$30 off During Our Annual Pro Sale. View Details »

なぜマルウェア解析は自動化できないのか

Yuma Kurogome
August 14, 2016
Programming
6
3.9k

 なぜマルウェア解析は自動化できないのか

セキュリティ・キャンプ全国大会2016 講義資料

Yuma Kurogome

August 14, 2016
Tweet

More Decks by Yuma Kurogome

See All by Yuma Kurogome
The Art of De-obfuscation
ntddk
16
27k
死にゆくアンチウイルスへの祈り
ntddk
55
38k
Windows Subsystem for Linux Internals
ntddk
10
2.7k
Linear Obfuscation to Drive angr Angry
ntddk
4
770
CAPTCHAとボットの共進化
ntddk
2
1k
マルウェアを機械学習する前に
ntddk
3
1.4k
Peeling Onions
ntddk
7
3.3k
仮想化技術を用いたマルウェア解析
ntddk
8
27k
An Introduction to Drawbridge(ja)
ntddk
11
3k

Other Decks in Programming

See All in Programming
飛び出せ!フロントエンド知見共有会~Next,Astro,Sveltekitを使ったエンジニアたちの声~ - NIFTY Tech Day 2023
niftycorp
0
140
ポイントサービス設計の異常な挑戦 または我々は如何にして心配するのを止めてドメイン駆動設計を愛するようになったか - NIFTY Tech Day 2023
niftycorp
0
130
Vue & Vite Rustify
kazupon
4
970
Angular 17 - Rainaissance
gregonnet
0
140
VimConf 2023 Tiny
skanehira
1
220
OpenTelemetry の Trace を中心としたパフォーマンス改善
rmatsuoka
0
510
WantedlyでFeature Storeを導入する際に考えたこと
zerebom
1
410
君たちはどうプログラミングするか
tanakahisateru
7
930
ChatGPTをソフトウェア開発に活用する
fbei_ot
0
140
アーキテクチャ刷新の現場 / Scene of architectural renewal
nrslib
6
960
弊社の開発体験の良いところは?メンバーに訊いてみた!
texmeijin
0
200
Hono v3 and v4
yusukebe
4
2.6k

Featured

See All Featured
Six Lessons from altMBA
skipperchong
18
2.7k
Reflections from 52 weeks, 52 projects
jeffersonlam
342
19k
Art Directing for the Web. Five minutes with CSS Template Areas
malarkey
197
11k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
351
28k
A Tale of Four Properties
chriscoyier
150
22k
RailsConf 2023
tenderlove
0
360
How to name files
jennybc
59
87k
The World Runs on Bad Software
bkeepers
PRO
59
6.2k
[RailsConf 2023] Rails as a piece of cake
palkan
17
3.2k
Bash Introduction
62gerente
603
210k
Side Projects
sachag
450
39k
Product Roadmaps are Hard
iamctodd
43
9.1k

Transcript

  1. View Slide

  2. View Slide

  3. View Slide

  4. View Slide

  5. View Slide















  6. View Slide





  7. View Slide















  8. View Slide














  9. View Slide

  10. View Slide































  11. View Slide







  12. View Slide

  13. typedef struct _IMAGE_OPTIONAL_HEADER
    {
    WORD Magic;
    ...
    DWORD SizeOfCode; // コード全体のサイズ
    ...
    DWORD AddressOfEntryPoint; // エントリポイントのアドレス (RVA)
    DWORD BaseOfCode; // コード領域のベースアドレス (RVA)
    DWORD BaseOfData; // グローバル変数などの値が確定していないデータ領域のベースアドレス (RVA)
    DWORD ImageBase; // 仮想メモリにロードされるときの開始(ベース)アドレス
    // RVAはImageBaseのアドレスを引いた相対アドレス
    ...
    DWORD SizeOfImage; // メモリにロードされたときの全体サイズ
    DWORD SizeOfHeaders;
    ...
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
    // インポート情報やエクスポート情報などへのアドレス (RVA)
    } IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;

    View Slide

  14. View Slide







  15. View Slide

  16. View Slide








  17. View Slide









  18. View Slide





  19. View Slide


  20. MOV EBX, EAX
    ADD EAX, $0x4

    MOV EBX, EAX
    ADD EAX, $0x4




    mov_i32 ebx, eax
    movi_i32 tmp1, 0x4
    add_i32 eax, tmp1

    View Slide


  21. View Slide


  22. View Slide

  23. View Slide

  24. View Slide










  25. View Slide




  26. View Slide






  27. View Slide






  28. View Slide

  29. View Slide






  30. View Slide







  31. View Slide

  32. • •

    View Slide









  33. View Slide

  34. from datetime import date
    from hashlib import sha256
    def dyre_dga(num, date_str=None):
    if None == date_str:
    date_str = '{0.year}-{0.month}-{0.day}'.format(date.today())
    tlds = ['.cc', '.ws', '.to', '.in', '.hk', '.cn', '.tk', '.so']
    hash = sha256('{0}{1}'.format(date_str, num)).hexdigest()[3:36]
    replace_char = chr(0xFF & ((num % 26) + 97))
    return '{0}{1}{2}:443'.format(replace_char, hash, tlds[num % len(tlds)])
    todays_domains = [dyre_dga(i) for i in xrange(333)]

    View Slide





  35. View Slide



  36. View Slide




  37. View Slide

  38. View Slide

  39. View Slide










  40. View Slide





  41. View Slide



  42. View Slide

  43. cmp eax, 0x7E0
    je 0xdeadbaad
    if(x!=2016) Invalid.
    ASSERT( INPUT_*_*_* =0hex7E0 );
    (a1 or !a2 or a3 … or an)
    and (b1 or b2 or !b3 … or !bn)
    and …

    View Slide

  44. View Slide



  45. View Slide


  46. View Slide

  47. View Slide



  48. View Slide

  49. View Slide


  50. View Slide

  51. View Slide







  52. View Slide




  53. View Slide