Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Backdoorの調査と解析

task4233
December 08, 2019
Technology
0
810

 Backdoorの調査と解析

第31回 学生エンジニアLT大会!!! in 東京で使用した資料の公開版です。

デモはこちらにキャプチャがあります。
https://twitter.com/task4233/status/1203628320903974912?s=20

task4233

December 08, 2019
Tweet

More Decks by task4233

See All by task4233
GC24 Recap: Interface Internals
task4233
0
530
GopherCon 2024 Recap: Exploring the Go Compiler: Adding a "four" loop / 構文追加で学ぶGoコンパイラの処理
task4233
0
570
Goのデバッグ用ロガーの開発を通して得た デバッグとgoパッケージに関する知見/Knowledge by given implementation of logger for debug
task4233
0
420
入門XSS / Introduction of XSS
task4233
3
2.5k
脆弱性スキャナのOWASP ZAPを コードベースで扱ってみる / OWASP ZAP on a code base
task4233
2
2.6k
誘導を読み取って1ステップ上の問題を解けるようになろう/Tips for Solving CTF with Reading Leads
task4233
1
880
JavaScriptはなぜシングルスレッドでも非同期処理ができるのか/Why Can JavaSctipt Invoke Asynchronous in Single Thread?
task4233
24
21k
入門gRPC / Introduction of gRPC
task4233
1
830
Goクイズで学ぶメソッドセット
task4233
0
470

Other Decks in Technology

See All in Technology
エンジニア人生の拡張性を高める 「探索型キャリア設計」の提案
tenshoku_draft
1
120
Lambdaと地方とコミュニティ
miu_crescent
2
370
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
120
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
120
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
0
110
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
410
強いチームと開発生産性
onk
PRO
33
11k
地理情報データをデータベースに格納しよう~ GPUを活用した爆速データベース PG-Stromの紹介 ~
sakaik
1
150
フルカイテン株式会社 採用資料
fullkaiten
0
40k
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
290

Featured

See All Featured
A Tale of Four Properties
chriscoyier
156
23k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
410
GraphQLとの向き合い方2022年版
quramy
43
13k
Optimizing for Happiness
mojombo
376
70k
Being A Developer After 40
akosma
86
590k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k
Gamification - CAS2011
davidbonilla
80
5k
Building Applications with DynamoDB
mza
90
6.1k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Automating Front-end Workflow
addyosmani
1366
200k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k

Transcript

  1. Backdoorの調査と解析 task4233 学生エンジニアLT大会 #31 2019, 12/8

  2. Who am I Name  Takashi Mima(@task4233) 今までやってきたこと:  競プロ/CTF/Security Camp 2019

    Aトラック 今やっていること:  マルウェア解析 / ペネトレのための学習と実践

  3. もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

  4. 1. Backdoorとは ・コンピュータ内に設置する裏口 > 本来はIDやパスワードを使って使用権を確認する  コンピュータの機能を無許可で利用するために、  コンピュータ内に(他人に知られることなく)  設けられた通信接続の機能 (ref: wikipedia)

  5. 1. Backdoorの種類と実例 ・設計開発段階で利用されるBackdoor  - 開発段階で利用されるBackdoor   e.g. ) 格安の中国製「防犯カメラ」にバックドア 検査なくネット通販で世界に輸出 (Excite news,

    2018)  - 開発者が私的な利益のために組み込むBackdoor   e.g.) ネット通販にバックドア仕込む、開発エンジニアが逮捕・起訴(読売新聞, 2004)  - 意図されない開発段階のBackdoor   e.g.) ルータに搭載された遠隔管理機能(Trend Micro, 2017)  - 稼働中のコンピュータに外部から送り込まれる    Backdoor

  6. もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

  7. 2. Backdoorの仕組み ・22/tcp, 25/tcp, 53/tcp, 53/udp, 80/tcp, 443/tcp等を  利用して外部とのコネクションを作成 ・22/tcp(ssh)

     - sshd_configの更新  - rsa認証鍵の生成, 奪取 ・80/tcp(http), 443/tcp(https)  - cgiスクリプトの設定  - 遠隔操作用の実行ファイル配置 ref: 攻撃者が侵入後に行うバックドアの設置例 (2002, atmarkit)

  8. デモ(link)

  9. もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

  10. Spidey Botの解析 ・Spidey Botとは  Discord ClientをBackdoor化するマルウェア ・マルウェア本体の検体が見つからなかったので  情報を収集してPOSTするJaveScriptを解析  ref :Discordにバックドアを仕掛けるマルウェアが発見

    (2019 , PC Watch)    SPIDEY BOT TRANSMUTES WINDOWS DISCORD CLIENT INTO BACKDOOR (2019, SoCPrime)

  11. 難読化ェ......

  12. Spidey Botの解読と比較 ・PCWatchが言及していた  情報は右の通り ・1つずつ確認する

  13. Spidey Botの解読と比較 ・Discordユーザトークン ・タイムゾーン

  14. Spidey Botの解読と比較 ・画像解像度 ・Zoom比

  15. Spidey Botの解読と比較 ・userinfo

  16. Spidey Botの解読と比較 ・WebRTCのPublicIP(一部)

  17. Spidey Botの解読と比較 ・支払い情報

  18. Spidey Botの解読と比較 ・Useragent, getdiscordversion, clipboard

  19. もくじ 1. Backdoorとは 2. Backdoorの仕組み 3. Spidey Botの解析 4. まとめ

  20. 4. おわりに ・Backdoorとはコンピュータ内に設置する裏口 ・Backdoorはtcp, udpのポートを偽装して使用 ・Spidey BotのJavaScriptを解析し,  取得される情報が確認できた  

  21. Any Question? Twitter: @task4233 GitHub: task4233 学生エンジニアLT大会 #31 2019, 12/8