Backdoorの調査と解析

195f71c8183f8d27da66aa0618f293b6?s=47 task4233
December 08, 2019

 Backdoorの調査と解析

第31回 学生エンジニアLT大会!!! in 東京で使用した資料の公開版です。

デモはこちらにキャプチャがあります。
https://twitter.com/task4233/status/1203628320903974912?s=20

195f71c8183f8d27da66aa0618f293b6?s=128

task4233

December 08, 2019
Tweet

Transcript

  1. Backdoorの調査と解析 task4233 学生エンジニアLT大会 #31 2019, 12/8

  2. Who am I Name  Takashi Mima(@task4233) 今までやってきたこと:  競プロ/CTF/Security Camp 2019

    Aトラック 今やっていること:  マルウェア解析 / ペネトレのための学習と実践
  3. もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

  4. 1. Backdoorとは ・コンピュータ内に設置する裏口 > 本来はIDやパスワードを使って使用権を確認する  コンピュータの機能を無許可で利用するために、  コンピュータ内に(他人に知られることなく)  設けられた通信接続の機能 (ref: wikipedia)

  5. 1. Backdoorの種類と実例 ・設計開発段階で利用されるBackdoor  - 開発段階で利用されるBackdoor   e.g. ) 格安の中国製「防犯カメラ」にバックドア 検査なくネット通販で世界に輸出 (Excite news,

    2018)  - 開発者が私的な利益のために組み込むBackdoor   e.g.) ネット通販にバックドア仕込む、開発エンジニアが逮捕・起訴(読売新聞, 2004)  - 意図されない開発段階のBackdoor   e.g.) ルータに搭載された遠隔管理機能(Trend Micro, 2017)  - 稼働中のコンピュータに外部から送り込まれる    Backdoor
  6. もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

  7. 2. Backdoorの仕組み ・22/tcp, 25/tcp, 53/tcp, 53/udp, 80/tcp, 443/tcp等を  利用して外部とのコネクションを作成 ・22/tcp(ssh)

     - sshd_configの更新  - rsa認証鍵の生成, 奪取 ・80/tcp(http), 443/tcp(https)  - cgiスクリプトの設定  - 遠隔操作用の実行ファイル配置 ref: 攻撃者が侵入後に行うバックドアの設置例 (2002, atmarkit)
  8. デモ(link)

  9. もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

  10. Spidey Botの解析 ・Spidey Botとは  Discord ClientをBackdoor化するマルウェア ・マルウェア本体の検体が見つからなかったので  情報を収集してPOSTするJaveScriptを解析  ref :Discordにバックドアを仕掛けるマルウェアが発見

    (2019 , PC Watch)    SPIDEY BOT TRANSMUTES WINDOWS DISCORD CLIENT INTO BACKDOOR (2019, SoCPrime)
  11. 難読化ェ......

  12. Spidey Botの解読と比較 ・PCWatchが言及していた  情報は右の通り ・1つずつ確認する

  13. Spidey Botの解読と比較 ・Discordユーザトークン ・タイムゾーン

  14. Spidey Botの解読と比較 ・画像解像度 ・Zoom比

  15. Spidey Botの解読と比較 ・userinfo

  16. Spidey Botの解読と比較 ・WebRTCのPublicIP(一部)

  17. Spidey Botの解読と比較 ・支払い情報

  18. Spidey Botの解読と比較 ・Useragent, getdiscordversion, clipboard

  19. もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

  20. 4. おわりに ・Backdoorとはコンピュータ内に設置する裏口 ・Backdoorはtcp, udpのポートを偽装して使用 ・Spidey BotのJavaScriptを解析し,  取得される情報が確認できた  

  21. Any Question? Twitter: @task4233 GitHub: task4233 学生エンジニアLT大会 #31 2019, 12/8