Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Discordを乗っ取るマルウェアの解析
Search
mopi
March 12, 2022
0
110
Discordを乗っ取るマルウェアの解析
セキュリティ・キャンプ 交友会 2022 春 オンラインのLT会での発表で使用するスライドです。
mopi
March 12, 2022
Tweet
Share
More Decks by mopi
See All by mopi
PLAY & PLAY & PLAY with Ghidra Debugger
mopisec
0
290
Analyzing C# (.NET) Malware
mopisec
1
450
DetExploit - Windows用OSS脆弱性スキャナー (未踏ジュニア最終成果報告会)
mopisec
0
130
Featured
See All Featured
The Language of Interfaces
destraynor
156
24k
Building an army of robots
kneath
303
45k
Speed Design
sergeychernyshev
27
800
It's Worth the Effort
3n
184
28k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
175
52k
We Have a Design System, Now What?
morganepeng
51
7.4k
Raft: Consensus for Rubyists
vanstee
137
6.8k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
27
1.9k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
630
Code Review Best Practice
trishagee
67
18k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.3k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
100
18k
Transcript
Discordを乗っ取るマルウェアの解析 Naoki Takayama セキュリティ・キャンプ 交友会 2022 春 オンライン 1 Discordを乗っ取るマルウェアの解析
2 Background Discordを乗っ取るマルウェアの解析
3 Info Discordを乗っ取るマルウェアの解析 ファイル名 Beholder3.exe SHA256 cf6194084a0b7eaa297585ad9981ffb7ca4a9b0227d28a806014d7a01735d61e • Windows Defender
/ VirusTotal で脅威として判定されなかった (2/14) • ファイル名の “Beholder3.exe” は3月3日にリリースされた “Beholder 3” という新作のインディーゲームを意識してつけられている?
4 Extract Discordを乗っ取るマルウェアの解析 • “strings” コマンドなどを実行すると、”nexe” というツールを使用して Node.jsアプリケーションをPEファイル化していることがわかる • また、難読化されたペイロード(JavaScript)も抽出することができた
(https://gist.github.com/mopisec/9bf5472b54a0017ff74775b35f812bcb) $ strings Beholder3.exe.malware | grep “<nexe~~sentinel>” function a0_0xc71027(_0xdc1ad2,_0x24f7bb,_0x5619a0,_0x4a3e17,_ …… # 以下略
g 5 Decode Discordを乗っ取るマルウェアの解析 • “a0_0x550c” という関数が頻繁に呼び出されている • 文字列をデコードもしくは復号化する関数だと推測できる •
ペイロード内の関数呼び出し箇所をデコード後の文字列に置換する スクリプトをNode.jsで実装した
g 6 Deobfuscate Discordを乗っ取るマルウェアの解析 • 一般的な難読化手法も用いられていたので、それらはオンラインツール (deobfuscator.io など) を使用することで対処した
g 7 Analyze Discordを乗っ取るマルウェアの解析 • Discord内部で使用されている “index.js” をインターネット上から取得した Maliciousなファイル(情報を窃取するもの)に置換していた •
窃取したDiscord内の情報を攻撃者が用意したWebhook宛てに送信する • 窃取する情報 • Discordの認証情報、支払い情報、フレンド情報など • 入手した情報を利用して、更に感染者を増やそうと試みる
g 8 Inspect (1) Discordを乗っ取るマルウェアの解析
g 9 Inspect (2) Discordを乗っ取るマルウェアの解析 • デバッグ用の処理などが追加されていたが、概ね PirateStealer2 という 別のDiscordを乗っ取るマルウェアと同じコードだった
• PirateStealer2 のソースコードは誰でも入手できる • 同一作者の可能性もあるが、PirateStealer2の作者であるStanley氏はマ ルウェア開発にはもう関わりたくないと表明している • Twitter上でDiscordをメンションして「私に連絡したらDiscordを 安全なアプリにする方法を教える(意訳)」とアピールしていた
g 10 Discordを乗っ取るマルウェアの解析
g 11 Conclusion Discordを乗っ取るマルウェアの解析 • 知り合いから送られてきたものであっても、怪しいファイル(特に実行 ファイルやマクロ付き文書ファイルなど)は開かないようにしましょう • 攻撃者にとっての Discord
というプラットフォームの存在 • 今後も同じような攻撃が発生するかもしれない • 他のプラットフォームが攻撃対象になる可能性も • 継続して情報収集に取り組んでいきたい
g 12 Any Questions? Discordを乗っ取るマルウェアの解析 • コメント・質問などは感想戦 (17:10~) にて! •
Slack / Discord に書き込んでいただいてもOKです! • 交友会はまだまだ続くので、盛り上げていきましょう!
Discordを乗っ取るマルウェアの解析 Naoki Takayama セキュリティ・キャンプ 交友会 2022 春 オンライン 13 Discordを乗っ取るマルウェアの解析