Upgrade to Pro — share decks privately, control downloads, hide ads and more …

なぜマルウェア解析は自動化できないのか

Yuma Kurogome
August 14, 2016
Programming
6
3.8k

 なぜマルウェア解析は自動化できないのか

セキュリティ・キャンプ全国大会2016 講義資料

Yuma Kurogome

August 14, 2016
Tweet

More Decks by Yuma Kurogome

See All by Yuma Kurogome
The Art of De-obfuscation
ntddk
16
26k
死にゆくアンチウイルスへの祈り
ntddk
55
38k
Windows Subsystem for Linux Internals
ntddk
10
2.6k
Linear Obfuscation to Drive angr Angry
ntddk
4
760
CAPTCHAとボットの共進化
ntddk
2
970
マルウェアを機械学習する前に
ntddk
3
1.4k
Peeling Onions
ntddk
7
3.2k
仮想化技術を用いたマルウェア解析
ntddk
8
27k
An Introduction to Drawbridge(ja)
ntddk
11
2.9k

Other Decks in Programming

See All in Programming
sync.Mutexの仕組みを理解する
ffjlabo
1
560
「無ければ作る」Backlogに欲しい機能を自分で作った話
nsuz
0
190
From Mobile to Backend with Kotlin and Ktor - plDroid
prof18
0
150
初めてのKubernetes (ハンズオン)
nearme_tech
0
140
例示! Spring Bootで作られた REST APIのテストコード/ Testing-Example-for-a-REST-API-created-with-Spring-Boot
hirotokirimaru
1
250
ユニットテスト実行を 45% 高速化した Repository テスト戦略 / Repository Test Strategy Speeds up Unit Test
yukana
2
100
コンテナ環境でのJavaチューニング
kazumura
1
370
新人PHPer向け 圧倒的に差をつける仕事の進め方 #phpstudy
77web
2
560
実践 AWS CDK 〜 いろいろな参照のカタチと使い分け 〜
konokenj
12
2.1k
シン・リッチエディタ徹底解説
microcms
1
540
JRuby: Looking Forward
headius
1
100
LlamaIndex で Text-to-SQL 100 本ノック!
os1ma
2
790

Featured

See All Featured
Building a Scalable Design System with Sketch
lauravandoore
451
31k
Imperfection Machines: The Place of Print at Facebook
scottboms
255
12k
Put a Button on it: Removing Barriers to Going Fast.
kastner
56
2.6k
How To Stay Up To Date on Web Technology
chriscoyier
779
250k
YesSQL, Process and Tooling at Scale
rocio
158
13k
Designing the Hi-DPI Web
ddemaree
273
33k
Bash Introduction
62gerente
602
210k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
226
16k
Testing 201, or: Great Expectations
jmmastey
26
5.9k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
3.7k
Writing Fast Ruby
sferik
613
58k
GitHub's CSS Performance
jonrohan
1022
430k

Transcript

  1. View Slide

  2. View Slide

  3. View Slide

  4. View Slide

  5. View Slide















  6. View Slide





  7. View Slide















  8. View Slide














  9. View Slide

  10. View Slide































  11. View Slide







  12. View Slide

  13. typedef struct _IMAGE_OPTIONAL_HEADER
    {
    WORD Magic;
    ...
    DWORD SizeOfCode; // コード全体のサイズ
    ...
    DWORD AddressOfEntryPoint; // エントリポイントのアドレス (RVA)
    DWORD BaseOfCode; // コード領域のベースアドレス (RVA)
    DWORD BaseOfData; // グローバル変数などの値が確定していないデータ領域のベースアドレス (RVA)
    DWORD ImageBase; // 仮想メモリにロードされるときの開始(ベース)アドレス
    // RVAはImageBaseのアドレスを引いた相対アドレス
    ...
    DWORD SizeOfImage; // メモリにロードされたときの全体サイズ
    DWORD SizeOfHeaders;
    ...
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
    // インポート情報やエクスポート情報などへのアドレス (RVA)
    } IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;

    View Slide

  14. View Slide







  15. View Slide

  16. View Slide








  17. View Slide









  18. View Slide





  19. View Slide


  20. MOV EBX, EAX
    ADD EAX, $0x4

    MOV EBX, EAX
    ADD EAX, $0x4




    mov_i32 ebx, eax
    movi_i32 tmp1, 0x4
    add_i32 eax, tmp1

    View Slide


  21. View Slide


  22. View Slide

  23. View Slide

  24. View Slide










  25. View Slide




  26. View Slide






  27. View Slide






  28. View Slide

  29. View Slide






  30. View Slide







  31. View Slide

  32. • •

    View Slide









  33. View Slide

  34. from datetime import date
    from hashlib import sha256
    def dyre_dga(num, date_str=None):
    if None == date_str:
    date_str = '{0.year}-{0.month}-{0.day}'.format(date.today())
    tlds = ['.cc', '.ws', '.to', '.in', '.hk', '.cn', '.tk', '.so']
    hash = sha256('{0}{1}'.format(date_str, num)).hexdigest()[3:36]
    replace_char = chr(0xFF & ((num % 26) + 97))
    return '{0}{1}{2}:443'.format(replace_char, hash, tlds[num % len(tlds)])
    todays_domains = [dyre_dga(i) for i in xrange(333)]

    View Slide





  35. View Slide



  36. View Slide




  37. View Slide

  38. View Slide

  39. View Slide










  40. View Slide





  41. View Slide



  42. View Slide

  43. cmp eax, 0x7E0
    je 0xdeadbaad
    if(x!=2016) Invalid.
    ASSERT( INPUT_*_*_* =0hex7E0 );
    (a1 or !a2 or a3 … or an)
    and (b1 or b2 or !b3 … or !bn)
    and …

    View Slide

  44. View Slide



  45. View Slide


  46. View Slide

  47. View Slide



  48. View Slide

  49. View Slide


  50. View Slide

  51. View Slide







  52. View Slide




  53. View Slide