Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Discordを乗っ取るマルウェアの解析
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
mopi
March 12, 2022
150
0
Share
Discordを乗っ取るマルウェアの解析
セキュリティ・キャンプ 交友会 2022 春 オンラインのLT会での発表で使用するスライドです。
mopi
March 12, 2022
More Decks by mopi
See All by mopi
PLAY & PLAY & PLAY with Ghidra Debugger
mopisec
0
320
Analyzing C# (.NET) Malware
mopisec
1
540
DetExploit - Windows用OSS脆弱性スキャナー (未踏ジュニア最終成果報告会)
mopisec
0
150
Featured
See All Featured
Code Reviewing Like a Champion
maltzj
528
40k
Testing 201, or: Great Expectations
jmmastey
46
8.1k
AI Search: Where Are We & What Can We Do About It?
aleyda
0
7.3k
GraphQLとの向き合い方2022年版
quramy
50
15k
GitHub's CSS Performance
jonrohan
1032
470k
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
1
490
Designing for humans not robots
tammielis
254
26k
My Coaching Mixtape
mlcsv
0
97
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
Imperfection Machines: The Place of Print at Facebook
scottboms
270
14k
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.2k
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
4.1k
Transcript
Discordを乗っ取るマルウェアの解析 Naoki Takayama セキュリティ・キャンプ 交友会 2022 春 オンライン 1 Discordを乗っ取るマルウェアの解析
2 Background Discordを乗っ取るマルウェアの解析
3 Info Discordを乗っ取るマルウェアの解析 ファイル名 Beholder3.exe SHA256 cf6194084a0b7eaa297585ad9981ffb7ca4a9b0227d28a806014d7a01735d61e • Windows Defender
/ VirusTotal で脅威として判定されなかった (2/14) • ファイル名の “Beholder3.exe” は3月3日にリリースされた “Beholder 3” という新作のインディーゲームを意識してつけられている?
4 Extract Discordを乗っ取るマルウェアの解析 • “strings” コマンドなどを実行すると、”nexe” というツールを使用して Node.jsアプリケーションをPEファイル化していることがわかる • また、難読化されたペイロード(JavaScript)も抽出することができた
(https://gist.github.com/mopisec/9bf5472b54a0017ff74775b35f812bcb) $ strings Beholder3.exe.malware | grep “<nexe~~sentinel>” function a0_0xc71027(_0xdc1ad2,_0x24f7bb,_0x5619a0,_0x4a3e17,_ …… # 以下略
g 5 Decode Discordを乗っ取るマルウェアの解析 • “a0_0x550c” という関数が頻繁に呼び出されている • 文字列をデコードもしくは復号化する関数だと推測できる •
ペイロード内の関数呼び出し箇所をデコード後の文字列に置換する スクリプトをNode.jsで実装した
g 6 Deobfuscate Discordを乗っ取るマルウェアの解析 • 一般的な難読化手法も用いられていたので、それらはオンラインツール (deobfuscator.io など) を使用することで対処した
g 7 Analyze Discordを乗っ取るマルウェアの解析 • Discord内部で使用されている “index.js” をインターネット上から取得した Maliciousなファイル(情報を窃取するもの)に置換していた •
窃取したDiscord内の情報を攻撃者が用意したWebhook宛てに送信する • 窃取する情報 • Discordの認証情報、支払い情報、フレンド情報など • 入手した情報を利用して、更に感染者を増やそうと試みる
g 8 Inspect (1) Discordを乗っ取るマルウェアの解析
g 9 Inspect (2) Discordを乗っ取るマルウェアの解析 • デバッグ用の処理などが追加されていたが、概ね PirateStealer2 という 別のDiscordを乗っ取るマルウェアと同じコードだった
• PirateStealer2 のソースコードは誰でも入手できる • 同一作者の可能性もあるが、PirateStealer2の作者であるStanley氏はマ ルウェア開発にはもう関わりたくないと表明している • Twitter上でDiscordをメンションして「私に連絡したらDiscordを 安全なアプリにする方法を教える(意訳)」とアピールしていた
g 10 Discordを乗っ取るマルウェアの解析
g 11 Conclusion Discordを乗っ取るマルウェアの解析 • 知り合いから送られてきたものであっても、怪しいファイル(特に実行 ファイルやマクロ付き文書ファイルなど)は開かないようにしましょう • 攻撃者にとっての Discord
というプラットフォームの存在 • 今後も同じような攻撃が発生するかもしれない • 他のプラットフォームが攻撃対象になる可能性も • 継続して情報収集に取り組んでいきたい
g 12 Any Questions? Discordを乗っ取るマルウェアの解析 • コメント・質問などは感想戦 (17:10~) にて! •
Slack / Discord に書き込んでいただいてもOKです! • 交友会はまだまだ続くので、盛り上げていきましょう!
Discordを乗っ取るマルウェアの解析 Naoki Takayama セキュリティ・キャンプ 交友会 2022 春 オンライン 13 Discordを乗っ取るマルウェアの解析
mopisec
maltzj
jmmastey
aleyda
quramy
jonrohan
honzajavorek
tammielis
mlcsv
sstephenson
scottboms
ipullrank
