Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
malspamの情報収集と解析 / malspam information gathering...
Search
takahoyo
August 04, 2018
Technology
0
83
malspamの情報収集と解析 / malspam information gathering and analysis
すみだセキュリティ勉強会 2018 #2 で話した資料です。
takahoyo
August 04, 2018
Tweet
Share
More Decks by takahoyo
See All by takahoyo
OSEP取るまでにやったこと
takahoyo
0
2k
"申" (猿)がつくセキュリティツールを検証してみた
takahoyo
4
1.2k
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
takahoyo
4
1.8k
Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack
takahoyo
0
120
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
takahoyo
2
2.1k
パケットで遊ぼう / let's play using network packet
takahoyo
0
190
hpingで作るパケット / network packet craft by hping
takahoyo
0
360
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
takahoyo
0
70
Other Decks in Technology
See All in Technology
American airlines ®️ USA Contact Numbers: Complete 2025 Support Guide
airhelpsupport
0
390
20250708オープンエンドな探索と知識発見
sakana_ai
PRO
4
870
クラウド開発の舞台裏とSRE文化の醸成 / SRE NEXT 2025 Lunch Session
kazeburo
1
450
公開初日に Gemini CLI を試した話や FFmpeg と組み合わせてみた話など / Gemini CLI 初学者勉強会(#AI道場)
you
PRO
0
1k
american airlines®️ USA Contact Numbers: Complete 2025 Support Guide
supportflight
1
120
第64回コンピュータビジョン勉強会「The PanAf-FGBG Dataset: Understanding the Impact of Backgrounds in Wildlife Behaviour Recognition」
x_ttyszk
0
170
【LT会登壇資料】TROCCO新コネクタ「スマレジ」を活用した直営店データの分析
kazari0425
1
170
スタックチャン家庭用アシスタントへの道
kanekoh
0
110
ソフトウェアテストのAI活用_ver1.25
fumisuke
1
560
データ基盤からデータベースまで?広がるユースケースのDatabricksについて教えるよ!
akuwano
3
160
IPA&AWSダブル全冠が明かす、人生を変えた勉強法のすべて
iwamot
PRO
2
220
ソフトウェアQAがハードウェアの人になったの
mineo_matsuya
3
120
Featured
See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.4k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Rebuilding a faster, lazier Slack
samanthasiow
83
9.1k
How to Think Like a Performance Engineer
csswizardry
25
1.7k
Navigating Team Friction
lara
187
15k
Making Projects Easy
brettharned
116
6.3k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
229
22k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Raft: Consensus for Rubyists
vanstee
140
7k
Building Applications with DynamoDB
mza
95
6.5k
Adopting Sorbet at Scale
ufuk
77
9.5k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
Transcript
malspamの情報収集と解析 すみだセキュリティ勉強会2018 #2 @takahoyo
本日の内容 malspamとは malspamの情報収集について malwareの解析について
malspamとは Malware + Spam = Malspam つまり、メール経由でスパムのように配布されるマルウェアのこと
https://blog.malwarebytes.com/threats/malspam/ いわゆる、ばらまき型メール 最近の多くのマルウェアの感染経路はメール IPAの「コンピュータウイルス・不正アクセスの届出状況および相談状況」の統計でも ほとんどがメールによる感染 引用元: https://www.ipa.go.jp/security/txt/2018/q2outline.html
攻撃者がメールを使う理由を考えてみる マルウェアに感染させる主な経路 ① メールにマルウェアを添付して開かせる ② メールでマルウェアに設置したサイトへ誘導する ③ Webページを改ざんし、ブラウザなどの脆弱性を悪用するExploit Kitを実行させる
④ 端末の脆弱性(MS17-010 など)を悪用し、ネットワーク経由で感染させる 攻撃者は可能性が高く、コストが低い方法を選択する(推測) 前提として、マルウェアが配布される時点では、多くの場合ウイルス対策ソフトは検知しない ③, ④は脆弱性パッチが当てられていれば、多くの場合防ぐことができる また、④の場合はインターネットから端末にリーチできなければ難しい => システム管理者によって対策が比較的容易 ①, ②はパッチを当てていても、利用者を騙せればOK => システムの脆弱性を悪用するより、人の脆弱性を悪用する方が容易
少し前(2016年頃)のmalspamメール 引用元: https://www.jc3.or.jp/topics/v_log/201610.html 日本語が何か おかしい?
最近(2018年)のmalspamメール 引用元:https://www.jc3.or.jp/topics/virusmail.html 本物!?
malspamで送られてくるmalwareについて メールで送られるマルウェアの多くはダウンローダ 送られ方のパターンは大体2パターン ① URLが書かれていて、アクセスするとダウンローダをダウンロードするパターン ② そのままメールに添付されているパターン
ダウンローダを実行することで、実際に悪さをするマルウェア本体をダウンロード 最近はvbsやvba、jsからcmd -> powershellを起動させるパターンが多い
malspamメールの情報収集 malspamメールは、本当の標的型メールと違い多く配られている 多くの攻撃者は金銭目的、質より量を配る たくさんの人に行き届くので、情報が多い 逆に本当の標的型メールは、一部にしか送らないので情報が少ない
そこで情報収集に役に立つのが… Twitter
malspamの情報収集 Twitterはリアルタイム性が高く、多くの人が気軽につぶやける ”不審メール”等のキーワードで検索すると、情報をつぶやいてくれてる方が! いつもお世話になってます!
malspamの情報収集 よく見かける情報 malware設置先のURL malwareの通信先のIPアドレス malwareのハッシュ値
外部のマルウェア分析サービスでの解析結果URL これまでのメールの履歴や情報をまとめてくれている方も ばらまき型メールカレンダー (@catnap707 さん) https://docs.google.com/presentation/d/1UASM4_WE5bZYvaPzjnEsOlQgfK1vHbpv- cKXWzPK1nk/edit#slide=id.g1c129bd437cd9168_0 外部公開用_ウイルス付メール(ばらまきメール)まとめ (@taku888infinity さん) https://docs.google.com/spreadsheets/d/11WzP- Xw5w82wLkqdayS0A3Ed976mYLnimtLqUR_eW6g/edit#gid=298230078
malwareの解析 外部のマルウェア分析サービスの情報を使う Virus Total ファイルのアップロード(要注意)することでマルウェアを分析、ハッシュ値でも検索可 各アンチウイルスでの検知状況やマルウェアの表層情報を調べてくれる
ちなみに、Officeのマクロが含まれている場合は、コードを表示してくれる
malwareの解析 外部のマルウェア分析サービスの情報を使う Hybrid Analysis ファイルのアップロード(要注意)することでマルウェアの挙動を解析(SandBox) プロセスの起動状況、通信先を解析してくれるので、ほとんどのIoC情報が手に入る
malwareの解析 Hybrid Analysisで解析すると、powershellが起動するのはわかった scriptだけど、その過程の処理は? 難読化されている
malwareの解析 どのような処理が行われてるか解析してみる 環境 REMnux, Spider Monkey
使用する検体 7/25にばらまかれたjsのダウンローダ Twitterで共有されていた悪性ファイル設置サイトのURLから解析環境にダウンロード b546fc2dbd804948bbece5a28508026eacf0ff971854d0c2c2fd279fb315e2f7 https://www.virustotal.com/#/file/b546fc2dbd804948bbece5a28508026eacf0ff971854d0c2c2fd 279fb315e2f7/
malwareの解析 難読化の場合、多くがevalを使ってコードの実行を行っている evalを違う処理に置き換えたファイル(hook.js)を作っておく 実行してみる ActiveXObjectがSpider Monkeyでは、対応してないので怒られる
eval = function(input_string) { print(input_string) }
malwareの解析 ActiveXObjectの処理の部分だけ、デコードしてみる デコード後 C:¥Users¥[UserName]¥AppData¥Roaming¥Microsoft¥Windows¥Templates にGoogleへのショートカットを作成する処理 ショートカットが作られなかった場合、デコードを続行する? => 何かの解析妨害機能が動いている??
malwareの解析 必要なさそうな部分をコメントアウトして再び実行 実行結果 ActiveXObjectが呼び出されるところを回避して、evalで実行される内容が表示 できた
malwareの解析 Evalで表示されている処理内容をコードに追加、関数yNVxaYpsjqZRwCvuに渡される変 数も表示してみる 実行結果
Malwareの解析 後の関数yNVxaYpsjqZRwCvuで渡しているのは、以下の謎の文字列と、”F”という文字 なんとなく、”F”が多くね? ということで、Fを置換してみる klQZHCEpDMTYqkh =
new ActiveXObject(“shell.application” )なので、関数 yNVxaYpsjqZRwCvu 内で上記コマンドを実行していると思われる この関数内でも何かしらの他の処理をしているかもしれないですが、そこまでは解析できませんでした、、
まとめ 最近の標的型メールは、より多くの人がターゲットにされている より多くの人がターゲットにされている場合、情報が広く出回っているので調 べてみよう。 Twitterが特におすすめ 自分で手を動かして検証してみることも大事
Twitterの情報をやオンラインサービスを鵜呑みにしない 自分で手を動かしてみると新しい発見があるかも