$30 off During Our Annual Pro Sale. View Details »

DECAF meets The Sleuth Kit(TSK)

Ren Kimura
February 26, 2016
Research
2
2.7k

DECAF meets The Sleuth Kit(TSK)

OSS Spring 16 Tokyo

Ren Kimura

February 26, 2016
Tweet

More Decks by Ren Kimura

See All by Ren Kimura
Introduction to Fuzzing
rkx1209
6
3.5k
ARM TrustZone エクスプロイト入門
rkx1209
7
6.5k
The Game is Over. Nintendo switch has been totally compromised
rkx1209
9
4.7k
インサイドNintendo Switch
rkx1209
18
12k
More efficient remote debugging with Thin Hypervisor
rkx1209
3
2.1k
Reverse Debugging with radare2
rkx1209
6
1.5k
カーネルエクスプロイトによるシステム権限奪取
rkx1209
13
6.7k
$Hell on Sony Snatch the Kernel privilage from Browser
rkx1209
6
23k
Linuxカーネルクローンの作り方
rkx1209
3
830

Other Decks in Research

See All in Research
テーブル・画像・テキストの反実仮想説明
masatoto
0
130
チュートリアル: ユーザビリティはどう測る? ~評価手法とその利用~ / How do we measure usability? -Evaluation Methods and Their Use
akirakanaoka
0
300
第17回チャンピオンズミーティング・ヴァルゴ杯ラウンド1集計 / Umamusume Virgo 2022 Round1
kitachan_black
0
1.2k
Teslaはカメラを使ってどのように世界を認識しているか
inoichan
4
7.2k
DoubleField_CV勉強会_CVPR2022.pdf
kanosawa
0
340
論文紹介:∞-former: Infinite Memory Transformer
yuri00
0
130
ソーシャルメディアにおけるフェイクニュース検出と対策
hkefka385
1
350
JPX Tokyo Stock Exchange Prediction Award Ceremony 解法総評
gamella
1
1.2k
Fair Ranking as Fair Division: Impact-Based Individual Fairness in Ranking (KDD'22)
usaito
2
1.1k
OLM R&D祭 2022 10/19 タップ穴補正・作画トレースツール紹介 +”作画ツール”共同開発中!
olmdrd
PRO
0
680
AI最新論文読み会2022年11月
ailaboocu
0
230
「はたらく」のいまとこれから/hataraku-report-2022
noteinc
0
12k

Featured

See All Featured
Three Pipe Problems
jasonvnalue
89
8.8k
Facilitating Awesome Meetings
lara
33
4.4k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
349
27k
Building an army of robots
kneath
301
40k
WebSockets: Embracing the real-time Web
robhawkes
58
5.9k
Infographics Made Easy
chrislema
234
17k
Atom: Resistance is Futile
akmur
256
24k
A better future with KSS
kneath
228
16k
Building Better People: How to give real-time feedback that sticks.
wjessup
344
17k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
109
16k
Reflections from 52 weeks, 52 projects
jeffersonlam
337
18k
GraphQLの誤解/rethinking-graphql
sonatard
36
7.6k

Transcript

  1. DECAF meets The Sleuth Kit (TSK) OSC2016 Tokyo/Spring @RKX1209

  2. whoami • るくす と申します • twitter: @RKX1209 • 神戸大学 工学部

    B3 • sandbox開発,マルウェア解析など • セキュリティキャンプ'15 チューター

  3. はじめに • 今回やったこと • DECAFというsandboxに、フォレンジックツール TSKを載せました • パッチ +436 -14

    • 本家マージ済み(?)
  4. None

  5. Agenda • DECAFの紹介 - DECAFとは - QEMUのしくみ • The Sleuth

    Kitの紹介 - The Sleuth Kit(TSK)とは - マルウェアフォレンジック • TSK on DECAF

  6. Agenda • DECAFの紹介 - DECAFとは - QEMUのしくみ • The Sleuth

    Kitの紹介 - The Sleuth Kit(TSK)とは - マルウェアフォレンジック • TSK on DECAF

  7. DECAFとは • QEMUをベースにしたsandbox • sandboxはマルウェアを仮想環境などに閉じ込め 隔離するプログラム • 主にマルウェア解析,感染防止などに使用

  8. DECAFとは • ゲストOS上で実行されるファイル(.exeなど)をホス ト側から解析可能 • ホスト側で拡張プラグインを開発し、ゲストOS上の API呼び出しなどをフックできる • Out-of-VM方式を採用したsandbox

  9. DECAFとは • In-VM: ゲストOS内にエージェントを配置 - マルウェアに検出される(アンチ解析) • Out-of-VM: ホスト側(ハイパーバイザ)にエージェ ントを追加

  10. DECAFとは • DECAFを用いたマルウェア解析 - マルウェアをゲストOS内に閉じ込める - マルウェアが用いそうなAPIにフックをセット - APIを呼ぶとDECAF側に通知&プラグイン内の関 数を呼び出す

    • もう少し進んだ解析(今回は説明しません) - DECAFのデータ伝搬機構によるテイント解析 - マルウェアによる仮想マシン検出対策など

  11. DECAFとは • セマンティックギャップ問題 - OSはメモリ上のどこにどのような情報を配置して いるか把握している(ex. WinAPI) - メモリのデータに意味(セマンティクス)を持ってい る

  12. DECAFとは • セマンティックギャップ問題

  13. DECAFとは • DECAFによるギャップ解消(VMI) • QEMUからメモリデータ,レジスタ値を読む • 読んだデータからゲストOSのセマンティクスを復元 する - どうやって?

    - ゲストOSがLinuxの場合を例に見てみる

  14. DECAFとは • ゲストOSセマンティクス復元 • QEMUからESPレジスタの値を取得 • $ESP & 0xfffff000(下位12bitをmask) •

    これでLinuxのthread_info構造体のアドレスが得 られる • thread_infoからtask_struct構造体のアドレスを 得る • task_structのアドレス ↔ バージョンの対応DBを検 索し、バージョンを特定する

  15. DECAFとは • 仮想マシンを通しレジスタ,メモリの値を読みだして いる Q. QEMUが持っている情報(ゲストのレジスタ値,メ モリ)をDECAFはどうやって横取りしている? Q. どのタイミングで横取りしている? A.

    QEMUの動的バイナリ変換機能を利用して フックコードを途中で挿入している

  16. Agenda • DECAFの紹介 - DECAFとは - QEMUのしくみ • The Sleuth

    Kitの紹介 - The Sleuth Kit(TSK)とは - マルウェアフォレンジック • TSK on DECAF

  17. QEMUのしくみ • 動的バイナリ変換(DynamicBinaryTranslation) • ゲストはホストと異なるアーキテクチャの物を動か せる

  18. QEMUのしくみ • DECAFはフックコードを中間表現TCGに挿入 • 解析コードをターゲットに挿入する手法を DBI(Dynamic Binary Instrumentation)という • 中間表現レベルで挿入しているためアーキテクチャ

    非依存 • APIがcallされるTCG命令の前後に、DECAFの関 数呼び出し命令を挿入する - APIフックの実現

  19. QEMUのしくみ

  20. Agenda • DECAFの紹介 - DECAFとは - QEMUのしくみ • The Sleuth

    Kitの紹介 - The Sleuth Kit(TSK)とは - マルウェアフォレンジック • TSK on DECAF

  21. The Sleuth Kit(TSK)とは • ファイルシステムフォレンジックツール • ファイルシステムの詳細な構造にアクセス可能 • TSKはコマンドラインツールだがAPIも持っている -(C,pythonなど様々なバインドがある)

    • ディスクイメージの解析などに用いる

  22. The Sleuth Kit(TSK)とは • フォレンジック? • 正確にはディジタルフォレンジックを指す • コンピュータやネットワークのログやディスクから証 拠を探す

    • 警察が犯罪者のディジタルデータ(PC,スマホなど) から、証拠立件を行う際にもフォレンジックが行われ る - 某遠隔操作事件でもスラックスペースが話題に • フォレンジックはマルウェア解析者も行う

  23. Agenda • DECAFの紹介 - DECAFとは - QEMUのしくみ • The Sleuth

    Kitの紹介 - The Sleuth Kit(TSK)とは - マルウェアフォレンジック • TSK on DECAF

  24. マルウェアフォレンジック • マルウェアをディスクイメージから探し出す • 多くのマルウェアは自身を隠蔽する手法を持ってい る • 有名な手法はNTFSのADS(Alternate Data Stream)を用いた物

    - 最近流行りのPoison Ivyの亜種などもこの手法 を利用している • echo 'I am malware' > test.txt:stream • cmd.exeやファイルエクスプローラーでは見つけら れない

  25. マルウェアフォレンジック • マルウェアによる検索妨害 • ADSを検出できるツールは多くある - しかし多くのツールはFindNextFileなどのWin APIを利用している • マルウェアはAPI呼び出しをフックし改竄できるた

    め、この手法では限界がある • TSKはAPIではなくディスクイメージを直接パースす るためこの手の妨害は受けない

  26. Agenda • DECAFの紹介 - DECAFとは - QEMUのしくみ • The Sleuth

    Kitの紹介 - The Sleuth Kit(TSK)とは - マルウェアフォレンジック • TSK on DECAF

  27. TSK on DECAF • TSK APIをDECAFから使えるようにする • 実はTSK自体は既にDECAFに載っている - ただしqcowのサポートが少し不完全

    - まれにDECAFプラグインからうまく扱えない事が • DECAFはTSKに独自のqcowサポートコードを追 加している tsk_img_open_sing(snapshot, QEMU_IMG, 0);

  28. TSK on DECAF • TSKに新しくqcowサポートコードを加えた • 以前のQEMU_IMGに加 え、TSK_IMG_TYPE_QCOW_QCOWという定数 を追加 •

    TSK内のqcow(open/read/write)コードをlibqcow ライブラリを利用した物に変更 → うまく動いた! tsk_img_open_sing(snapshot, TSK_IMG_TYPE_QCOW_QCOW, 0);

  29. TSK on DECAF TSKを用いてゲストOSのファイル走査している図

  30. おわりに • DECAFという既存のOSS sandboxから、TSKを使 えるようにしました • マルウェア解析者もこれからはsandboxを実装して いく時代 • DECAF以外にも様々なフレームワークがある

    - ex. Panda, PEMU, PinOS, Unicorn... • 解析専門でも実装力は必要 • セキュリティ技術者もどんどんOSSへ貢献していき ましょう