なぜマルウェア解析は自動化できないのか

 なぜマルウェア解析は自動化できないのか

セキュリティ・キャンプ全国大会2016 講義資料

5c6358240ec94522f70cf7b0e657f58f?s=128

Yuma Kurogome

August 14, 2016
Tweet

Transcript

  1. None
  2. None
  3. None
  4. None
  5. None
  6. • • • • • • • • • •

    • • • •
  7. • • • •

  8. • • • • • • • • • •

    • • • •
  9. • • • • • • • • • •

    • • •
  10. None
  11. • • • • • • • • • •

    • • • • • • • • • • • • • • • • • • • •
  12. • • • • • •

  13. typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; ... DWORD SizeOfCode; //

    コード全体のサイズ ... DWORD AddressOfEntryPoint; // エントリポイントのアドレス (RVA) DWORD BaseOfCode; // コード領域のベースアドレス (RVA) DWORD BaseOfData; // グローバル変数などの値が確定していないデータ領域のベースアドレス (RVA) DWORD ImageBase; // 仮想メモリにロードされるときの開始(ベース)アドレス // RVAはImageBaseのアドレスを引いた相対アドレス ... DWORD SizeOfImage; // メモリにロードされたときの全体サイズ DWORD SizeOfHeaders; ... IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; // インポート情報やエクスポート情報などへのアドレス (RVA) } IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;
  14. None
  15. • • • • • •

  16. None
  17. • • • • • • •

  18. • • • • • • • •

  19. • • • •

  20. • MOV EBX, EAX ADD EAX, $0x4 … MOV EBX,

    EAX ADD EAX, $0x4 … • • • mov_i32 ebx, eax movi_i32 tmp1, 0x4 add_i32 eax, tmp1 •
  21. None
  22. None
  23. • • • • • • • • •

  24. • • •

  25. • • • • •

  26. • • • • •

  27. None
  28. • • • • •

  29. • • • • • •

  30. • •

  31. • • • • • • • •

  32. from datetime import date from hashlib import sha256 def dyre_dga(num,

    date_str=None): if None == date_str: date_str = '{0.year}-{0.month}-{0.day}'.format(date.today()) tlds = ['.cc', '.ws', '.to', '.in', '.hk', '.cn', '.tk', '.so'] hash = sha256('{0}{1}'.format(date_str, num)).hexdigest()[3:36] replace_char = chr(0xFF & ((num % 26) + 97)) return '{0}{1}{2}:443'.format(replace_char, hash, tlds[num % len(tlds)]) todays_domains = [dyre_dga(i) for i in xrange(333)]
  33. • • • •

  34. • •

  35. • • •

  36. None
  37. None
  38. • • • • • • • • •

  39. • • • •

  40. • •

  41. cmp eax, 0x7E0 je 0xdeadbaad if(x!=2016) Invalid. ASSERT( INPUT_*_*_* =0hex7E0

    ); (a1 or !a2 or a3 … or an) and (b1 or b2 or !b3 … or !bn) and …
  42. None
  43. • •

  44. None
  45. • •

  46. None
  47. None
  48. • • • • • •

  49. • • •