Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Backdoorの調査と解析

task4233
December 08, 2019
Technology
0
770

 Backdoorの調査と解析

第31回 学生エンジニアLT大会!!! in 東京で使用した資料の公開版です。

デモはこちらにキャプチャがあります。
https://twitter.com/task4233/status/1203628320903974912?s=20

task4233

December 08, 2019
Tweet

More Decks by task4233

See All by task4233
Goのデバッグ用ロガーの開発を通して得た デバッグとgoパッケージに関する知見/Knowledge by given implementation of logger for debug
task4233
0
250
入門XSS / Introduction of XSS
task4233
3
2.3k
脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる / OWASP ZAP on a code base
task4233
2
2k
誘導を読み取って1ステップ上の問題を解けるようになろう/Tips for Solving CTF with Reading Leads
task4233
1
830
JavaScriptはなぜシングルスレッドでも非同期処理ができるのか/Why Can JavaSctipt Invoke Asynchronous in Single Thread?
task4233
21
20k
入門gRPC / Introduction of gRPC
task4233
1
720
Goクイズで学ぶメソッドセット
task4233
0
370
入門 質問
task4233
1
460
AtCoder AGC 001 B - Mysterious Light 考察と実装
task4233
0
410

Other Decks in Technology

See All in Technology
Cloud Native Java with Spring Boot (CNCF Aarhus, April 2024)
thomasvitale
1
130
Four keys改善の取り組み事例紹介
sansantech
PRO
3
230
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
2
2.9k
DevOpsメトリクスとアウトカムの接続にトライ!開発プロセスを通して計測できるメトリクスの活用方法
ham0215
2
200
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
0
230
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
140
PHPカンファレンス小田原2024
ysknsid25
3
660
Google Cloud の AI を支える裏側のインフラを垣間見る!
maroon1st
0
210
NgRx Signal Store
rainerhahnekamp
0
120
Databricksを活用してDELISH KITCHENのレシピレコメンドを開発した話
furu8
0
250
反実仮想機械学習とは何か
usaito
PRO
7
2.4k
自動生成を活用した、運用保守コストを抑える Error/Alert/Runbook の一元集約管理 / Centralized management of Error/Alert/Runbook to minimize operational costs using automated code generation
biwashi
9
2.1k

Featured

See All Featured
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
The Straight Up "How To Draw Better" Workshop
denniskardys
227
130k
Facilitating Awesome Meetings
lara
41
5.6k
Building a Scalable Design System with Sketch
lauravandoore
455
32k
Build your cross-platform service in a week with App Engine
jlugia
225
17k
Raft: Consensus for Rubyists
vanstee
132
6.2k
[RailsConf 2023] Rails as a piece of cake
palkan
22
3.9k
Design by the Numbers
sachag
274
18k
Atom: Resistance is Futile
akmur
258
25k
The Mythical Team-Month
searls
215
42k
GraphQLの誤解/rethinking-graphql
sonatard
50
9.2k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
1
3.4k

Transcript

  1. Backdoorの調査と解析 task4233 学生エンジニアLT大会 #31 2019, 12/8

  2. Who am I Name  Takashi Mima(@task4233) 今までやってきたこと:  競プロ/CTF/Security Camp 2019

    Aトラック 今やっていること:  マルウェア解析 / ペネトレのための学習と実践

  3. もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

  4. 1. Backdoorとは ・コンピュータ内に設置する裏口 > 本来はIDやパスワードを使って使用権を確認する  コンピュータの機能を無許可で利用するために、  コンピュータ内に(他人に知られることなく)  設けられた通信接続の機能 (ref: wikipedia)

  5. 1. Backdoorの種類と実例 ・設計開発段階で利用されるBackdoor  - 開発段階で利用されるBackdoor   e.g. ) 格安の中国製「防犯カメラ」にバックドア 検査なくネット通販で世界に輸出 (Excite news,

    2018)  - 開発者が私的な利益のために組み込むBackdoor   e.g.) ネット通販にバックドア仕込む、開発エンジニアが逮捕・起訴(読売新聞, 2004)  - 意図されない開発段階のBackdoor   e.g.) ルータに搭載された遠隔管理機能(Trend Micro, 2017)  - 稼働中のコンピュータに外部から送り込まれる    Backdoor

  6. もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

  7. 2. Backdoorの仕組み ・22/tcp, 25/tcp, 53/tcp, 53/udp, 80/tcp, 443/tcp等を  利用して外部とのコネクションを作成 ・22/tcp(ssh)

     - sshd_configの更新  - rsa認証鍵の生成, 奪取 ・80/tcp(http), 443/tcp(https)  - cgiスクリプトの設定  - 遠隔操作用の実行ファイル配置 ref: 攻撃者が侵入後に行うバックドアの設置例 (2002, atmarkit)

  8. デモ(link)

  9. もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

  10. Spidey Botの解析 ・Spidey Botとは  Discord ClientをBackdoor化するマルウェア ・マルウェア本体の検体が見つからなかったので  情報を収集してPOSTするJaveScriptを解析  ref :Discordにバックドアを仕掛けるマルウェアが発見

    (2019 , PC Watch)    SPIDEY BOT TRANSMUTES WINDOWS DISCORD CLIENT INTO BACKDOOR (2019, SoCPrime)

  11. 難読化ェ......

  12. Spidey Botの解読と比較 ・PCWatchが言及していた  情報は右の通り ・1つずつ確認する

  13. Spidey Botの解読と比較 ・Discordユーザトークン ・タイムゾーン

  14. Spidey Botの解読と比較 ・画像解像度 ・Zoom比

  15. Spidey Botの解読と比較 ・userinfo

  16. Spidey Botの解読と比較 ・WebRTCのPublicIP(一部)

  17. Spidey Botの解読と比較 ・支払い情報

  18. Spidey Botの解読と比較 ・Useragent, getdiscordversion, clipboard

  19. もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

  20. 4. おわりに ・Backdoorとはコンピュータ内に設置する裏口 ・Backdoorはtcp, udpのポートを偽装して使用 ・Spidey BotのJavaScriptを解析し,  取得される情報が確認できた  

  21. Any Question? Twitter: @task4233 GitHub: task4233 学生エンジニアLT大会 #31 2019, 12/8