Upgrade to Pro — share decks privately, control downloads, hide ads and more …

なぜマルウェア解析は自動化できないのか

Yuma Kurogome
August 14, 2016
Programming
6
4k

 なぜマルウェア解析は自動化できないのか

セキュリティ・キャンプ全国大会2016 講義資料

Yuma Kurogome

August 14, 2016
Tweet

More Decks by Yuma Kurogome

See All by Yuma Kurogome
The Art of De-obfuscation
ntddk
16
27k
死にゆくアンチウイルスへの祈り
ntddk
55
38k
Windows Subsystem for Linux Internals
ntddk
10
2.8k
Linear Obfuscation to Drive angr Angry
ntddk
4
780
CAPTCHAとボットの共進化
ntddk
2
1.1k
マルウェアを機械学習する前に
ntddk
3
1.5k
Peeling Onions
ntddk
7
3.4k
仮想化技術を用いたマルウェア解析
ntddk
8
27k
An Introduction to Drawbridge(ja)
ntddk
11
3.1k

Other Decks in Programming

See All in Programming
GraphQLサーバの構成要素を整理する #ハッカー鮨 #tsukijigraphql / graphql server technology selection
izumin5210
4
900
大規模Reactアプリのリアーキテクチャ~8万行のTanStack Query移行の軌跡~
kj455
4
1k
見た目から始める生産性向上
ikumatadokoro
10
1.4k
StoreKit2によるiOSのアプリ内課金のリニューアル
kangnux
0
120
スキーマ駆動開発による品質とスピードの両立 - 私達は何故、スキーマを書くのか
kentaroutakeda
0
180
Java 22 Overview
kishida
1
190
Elm Form Validation
bkuhlmann
0
510
Code Reviews
bkuhlmann
4
900
効率化に挑戦してみたらモバイル開発が少し快適になった話
ryunakayama
0
140
単体テストを書かない技術 #phpcon_odawara
o0h
PRO
27
8.5k
冗長なエラーログを削減し、スタックトレースを手に入れる / Reducing Verbose Error Logs and Obtaining Stack Traces
upamune
0
1k
業務ツールとして使うPostman
msys75
0
100

Featured

See All Featured
Designing for humans not robots
tammielis
247
25k
Designing on Purpose - Digital PM Summit 2013
jponch
111
6.5k
RailsConf 2023
tenderlove
8
550
Web development in the modern age
philhawksworth
203
10k
Become a Pro
speakerdeck
PRO
13
4.6k
[RailsConf 2023] Rails as a piece of cake
palkan
27
4k
Learning to Love Humans: Emotional Interface Design
aarron
267
39k
Fireside Chat
paigeccino
22
2.6k
What’s in a name? Adding method to the madness
productmarketing
PRO
17
2.7k
Why You Should Never Use an ORM
jnunemaker
PRO
51
8.7k
Mobile First: as difficult as doing things right
swwweet
217
8.6k
Art, The Web, and Tiny UX
lynnandtonic
290
19k

Transcript

  1. None
  2. None
  3. None
  4. None
  5. None

  6. • • • • • • • • • •

    • • • •

  7. • • • •

  8. • • • • • • • • • •

    • • • •

  9. • • • • • • • • • •

    • • •
  10. None

  11. • • • • • • • • • •

    • • • • • • • • • • • • • • • • • • • •

  12. • • • • • •

  13. typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; ... DWORD SizeOfCode; //

    コード全体のサイズ ... DWORD AddressOfEntryPoint; // エントリポイントのアドレス (RVA) DWORD BaseOfCode; // コード領域のベースアドレス (RVA) DWORD BaseOfData; // グローバル変数などの値が確定していないデータ領域のベースアドレス (RVA) DWORD ImageBase; // 仮想メモリにロードされるときの開始(ベース)アドレス // RVAはImageBaseのアドレスを引いた相対アドレス ... DWORD SizeOfImage; // メモリにロードされたときの全体サイズ DWORD SizeOfHeaders; ... IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; // インポート情報やエクスポート情報などへのアドレス (RVA) } IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;
  14. None

  15. • • • • • •

  16. None

  17. • • • • • • •

  18. • • • • • • • •

  19. • • • •

  20. • MOV EBX, EAX ADD EAX, $0x4 … MOV EBX,

    EAX ADD EAX, $0x4 … • • • mov_i32 ebx, eax movi_i32 tmp1, 0x4 add_i32 eax, tmp1 •

  23. None
  24. None

  25. • • • • • • • • •

  26. • • •

  27. • • • • •

  28. • • • • •

  29. None

  30. • • • • •

  31. • • • • • •

  32. • •

  33. • • • • • • • •

  34. from datetime import date from hashlib import sha256 def dyre_dga(num,

    date_str=None): if None == date_str: date_str = '{0.year}-{0.month}-{0.day}'.format(date.today()) tlds = ['.cc', '.ws', '.to', '.in', '.hk', '.cn', '.tk', '.so'] hash = sha256('{0}{1}'.format(date_str, num)).hexdigest()[3:36] replace_char = chr(0xFF & ((num % 26) + 97)) return '{0}{1}{2}:443'.format(replace_char, hash, tlds[num % len(tlds)]) todays_domains = [dyre_dga(i) for i in xrange(333)]

  35. • • • •

  36. • •

  37. • • •

  38. None
  39. None

  40. • • • • • • • • •

  41. • • • •

  42. • •

  43. cmp eax, 0x7E0 je 0xdeadbaad if(x!=2016) Invalid. ASSERT( INPUT_*_*_* =0hex7E0

    ); (a1 or !a2 or a3 … or an) and (b1 or b2 or !b3 … or !bn) and …
  44. None

  45. • •

  47. None

  48. • •

  49. None

  51. None

  52. • • • • • •

  53. • • •