Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
malspamの情報収集と解析 / malspam information gathering...
Search
takahoyo
August 04, 2018
Technology
0
87
malspamの情報収集と解析 / malspam information gathering and analysis
すみだセキュリティ勉強会 2018 #2 で話した資料です。
takahoyo
August 04, 2018
Tweet
Share
More Decks by takahoyo
See All by takahoyo
OSEP取るまでにやったこと
takahoyo
0
2.1k
"申" (猿)がつくセキュリティツールを検証してみた
takahoyo
4
1.2k
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
takahoyo
4
1.9k
Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack
takahoyo
0
200
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
takahoyo
2
2.1k
パケットで遊ぼう / let's play using network packet
takahoyo
0
200
hpingで作るパケット / network packet craft by hping
takahoyo
0
380
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
takahoyo
0
240
Other Decks in Technology
See All in Technology
NLPコロキウム20251022_超効率化への挑戦: LLM 1bit量子化のロードマップ
yumaichikawa
3
550
生成AI時代のPythonセキュリティとガバナンス
abenben
0
150
激動の時代を爆速リチーミングで乗り越えろ
sansantech
PRO
1
150
ストレージエンジニアの仕事と、近年の計算機について / 第58回 情報科学若手の会
pfn
PRO
3
880
JSConf JPのwebsiteをGatsbyからNext.jsに移行した話 - Next.jsの多言語静的サイトと課題
leko
2
190
GraphRAG グラフDBを使ったLLM生成(自作漫画DBを用いた具体例を用いて)
seaturt1e
1
150
RemoteFunctionを使ったコロケーション
mkazutaka
1
130
[re:Inent2025事前勉強会(有志で開催)] re:Inventで見つけた人生をちょっと変えるコツ
sh_fk2
1
780
Observability — Extending Into Incident Response
nari_ex
1
550
様々なファイルシステム
sat
PRO
0
260
Zero Trust DNS でより安全なインターネット アクセス
murachiakira
0
110
プロファイルとAIエージェントによる効率的なデバッグ / Effective debugging with profiler and AI assistant
ymotongpoo
1
420
Featured
See All Featured
Raft: Consensus for Rubyists
vanstee
140
7.2k
Code Reviewing Like a Champion
maltzj
526
40k
The Pragmatic Product Professional
lauravandoore
36
7k
Bash Introduction
62gerente
615
210k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
3.1k
Scaling GitHub
holman
463
140k
Thoughts on Productivity
jonyablonski
70
4.9k
Git: the NoSQL Database
bkeepers
PRO
431
66k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
116
20k
Imperfection Machines: The Place of Print at Facebook
scottboms
269
13k
Reflections from 52 weeks, 52 projects
jeffersonlam
354
21k
The Art of Programming - Codeland 2020
erikaheidi
56
14k
Transcript
malspamの情報収集と解析 すみだセキュリティ勉強会2018 #2 @takahoyo
本日の内容  malspamとは  malspamの情報収集について  malwareの解析について
malspamとは  Malware + Spam = Malspam  つまり、メール経由でスパムのように配布されるマルウェアのこと 
https://blog.malwarebytes.com/threats/malspam/  いわゆる、ばらまき型メール  最近の多くのマルウェアの感染経路はメール  IPAの「コンピュータウイルス・不正アクセスの届出状況および相談状況」の統計でも ほとんどがメールによる感染 引用元: https://www.ipa.go.jp/security/txt/2018/q2outline.html
攻撃者がメールを使う理由を考えてみる  マルウェアに感染させる主な経路 ① メールにマルウェアを添付して開かせる ② メールでマルウェアに設置したサイトへ誘導する ③ Webページを改ざんし、ブラウザなどの脆弱性を悪用するExploit Kitを実行させる
④ 端末の脆弱性(MS17-010 など)を悪用し、ネットワーク経由で感染させる  攻撃者は可能性が高く、コストが低い方法を選択する(推測)  前提として、マルウェアが配布される時点では、多くの場合ウイルス対策ソフトは検知しない  ③, ④は脆弱性パッチが当てられていれば、多くの場合防ぐことができる  また、④の場合はインターネットから端末にリーチできなければ難しい  => システム管理者によって対策が比較的容易  ①, ②はパッチを当てていても、利用者を騙せればOK  => システムの脆弱性を悪用するより、人の脆弱性を悪用する方が容易
少し前(2016年頃)のmalspamメール 引用元: https://www.jc3.or.jp/topics/v_log/201610.html 日本語が何か おかしい?
最近(2018年)のmalspamメール 引用元:https://www.jc3.or.jp/topics/virusmail.html 本物!?
malspamで送られてくるmalwareについて  メールで送られるマルウェアの多くはダウンローダ  送られ方のパターンは大体2パターン ① URLが書かれていて、アクセスするとダウンローダをダウンロードするパターン ② そのままメールに添付されているパターン 
ダウンローダを実行することで、実際に悪さをするマルウェア本体をダウンロード  最近はvbsやvba、jsからcmd -> powershellを起動させるパターンが多い
malspamメールの情報収集  malspamメールは、本当の標的型メールと違い多く配られている  多くの攻撃者は金銭目的、質より量を配る  たくさんの人に行き届くので、情報が多い  逆に本当の標的型メールは、一部にしか送らないので情報が少ない 
そこで情報収集に役に立つのが… Twitter
malspamの情報収集  Twitterはリアルタイム性が高く、多くの人が気軽につぶやける  ”不審メール”等のキーワードで検索すると、情報をつぶやいてくれてる方が!  いつもお世話になってます!
malspamの情報収集  よく見かける情報  malware設置先のURL  malwareの通信先のIPアドレス  malwareのハッシュ値 
外部のマルウェア分析サービスでの解析結果URL  これまでのメールの履歴や情報をまとめてくれている方も  ばらまき型メールカレンダー (@catnap707 さん)  https://docs.google.com/presentation/d/1UASM4_WE5bZYvaPzjnEsOlQgfK1vHbpv- cKXWzPK1nk/edit#slide=id.g1c129bd437cd9168_0  外部公開用_ウイルス付メール(ばらまきメール)まとめ (@taku888infinity さん)  https://docs.google.com/spreadsheets/d/11WzP- Xw5w82wLkqdayS0A3Ed976mYLnimtLqUR_eW6g/edit#gid=298230078
malwareの解析  外部のマルウェア分析サービスの情報を使う  Virus Total  ファイルのアップロード(要注意)することでマルウェアを分析、ハッシュ値でも検索可  各アンチウイルスでの検知状況やマルウェアの表層情報を調べてくれる
 ちなみに、Officeのマクロが含まれている場合は、コードを表示してくれる
malwareの解析  外部のマルウェア分析サービスの情報を使う  Hybrid Analysis  ファイルのアップロード(要注意)することでマルウェアの挙動を解析(SandBox)  プロセスの起動状況、通信先を解析してくれるので、ほとんどのIoC情報が手に入る
malwareの解析  Hybrid Analysisで解析すると、powershellが起動するのはわかった  scriptだけど、その過程の処理は? 難読化されている
malwareの解析  どのような処理が行われてるか解析してみる  環境  REMnux, Spider Monkey 
使用する検体  7/25にばらまかれたjsのダウンローダ  Twitterで共有されていた悪性ファイル設置サイトのURLから解析環境にダウンロード  b546fc2dbd804948bbece5a28508026eacf0ff971854d0c2c2fd279fb315e2f7  https://www.virustotal.com/#/file/b546fc2dbd804948bbece5a28508026eacf0ff971854d0c2c2fd 279fb315e2f7/
malwareの解析  難読化の場合、多くがevalを使ってコードの実行を行っている  evalを違う処理に置き換えたファイル(hook.js)を作っておく  実行してみる  ActiveXObjectがSpider Monkeyでは、対応してないので怒られる
eval = function(input_string) { print(input_string) }
malwareの解析  ActiveXObjectの処理の部分だけ、デコードしてみる  デコード後 C:¥Users¥[UserName]¥AppData¥Roaming¥Microsoft¥Windows¥Templates にGoogleへのショートカットを作成する処理 ショートカットが作られなかった場合、デコードを続行する? => 何かの解析妨害機能が動いている??
malwareの解析  必要なさそうな部分をコメントアウトして再び実行  実行結果  ActiveXObjectが呼び出されるところを回避して、evalで実行される内容が表示 できた
malwareの解析  Evalで表示されている処理内容をコードに追加、関数yNVxaYpsjqZRwCvuに渡される変 数も表示してみる  実行結果
Malwareの解析  後の関数yNVxaYpsjqZRwCvuで渡しているのは、以下の謎の文字列と、”F”という文字  なんとなく、”F”が多くね?  ということで、Fを置換してみる  klQZHCEpDMTYqkh =
new ActiveXObject(“shell.application” )なので、関数 yNVxaYpsjqZRwCvu 内で上記コマンドを実行していると思われる  この関数内でも何かしらの他の処理をしているかもしれないですが、そこまでは解析できませんでした、、
まとめ  最近の標的型メールは、より多くの人がターゲットにされている  より多くの人がターゲットにされている場合、情報が広く出回っているので調 べてみよう。  Twitterが特におすすめ  自分で手を動かして検証してみることも大事
 Twitterの情報をやオンラインサービスを鵜呑みにしない  自分で手を動かしてみると新しい発見があるかも