Tweet
Tweet

Slide 1

Slide 1 text

macOS Malware 解析入門 Twitter: @atbys

Slide 2

Slide 2 text

概要 • macOSのマルウェアについて • 環境構築 • 静的解析 • 動的解析

Slide 3

Slide 3 text

macOSマルウェアについて • macは安全だと昔から言われてきたが,近年macOSをターゲッ トにしたマルウェアが増加 • Macを襲うマルウェアが猛威、その特徴は「偽のアップデート」とい う単純な手法にあり • Macユーザーをターゲットにしたランサムウェア「EvilQuest」が発見 される、身代金支払後もターゲットを逃がさない凶悪さ • 解説記事も圧倒的に少ないが,一部の人が熱心に取り組んで発 信していてコンテンツは充実している印象

Slide 4

Slide 4 text

環境構築 • macOS上の仮想マシンにmacOSをインストールするのはOKら しい • 営利目的には使用してはいけないとか,最大2つとか細かいところはあ る • インストール方法は調べれば結構出てくるが,今回かなり手間 取った • 最終的に成功した方法はこれ • VirtualBoxを使ってMacOS Catalinaの仮想環境を構築する

Slide 5

Slide 5 text

大まかな手順 1. インストールメディアを作成 1. App storeにあるアップデート用のソフトから作成 2. 仮想ハードディスクを作成 3. 仮想ハードディスクをmac用にフォーマット 4. 実機と同様にインストール

Slide 6

Slide 6 text

失敗した理由 • 外付けのメディアに仮想マシンを作成した • 後々別の端末に移行しようと思っていたので外部メディアに作ると楽 だと思った • Vmware fusionだと一時的にうまくできたが,一度シャットダウンす ると起動しなくなった • 仮想ハードディスクの容量が足りなかった • 20~30GBくらいをデフォルトでお勧めしてくるので,それより少し多 いくらい(40~50)でやってもできなかった • 100GBは必要

Slide 7

Slide 7 text

結果 • Virtualboxにて動作する仮想環境が構築できた • 2コア,メモリ4GBのスペックだが基本的には快適に操作できる • 不具合が多い • 不定期に突然再起動する • 固まって動かなくなる • どこかのキーが連打される • サスペンドして戻せば治る • おそらくvirtualboxのせい

Slide 8

Slide 8 text

macOSのアプリケーション • 画像などのリソースや各種メタデータなどのファイルがまと まったディレクトリとして成り立っている • それだけではないが,バイナリ単体で配布されていることはCUIツー ルでない限り少ない • PKGファイルも圧縮ファイルの一つ • GUI上では一つのファイルのように見える • もちろんその中にバイナリファイルも含まれている • 今回はその形式(バンドル)のマルウェアについて解析する

Slide 9

Slide 9 text

解析 • こちらのサイトをなぞる形でやっていく • How to Reverse Malware on macOS Without Getting Infected | Part 1(環境構築,表層解析) • Part2(静的解析) • Part3(動的解析)

Slide 10

Slide 10 text

検体 • SHA256: 197977025c53d063723e6ca2bceb9b98beff6f540de80b283753 99cdadfed42c • 記事曰く,あまり危険なものではないらしい • Malshare.comよりダウンロード

Slide 11

Slide 11 text

表層解析 • fileコマンドで調べる • Zipのため解凍 • UnPackNwという アプリが出現

Slide 12

Slide 12 text

コード署名 • CodeSignatureというディレクトリがあった • macのアプリはコード署名を付与して安全性を高める機能があ る • 偽の不正な署名を利用し,マルウェアは正規のものであるよう に見せている • しかしGatekeeperという機構のチェック対象となり,動作しな い可能性がある • 現にこのバージョンのOSでは起動しない

Slide 13

Slide 13 text

codesign • Codesignコマンドでコード署名を確認できる

Slide 14

Slide 14 text

メタデータ • マルウェアのディレクトリには Info.plistというメタデータがある • Plutilコマンドで確認可能 • ほかにもメタデータがあるが 今回は割愛

Slide 15

Slide 15 text

謎のファイル • Resourcesディレクトリ内にunpack.txtというテキストファイ ルが存在していた • 実行権限が付与されていて不自然

Slide 16

Slide 16 text

Nazo no file • 暗号化されている • これがなにか突き止めるにはコードを解析していくしかなさそ うだ

Slide 17

Slide 17 text

Mach-O形式 • MacOSディレクトリに本体のバイナリが存在している • Mach-Oという形式のファイルになっている • いわゆるWindowsでいうPEファイルやLinuxのELFファイル

Slide 18

Slide 18 text

Mach-O • もちろん違いはあるが,ELFやPEと同じ • Mach-O Header ->ELF Header • Load Commands -> Segment Header • Data -> Section, Segment • 詳しくはこのへん • PARSING MACH-O FILES

Slide 19

Slide 19 text

シンボル情報(pagestuff) • pagestuffコマンドでセグメントのシンボル情報を見ることがで きる

Slide 20

Slide 20 text

シンボル情報(nm) • Linuxでのnmも利用できる

Slide 21

Slide 21 text

otool • Linuxでいうところのobjdump • -oV • Objective-Cのクラスを表示 • -L • リンクされているライブラリを表示 • Lddコマンドみたいなもの • -tV • アセンブリコードを出力 • ほかにもたくさん

Slide 22

Slide 22 text

otool

Slide 23

Slide 23 text

静的コード解析 • アセンブリコードからさっきのunpack.txtを検索してみる • その文字列の周辺のコードを見るとenncryptDecryptStringとい うメソッドがある • さらにこのメソッドを検索して中身を見ると,XORの処理をし ているようだ • 僕はこのコードを見てもXORだとはわからなかった • 感覚が鈍ってしまったのか • 動的解析で復号化された文字列を取得しよう

Slide 24

Slide 24 text

アセンブリ

Slide 25

Slide 25 text

enncryptDecryptString

Slide 26

Slide 26 text

マルウェアを動かす前に • ネットワークは隔離して実験する • macにはgatekeeperというセキュリティ機構がある • xattr –l コマンドで属性を調べて,com.apple.quarantineという出力が 得られたらgatekeeperの対象となっているため,これを外さないとい けない • xattr –rc • 記事にはなかったが,System Integrity Protection(SIP)という 機構も外したほうが良い • SIPについては詳しいことは調べられていません • ルートユーザがアクセスできるファイルやフォルダに制限をかけるものらしい

Slide 27

Slide 27 text

SIPの無効化 • 本来なら電源投入直後にcommand+Rでリカバリモードに入っ て,そこのシェルからcsrutil disableを実行 • Virtualboxだとcommand+Rでリカバリモードに入ることがで きない! • VirtualboxのBIOSからEFI Shellを起動し,そこからリカバリモードを 起動する • 僕の環境の場合,FS4:というドライブの中にリカバリモードをブート するプログラムがあった • これにより無事にSIPを無効化できた

Slide 28

Slide 28 text

lldb • デバッガにはlldbを利用する • GDBと同じくかなり高機能 • lldbで起動,fileコマンド で実行ファイルを指定しprocess launch –sでエントリポイントまで実行

Slide 29

Slide 29 text

SIPが有効になっていると...

Slide 30

Slide 30 text

動的解析 • ブレークポイントにenncryptDecryptStringを指定して続行

Slide 31

Slide 31 text

動的解析 • Disassembleコマンドでストップしている関数を逆アセンブル できる • 最後のほうにinitWithStringメソッドが呼び出そうとしている • initWithStringは文字列を生成するメソッドである • 復号化された文字列か入っているのではないか?

Slide 32

Slide 32 text

enncryptDecryptString

Slide 33

Slide 33 text

あの謎のファイルの正体 • rdiにメソッド名,rsiに第一引数が格納される • クラスのメソッド呼び出しだから一個ずれてる? • rdiにinitWithStringが格納されているのでrsiを見る

Slide 34

Slide 34 text

謎のファイルの正体 • シェルスクリプトだった • XXXXはXの数と同じ長さのランダムな文字列 • ダウンロードして解凍して実行 • 今回解析したマルウェア自体はドロッパーだったのかな

Slide 35

Slide 35 text

まとめ • macOSマルウェアの解析手法についてザッと解説 • macOSならではのデータやツールがあって面白い • このチュートリアルをやって,さらに色々やりたいことをやる つもりだったが,これやるだけで手いっぱいになってしまった • 自分でマルウェアを解析してみたり,論文を読んだりしていき たいと思う