 Discordを乗っ取るマルウェアの解析
mopisec
chrisshort
quramy
mclloyd
morganepeng
sugarenia
davidbonilla
pedronauck
lauravandoore
maltzj
tammyeverts
trallard
kneath
