難読化Bashの検知

Z5. 難読化Bashの検知セキュリティ・キャンプ2020 Z5トラック田島裕也

動機・攻撃者は隠蔽のために攻撃用のシェルスクリプトに難読化処理を施すことがある．・難読化されたスクリプトを自動で検知することで，攻撃のバリエーションを減らすことが出来そう． 2

難読化の手法・自動で難読化処理を施すツール．・https://github.com/Bashfuscator/Bashfuscator 3

難読化の手法 $ cat /etc/passwd $ $'\u0063a\x74' /e${@^^}tc/p${*%Frf\[4]}as\s'wd' ・上二つは同じ意味・$'\u0063a\x74' ->
cat (unicode, ascii) ・${@^^}, ${*%Frf\[4]} -> empty ・\ は無視される 4

検知するために考えたこと・難読化されたスクリプトはかなり乱雑に見えるため，エントロピーが高そう．　→ テキストのエントロピーを計算したところ，正規のスクリプトと難読化スクリプトであまり変わらない　→ 人間が見ると，意味のある文字列は乱雑には見えないが，実際のエントロピーは高い 5

検知するために考えたこと・難読化されたスクリプトは ‘$’や’{}’，’\’など特殊記号が多く現れる．　→　特殊記号が多く現れるスクリプトを検知　→　かなり単純な考えだが，意外とうまくいった． 6

検知基準・特殊記号がファイル全体の25％より多く現れる場合，難読化と検知する．・閾値適当なの絶対よくない 7

実験・評価・難読化マルウェア　→　114 / 133 (0.483s) ・正規スクリプト（/bin, /sbin, /usr, /etc, /var/lib）
→　0 / 1656 (2.120s) ・TP rate = 0.857 ・FP rate = 0 ・Accuracy = (114 + 1656) / (133 + 1656) = 0.989 8

おまけ・ランダムで追加される意味のない(empty)な部分をなるべく排除することで，難読化スクリプトを見やすくする．・無駄な部分が減って何となく見やすくなった．．． 9

まとめ・感想・特殊記号の出現比率を用いて，高い精度で難読化スクリプトを検知することが出来た．・正直，こんな難読化が出来ないように規約をもっと厳しいものにしてもいいんじゃないかと思った． 10

難読化Bashの検知

難読化Bashの検知

udon-yuya

More Decks by udon-yuya

Other Decks in Technology

Featured

Transcript

Z5. 難読化Bashの検知セキュリティ・キャンプ2020 Z5トラック田島裕也

動機・攻撃者は隠蔽のために攻撃用のシェルスクリプトに難読化処理を施すことがある．・難読化されたスクリプトを自動で検知することで，攻撃のバリエーションを減らすことが出来そう． 2

難読化の手法・自動で難読化処理を施すツール．・https://github.com/Bashfuscator/Bashfuscator 3

難読化の手法 $ cat /etc/passwd $ $'\u0063a\x74' /e${@^^}tc/p${*%Frf\[4]}as\s'wd' ・上二つは同じ意味・$'\u0063a\x74' ->

検知するために考えたこと・難読化されたスクリプトは ‘$’や’{}’，’\’など特殊記号が多く現れる．　→　特殊記号が多く現れるスクリプトを検知　→　かなり単純な考えだが，意外とうまくいった． 6

検知基準・特殊記号がファイル全体の25％より多く現れる場合，難読化と検知する．・閾値適当なの絶対よくない 7

実験・評価・難読化マルウェア　→　114 / 133 (0.483s) ・正規スクリプト（/bin, /sbin, /usr, /etc, /var/lib）

おまけ・ランダムで追加される意味のない(empty)な部分をなるべく排除することで，難読化スクリプトを見やすくする．・無駄な部分が減って何となく見やすくなった．．． 9

まとめ・感想・特殊記号の出現比率を用いて，高い精度で難読化スクリプトを検知することが出来た．・正直，こんな難読化が出来ないように規約をもっと厳しいものにしてもいいんじゃないかと思った． 10