Investigating-Malware-20191030
by
hiro
Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
OSINTによるマルウェア調査 ハンズオン 第32回ゼロから始めるセキュリティ入門 勉強会 2019/10/30 hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)
Slide 2
Slide 2 text
自己紹介
Slide 3
Slide 3 text
アジェンダ 1 マルウェア関わる脅威情報(IoC)の収集 2 不審メール情報の収集と分析 3 マルウェアの調査 4 ハンズオン ■参考情報 ・VirusTotal.com https://virustotal.com/gui/home/upload ・Hybrid-Analysis.com https://hybrid-analysis.com/ ・Any Run https://app.any.run/
Slide 4
Slide 4 text
1 マルウェアに関わる脅威情報(IoC)の収集 4
Slide 5
Slide 5 text
不審メールの分類 ※添付されるファイルは、ダウンローダが主流 不審メール メールの形態 目的 ばらまき型メール マルウェアを含む添付 ファイル 金銭目的(バンキングトロージャンか、 ランサムウェアがほとんど) 不審なリンクを含むメール フィッシング(アカウント情報、 クレジットカード情報の窃取) 出会い系サイトやアダルトサイトへの 誘導(迷惑メール、SPAMメール) メールアドレスの死活確認 標的型攻撃メール RAT(リモートアクセスツ ール)を含む添付ファイル 特定組織が保有する秘密情報の窃取 ランサムウェアのダウン ローダを含む添付ファイル 標的型ランサムウェア(Ryuku、 Sodinokibi、RobinHood) BEC (ビジネスメール詐欺) テキスト 攻撃者が用意した口座への振込み 5
Slide 6
Slide 6 text
6 OSINTとは 公開情報 OSINT (オシント) Webサイトや書籍などの公開情報 (オープン・ソース・インテリジェンス) 非公開情報 HUMINT (ヒューミント) 人から情報を収集 SIGINT (シギント) 通信、電磁波、 信号等の傍受を 利用した諜報活動 参考:第382号コラム「3つのインテリジェンス」 - デジタル・フォレンジック研究会 https://digitalforensic.jp/2015/10/05/column382/ ※OSINTを有効に利用するだけで、知るべき情報の98% は得られるという人もいる。
Slide 7
Slide 7 text
7 1 現在主流のマルウェア感染手法 3年ほど前までは実行ファイル(.exe、.scr等)が添付されていたが、 現在は、JavaScriptやOfficeファイルのVBAマクロや PowerShell スクリ プトがダウンローダ(ドロッパー)として添付されている。 ダウンローダーのアクセス先URLや、ペイロードが通信するC&Cサーバ (C2サーバ)の通信先などの脅威情報(IoC:Indicator of Compromise) が判明すれば、通信制限することで被害を最小限にできる。 C&Cサーバ ペイロード (マルウェア本体) 接続を制限 ■参考情報 ・防ぎきれない攻撃を検知するため利用が広がるIoC、課題や限界を踏まえた上での利用が不可欠 https://www.cybernet.co.jp/carbonblack/tips/06.html
Slide 8
Slide 8 text
2 不審メール情報の収集と分析 8
Slide 9
Slide 9 text
9 2 (1)不審メール情報 (1/2) ・JC3 (日本サイバー犯罪対策センター) https://www.jc3.or.jp/topics/virusmail.html
Slide 10
Slide 10 text
10 2 (1)不審メール情報 (2/2) ・ITC PORTAL(電気通信大学 情報基盤センター) https://www.cc.uec.ac.jp/blogs/news/cat62/
Slide 11
Slide 11 text
3 マルウェアの調査 11
Slide 12
Slide 12 text
12 3 マルウェアの調査(自前で調査する場合) (1)解析方法 解析 概要 解析時間 難易度 表層解析 ハッシュ値、ファイルタイプ、文字列抽出など から得られた情報など、表面的な情報から解 析する手法。 短い 易しい 動的解析 実際にマルウェアを動作させて、その挙動(通 信先、ファイル変更、レジストリ変更等)を調べ る解析手法。ブラックボックス解析。 静的解析 マルウェアの実行ファイルをデバッガを使用し てプログラムコードを分析する解析手法。 ホワイトボックス解析。 長い 難しい ※ハッシュ値 一方向関数によって得られる固定長の不可逆な文字列。ハッシュ値から元の 入力データを生成することはできない。入力データが同じであればハッシュ値 も同じとなる。ファイル名が異なっていても中身が同じであれば、同じハッシュ 値となるためマルウェアの調査でよく利用される。(SHA256、MD5)
Slide 13
Slide 13 text
13 3 (2)調査に便利なサイト サイト名、URL ハッシュ値 検索 ファイル名 検索 動的 解析 最近の 検体 URL 解析 IPアドレス、 ドメイン名 URL調査 PCAP 解析 virustotal.com ウイルストータル ◎ × - × 〇 ◎ - hybrid-analysis.com ハイブリッドアナリシス 〇 △ ◎ 〇 〇 △ - app.any.run エニーラン 〇 - △ 〇 △ △ - joesandbox.com ジョーサンドボックス 〇 〇 △ ◎ 〇 〇 - cape.contextis.com ケープ 〇 〇 △ 〇 〇 〇 〇 packettotal.com パケットトータル 〇 - - 〇 - 〇 ◎ 凡例 ◎おすすめ、〇可能、×有償オプション、△要ユーザ登録、-機能なし (以下、VirusTotalをVT、Hybrid-AnalysisをHA、JoeSanboxをJOEという。) virustotal.com ウイルストータル ◎ × - × 〇 ◎ - hybrid-analysis.com ハイブリッドアナリシス 〇 △ ◎ 〇 〇 △ - app.any.run エニーラン 〇 - △ 〇 △ △ -
Slide 14
Slide 14 text
14 3 (3)サイトの使い分け(1/4) ・ウイルス対策ソフトごとの検知名を知りたい場合 - ハッシュ値が分かっている場合⇒VT - ファイル名しか分からない場合⇒HAを利用⇒VTで検索
Slide 15
Slide 15 text
15 3 (3)サイトの使い分け(2/4) ・不正通信先(ダウンロード元、C2サーバ)を知りたい場合 - HAの動的解析(Hybrid Analysis) - Any.RunのReport(HTTP REQUESTS) - JOEのResults PCAPファイルも ダウンロード可能
Slide 16
Slide 16 text
3 (3)サイトの使い分け(3/4) ・ダウンロードURLのみ分かっている場合 - HA、Any.RunでURLを指定して動的解析 16
Slide 17
Slide 17 text
17 3 (3)サイトの使い分け(4/4) ・手元に検体がある場合(不審メールに添付、リンクからダウンロード) - 極力触らずそのまま削除することを推奨 ※Windows標準コマンドでハッシュ値を得る方法 certutil.exe -hashfile ファイル名 sha256
Slide 18
Slide 18 text
3 (4)覚えておくと便利な機能(1/2) ・VTで、First Submissionの日時を調べる。(そのマルウェアが いつ頃から発生したか、古いものか新しいものかを確認。) 18 ※厳密にいえば、最初に発見した人が VTに送信した日時になります。
Slide 19
Slide 19 text
19 3 (4)覚えておくと便利な機能(2/2) ・HAやAny.Runでは、Officeファイルの画面イメージ(Screenshots) が確認できます。(実際の見た目を確認できます。) ※イメージが多い場合は、スクロール させて見る必要があります。
Slide 20
Slide 20 text
※ヒントを出しながら、解説します 4 マルウェアの調査(ハンズオン)
Slide 21
Slide 21 text
ばらまき型攻撃メールの調査 ① ■ 電通大のセキュリティ情報から、ばらまき型攻撃メールの情報を取得 1.以下のURLをブラウザで開く https://www.cc.uec.ac.jp/blogs/news/2018/12/ 2. 2018年12月27日 【2018/12/27 23:00】ばらまき型攻撃メールに関する注意喚起 3. 添付ファイル名「原価請求書です551337.doc」のSHA-256ハッシュ値を確認 20
Slide 22
Slide 22 text
22 ばらまき型攻撃メールの調査 ② 【問題1】 VTでFirst Submissionの日時(日本時間)を確認してみよう。 1c1f602e44cb77edf6a176f1e0539d8f301e52f651e3f11478ca64d9ac9fd4d8 1.ブラウザで https://virustotal.com/gui/home/search/ 開く。 2.Searchタブから、以下のハッシュ値を検索する。 先の電通大のページから、 コピー&ペーストします。
Slide 23
Slide 23 text
ばらまき型攻撃メールの調査 ③ 【問題1】 First Submissionの日時(日本時間)を確認してみよう。 3.「Details」をクリック、「History」の「First Submission」箇所を確認。(ヒント:16ページ参照) ※日本との時差が異なることに注意。 VirusTotal(+9時間) Hybrid-Analysis(+8時間) JoeSandbox(+8時間) Any.Run(日本時間と同じ) 【答え1】 2018年12月27日 09:50:08 (日本時間) 23
Slide 24
Slide 24 text
24 ばらまき型攻撃メールの調査 ④ 【問題2】 HAで添付ファイル名「原価請求書です551337.doc」を確認してみま しょう。この請求書に書かれた金額はいくらでしょうか?(ヒント:17ページ参照) 1.ブラウザで https://hybrid-analysis.com/ 開く。 2.「Report Search」タブから、先のハッシュ値を検索する。 1c1f602e44cb77edf6a176f1e0539d8f301e52f651e3f11478ca64d9ac9fd4d8
Slide 25
Slide 25 text
25 ばらまき型攻撃メールの調査 ⑤ 【問題2】 HAで添付ファイル名「原価請求書です551337.doc」を確認してみま しょう。この請求書に書かれた金額はいくらでしょうか?(ヒント:17ページ参照) 3.WebブラウザのURLにハッシュ値が含まれていることを確認します。 4.下にスクロールして「Screenshots」からWord画面を確認、右スクロールします。 【答え2】 161,641 円(消費税込)
Slide 26
Slide 26 text
26 ばらまき型攻撃メールの調査 ⑥ 【問題3】 HAの動的解析結果を見て、ダウンロードURLを確認してみましょう。 (ヒント:13ページ参照) 【答え3】 http://free.diegoalex.com/3289fkjsdfyu3.bin 1.「Screenshots」のすぐ下に「Hybrid Analysis」があり、難読化されたダウンロード スクリプトが表示されています。http:で始まる文字列がダウンロードURLです。
Slide 27
Slide 27 text
27 ばらまき型攻撃メールの調査 ⑦ 【問題4】 ダウンロードされるペイロードのハッシュ値を確認してみましょう。 1.右上に「IP,Domain,Hash」と書かれた検索フォームがあるので、【問題3】で調べ たURLからファイル名を入力して検索します。
Slide 28
Slide 28 text
28 ばらまき型攻撃メールの調査 ⑧ 【問題4】 ダウンロードされるペイロードのハッシュ値を確認してみましょう。 【答え4】 7accbf97c78c6f30df6031db55eba05fa746cc0941c960822b08a370b3bb878c 2.画面が表示されたら、「File Details」の箇所までスクロールします。 3.SHA256と書かれた箇所の文字列を確認します。
Slide 29
Slide 29 text
ばらまき型攻撃メールの調査 ⑨ 【問題5】 このペイロードが通信するIPアドレスをVTで確認してみましょう。 1.ブラウザで https://virustotal.com/gui/home/search/ 開く。 2.Searchタブから、【問題4】で確認したハッシュ値 7accbf97c78c6f30df6031db55eba05fa746cc0941c960822b08a370b3bb878cを検索する。 【答え5】 185.82.216.62 29 (ヒント:3つのうち一番上) 下の2つは、Windowsが使 うアドレス(UPnPとサーバ 証明書)
Slide 30
Slide 30 text
30 ばらまき型攻撃メールの調査 ⑩ 【問題6】 そのIPアドレスで実行されているWebサーバのバージョンを確認して みましょう。(ヒント:すでに当該サーバは停止しています。実際にアクセスしての確 認はできません。VTのDetailsタブのHTTP Responseを見てみましょう。) 1.左上の検索窓から、【問題5】で確認したIPアドレス(185.82.216.62)を検索する。 2.URLsから、2019-06-13 のURLをクリックします。 下 に ス ク ロ | ル
Slide 31
Slide 31 text
31 ばらまき型攻撃メールの調査 ⑪ 【問題6】 そのIPアドレスで実行されているWebサーバのバージョンを確認して みましょう。 【答え6】 Apache/2.2.15 (CentOS) 下 に ス ク ロ | ル
Slide 32
Slide 32 text
32 まとめ ◆サイバー攻撃は、攻撃者が圧倒的有利 (攻撃者の手法を知ろう!) ◆どうやったら防げるか、防御側目線でも見て みよう ◆セキュリティ情報は積極的に情報共有しまし ょう
Slide 33
Slide 33 text
ご清聴ありがとうございました。 33 フォロー待ってるニャ! @catnap707
Slide 34
Slide 34 text
34