Backdoorの調査と解析 task4233 学生エンジニアLT大会 #31 2019, 12/8

Who am I Name 　Takashi Mima(@task4233) 今までやってきたこと: 　競プロ/CTF/Security Camp 2019 Aトラック 今やっていること: 　マルウェア解析 / ペネトレのための学習と実践

もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

1. Backdoorとは ・コンピュータ内に設置する裏口 > 本来はIDやパスワードを使って使用権を確認する 　コンピュータの機能を無許可で利用するために、 　コンピュータ内に(他人に知られることなく) 　設けられた通信接続の機能 (ref: wikipedia)

1. Backdoorの種類と実例 ・設計開発段階で利用されるBackdoor 　- 開発段階で利用されるBackdoor 　　e.g. ) 格安の中国製「防犯カメラ」にバックドア　検査なくネット通販で世界に輸出 (Excite news, 2018) 　- 開発者が私的な利益のために組み込むBackdoor 　　e.g.) ネット通販にバックドア仕込む、開発エンジニアが逮捕・起訴(読売新聞, 2004) 　- 意図されない開発段階のBackdoor 　　e.g.) ルータに搭載された遠隔管理機能(Trend Micro, 2017) 　- 稼働中のコンピュータに外部から送り込まれる　　　 Backdoor

もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

2. Backdoorの仕組み ・22/tcp, 25/tcp, 53/tcp, 53/udp, 80/tcp, 443/tcp等を 　利用して外部とのコネクションを作成 ・22/tcp(ssh) 　- sshd_configの更新 　- rsa認証鍵の生成, 奪取 ・80/tcp(http), 443/tcp(https) 　- cgiスクリプトの設定 　- 遠隔操作用の実行ファイル配置 ref: 攻撃者が侵入後に行うバックドアの設置例 (2002, atmarkit)

デモ(link)

もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

Spidey Botの解析 ・Spidey Botとは 　Discord ClientをBackdoor化するマルウェア ・マルウェア本体の検体が見つからなかったので 　情報を収集してPOSTするJaveScriptを解析 　ref :Discordにバックドアを仕掛けるマルウェアが発見 (2019 , PC Watch) 　　 SPIDEY BOT TRANSMUTES WINDOWS DISCORD CLIENT INTO BACKDOOR (2019, SoCPrime)

難読化ェ......

Spidey Botの解読と比較 ・PCWatchが言及していた 　情報は右の通り ・1つずつ確認する

Spidey Botの解読と比較 ・Discordユーザトークン ・タイムゾーン

Spidey Botの解読と比較 ・画像解像度 ・Zoom比

Spidey Botの解読と比較 ・userinfo

Spidey Botの解読と比較 ・WebRTCのPublicIP(一部)

Spidey Botの解読と比較 ・支払い情報

Spidey Botの解読と比較 ・Useragent, getdiscordversion, clipboard

もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

4. おわりに ・Backdoorとはコンピュータ内に設置する裏口 ・Backdoorはtcp, udpのポートを偽装して使用 ・Spidey BotのJavaScriptを解析し, 　取得される情報が確認できた 　

Any Question? Twitter: @task4233 GitHub: task4233 学生エンジニアLT大会 #31 2019, 12/8