Microsoft PowerPoint - lecture v03.pptx

Size: px

Start display at page:

Download "Microsoft PowerPoint - lecture v03.pptx"

きみかずしんまつ
5 years ago
Views:

1 情報ネットワーク特論マルウェアとその解析名古屋大学情報基盤センター情報基盤ネットワーク研究部門嶋田創

2 1 概要マルウェアとはマルウェアの分類近年のマルウェアの送り込み方マルウェアの静的解析マルウェアの動的解析解析されないためにマルウェアが取る対策

3 2 マルウェアとは MALicious software( 悪意のあるソフトウェア ) の略かつてはよくコンピュータウイルスと呼ばれていたが最近はマルウェアと称すことが多いコンピュータウイルスとの違い愉快犯や技術誇示からサイバー犯罪の道具へおおっぴらに感染 / 拡散しない特定のグループ / ネットワークのコンピュータにのみ感染そもそもあまりばらまくと発見される可能性が高くなるおおっぴらに怪しい通信したりしない他の通信にまぎれて通信したりしますおおっぴらに破壊活動をしたりしない発見されると証拠隠滅することはあります

4 3 マルウェアの分類 RAT(Remote Access Trojan) 遠隔で感染したPCを操作可能な形にするトロイの木馬ボットネットクライアントなどもこれに分類自分が加害者になる点が怖いスパイウェア金融関係情報や各種サービス用ユーザ名 / パスワードの窃取キーロガーやスクリーンショット取得などの機能ダウンローダ Drive-by Download 攻撃の途中で利用昔ながらのものウイルス : 無差別に近い拡散 PCに何らかの以上を発生させるワーム : 増殖することに特化

5 4 RAT(Remote Access Trojan) トロイの木馬バックドア作成踏み台ツールの発展指令を受け取って攻撃などの動作を取る昔はIRC 経由が多かったがマークされるようになったので最近は HTTPやHTTPS 経由で指令受信後述するDDoS 攻撃などに利用遠隔で自分自身を更新することも可能攻撃更新版更新版配布サーバ指令サーバ指令

6 5 代表的な RAT: Poison Ivy バージョンアップしながら今も利用されている機能スクリーンショット音声 Webカメラの画像の取得アクティブなポートの表示キー入力操作情報の収集開いているウィンドウの管理パスワードの管理レジストリプロセスサービスデバイスインストールされているアプリケーションの管理ファイル検索同時に多数のファイル移動の実行リモートシェルの実行サーバの共有自身の更新再起動終了

7 6 マルウェアの送り込み方昔ながらのメール本体に添付することは減ってきてウェブからのダウンロードが中心に複数のダウンロードを繰り返すDrive-by Download 攻撃もウェブからのダウンロード攻略されたウェブサイトから配布ウェブ広告にまぎれて配布標的型攻撃 (APT: Advanced Persistent Threat) 近年話題の攻撃標的 ( 機密情報サーバなど ) にマルウェアを入れるまでに複数の踏み台 PCを経由応用 : 水飲み場型攻撃特定のユーザがよく見るウェブサイトにマルウェアをしかける

8 7 Drive-by Download 攻撃複数のダウンロードによってマルウェア配布を欺瞞 / 隠蔽

9 8 Drive-by Download 攻撃複数のダウンロードによってマルウェア配布を欺瞞 / 隠蔽

10 9 標的型攻撃の動作非常にざっくり書くと 5 段階侵入前に組織の内部構成を調査することもある組織内での拡散において潜伏索敵を行うこともある 1 組織内部への侵入 3 攻撃者とバックドア通信 4 秘密情報窃取 2 組織内部で拡散 5 情報送出

11 10 標的型攻撃の時間軸長いものだと一連の攻撃に数ヶ月かける

12 11 標的型攻撃の実例三菱重工への標的型攻撃発覚 : 2011/8/11にサーバが再起動を繰り返すため影響範囲サーバー 45 台従業員用 PC 38 台 8 種類のウイルスを発見 11の事業所から発見発端 : 原発のリスク整理という添付ファイル東日本大震災 (2011/3) の直後 Adobe Flashの脆弱性を利用送信元は内閣府実在の人物の名前メールアドレスを騙る三菱重工は原発を作っている ( いた ) ので受け取った人は疑わない

13 12 さらに発展した標的型攻撃やりとり攻撃複数回のメールのやりとりの後にマルウェア送付水飲み場型攻撃ある仕事をしている人が頻繁に見るページにマルウェアを仕掛けることによる特定業種の業社への標的型攻撃例 : 政府のある機関のプレスリリース入札公告ページその機関に関連する会社に対して攻撃さらにIPアドレスを制限する事例もある営業発注仕様書送りますのでこれで見積もりを攻撃者こんな製品あります? ありますよカタログもらえます? カタログ

14 13 水飲み場型攻撃の実例? EmEditorアップデートファイルを利用した攻撃 [1] 攻撃対象 : 名古屋大学 JAXA ISAS 朝日新聞農林水産省など以下の様な.htaccessファイルがアップデート配布ディレクトリに置いてあった指定した IP アドレスの範囲からアップデート要求があれば別ファイルを配布 SetEnvIf Remote_Addr [0-9]+ install SetEnvIf Remote_Addr [0-9]+ install ( 同様に 70 行 ) SetEnvIf Remote_Addr [0-9]+ install RewriteEngine on RewriteCond %{ENV:install} =1 RewriteRule (.*.txt)$ /pub/rabe/editor.txt [L] [1] 今回のハッカーによる攻撃の詳細について /

15 信頼性の高い攻撃用メールアカウントの準備 14 従来だったらセキュリティのゆるいフリーメールアドレスを利用するただしあまりにも評判が悪くなると後述のブラックリストで対策される近年ではそこそこメジャーな組織のメールアカウントを乗っ取って送信できればその組織に対して関係が深い組織のメールアドレス知り合いからのメールと見せかければ開封される可能性は数十倍高い部署までやりとりに関係する所があればさらに好ましい多段階でメールアドレス乗っ取りをかけることも

16 15 マルウェアの識別バイナリ全体のハッシュ値部分コード列との一致埋め込みデータとの一致まとめてシグネチャにするシグネチャ型 IDS/IPS 一般的なアンチウイルスソフトウェア

17 16 マルウェアの名付け Antivirusメーカごとに名付けが違う例 Kaspersky: Trojan-Ransom.Win32.Agent AVG: Trojan.Generic35 それどころかファミリ分けも違う例 AVG Trojan.Win32.Agent Trojan.CoinMiner.AKQ Trojan.Dropper.Generic_r.AF Kaspersky: 全部 Trojan.Inject2.MDE

18 17 VirusTotal によるマルウェアの識別様々なAntivirusの結果を見ることができるサイト URL( ウェブサーバ ) に対しても評価してくれるというかちょこちょこ巡回しているらしい

19 18 静的解析とはマルウェアのプログラムを解析するものプログラム解析のために少し程度はプログラムを動かすのもありごく一般的なプログラムのリバースエンジニアリングのテクニックが色々と使えます

20 19 静的解析でやることバイナリに埋め込まれた情報アクセス先のホストなどの情報利用するライブラリや関数普通のデバッグに近い解析変数の変化を追う ( ブレークポイントを設定して動作させて ) 制御を追う

21 20 静的解析でヒントとなる物 (1/2) 特定のランタイムライブラリの呼び出し例 : Advapi32.dll( レジストリ ) 特定の関数の呼び出し例 : GetProcAddress( プロセスのアドレス確認 ), SetWindowHookEx/LowLevelKeyboardProc( キー入力フック ), など怪しい関数はMSDNのWinAPI 検索で調べたり自作関数も命名から動きを想像できたり ( 例 : URLDownloadToFile) mutex 関係の関数の利用同じマルウェアが実行されていないか確認するためによく mutex 関係の関数が利用される

22 21 静的解析でヒントとなる物 (2/2) サービス関係の関数 OS 起動時に自動起動するようにサービス登録 Navigate 関係の関数ウェブへのアクセスで利用変な例外処理スタック上の例外処理用ジャンプテーブルを BoF などで書き換えて ( 上の権限で ) 実行 WinAPI ではなくネイティブ API の利用

23 22 動的解析とは実際にプログラムを動かしてその挙動より解析外部のどこに接続しに行こうとするか外部から何をダウンロードして実行しようとするかどのようなファイルレジストリを触ろうとするか LAN 内の他のマシンにちょっかいを出すか通常は仮想マシン上で動作させて確認できれば他を攻撃しない無害な通信は通過させた状態で動作インターネットへの接続性で動作を帰るマルウェアは多い外部からのコマンドを受けて動作を継続するマルウェアもあるただし外部への接続は解析者がいることを攻撃者に伝える可能性もある

24 23 マルウェア解析を妨げるものパック : プログラムを単純に圧縮難読化 JavaScriprtなどソースコードにおいて難読化文字列として解釈できるデータを減らしてシグネチャのマッチを回避逆アセンブル対策動的解析 ( デバッガ ) 妨害仮想マシン対策

25 24 パックまずパック部をデコードするラッパープログラムを起動静的解析ではラッパーを解析することしかできない UPX( が有名アンパック手法 start start ラッパープログラムオリジナルの実行ファイル ( 文字列や他の情報は見える ) パックされた実行ファイル ( 文字列や他の情報は見えない )

26 25 コードの難読化 JavaScript の難読化難読化を解除しましょう例 : Online JavaScript beautifier

27 可変長命令ならではの逆アセンブル妨害 26 x86 命令は可変長命令セット一部のバイト列を飛ばすと別の命令列になることも例普通に逆アセンブルするとjz->jnz->call 実際の動作はjz->leaもしくはjnz->lea

28 27 動的解析 ( デバッガ ) 妨害デバッガが使う関数を監視デバッガがアタッチする際の動作 (Using the WinAPI) をスキャンいくつかの関数はデバッガ検知に使われるドキュメントに載っていない機能を使うこともメモリ構造をチェックデバッガの残留物をサーチ Windows 側の出力や仮想マシンの出力より

29 28 デバッガ検出に使える WinAPI IsDebuggerPresent Process Environment Block (PEB) 構造体の中デバッガが起動しているかどうか CheckRemoteDebuggerPresent Process Environment Block (PEB) 構造体の中デバッガがプロセスに接続されているかどうか NtQueryInformationProcess あるプロセスがデバッグされているかどうか OutputDebugString デバッガに文字列を送信する関数適当なエラー値をセットしてデバッガに文字列を送信しエラー値を確認 ( そのままならばデバッガあり ) API hook で防衛しましょう

30 29 他のデバッガ対策わざと0となっている変数除算して例外処理へプロセス毎のPEB 構造体のデバッグステータスを確認プロセス列挙 APIを叩いて一覧からデバッガ探しレジスリのAeDebugキーの値がデバッガか? Ae = Application Error 実行中のウィンドウのタイトル名がデバッガか? 例外から戻る時間などを計測デバッガがアタッチされる前に実行されるThread Local Storage 領域で実行普通は使わないので存在していたら怪しいと思え single-step exception を発生する命令によりシングルステップ実行妨害

31 30 仮想マシン対策レジストリの中 / プロセスリストに仮想マシンの痕跡を探す NICのMACアドレスが仮想マシンの物か? VMware は 00:0C:29 から開始 cpuidなどのハードウェア情報にアクセスする命令の返り値における不審ホストOSとの通信 I/O 叩き

32 31 デバッガ / 仮想マシン対策対策プロセスの終了に関するコードへの制御を削除あやしいexitを削除プログラムの最後へのジャンプを削除自身を削除するルーチンへのジャンプを削除時間計測箇所の間でステップ実行しない例外をトラップしない

33 32 参考文献 Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software 各種デバッガ系ツールの使い方などもあり演習問題も各種あり Dissecting/dp/

Microsoft PowerPoint - lecture20160524v03.pptx

Microsoft PowerPoint - lecture20160524v03.pptx 概要 1 情報ネットワーク特論マルウェアとその解析名古屋大学情報基盤センター情報基盤ネットワーク研究部門嶋田創マルウェアとはマルウェアの分類近年のマルウェアの送り込み方マルウェアの静的解析マルウェアの動的解析解析されないためにマルウェアが取る対策マルウェアとは MALicious