Fight Against Citadel in Japan(日本語版)

Size: px

Start display at page:

Download "Fight Against Citadel in Japan(日本語版)"

たけなりたみや
5 years ago
Views:

Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, email=office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : 2014.

1 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, =office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : :43:12 +09'00' Fight Against Citadel in Japan 2014/02/18 JPCERT/CC 分析センター中津留勇

2 目次背景日本における不正送金被害 Citadel の分析動作概要暗号化メイキング Citadel Decryptor Citadel Decryptor 復号方法デモ 1

3 背景 2

4 日本における不正送金被害 14 億 600 万円標的となった金融機関は 32 3 億 800 万円 4800 万円 2011 年 2012 年 2013 年 3

5 その裏で 4

6 不正送金に関連したマルウェア ZeuS SpyEye Carberp etc. Ice IX Citadel GameOver 5

7 Citadel の感染被害 6

8 インシデント全体像リモート操作用サーバ攻撃者インターネットバンキングユーザ管理サーバ 7

9 Web Injects インターネットバンキングユーザ 8

10 Web Injects デモ 9

11 マルウェアの作成管理ツール 10

12 アンダーグラウンドでの売買 11

13 インシデント対応リモート操作用サーバ攻撃者インターネットバンキング情報共有ユーザ管理サーバ 12

14 インシデント対応するためにどこの? どこの? リモート操作用サーバ攻撃者インターネットバンキングどこの? どのサイト? ユーザどうやって? 管理サーバ 13

15 CITADEL の分析 14

16 Citadel の分析を行うにあたってリーク版 Citadel リーク版 ZeuS ZeuS ソースコードブログ記事等 Web パネル Web パネル Web パネルソース Sophos ビルダービルダービルダーソース LEXSI ビルドされたサーバデバッグ情報 15

17 分析手法表層分析ファイル情報等の情報収集動的分析監視ツール Sandbox デバッグ静的分析ソースコードを読むアセンブリコードを読む 16

18 静的分析 ZeuS との差分を調査 17

19 Citadel の挙動送信用レポート Web Injects 現在の設定など 18

20 2 つの設定ファイル Base Config 初期設定暗号鍵 Dynamic Config の URL などエンコードされてハードコード Dynamic Config 追加の設定 Webパネルの URL Web Injects etc サーバからダウンロード 19

dll" url_config2 "http://reserve-citadelhost/folder/file.php file=config.

21 Base Config botnet "CIT" timer_config 4 9 timer_logs 3 6 timer_stats 4 8 timer_modules 1 4 timer_autoupdate 8 url_config1 " file=config.dll" url_config2 " file=config.dll" remove_certs 1 disable_cookies 0 encryption_key "key123" report_software 1 enable_luhn10_get 0 enable_luhn10_post 1 disable_antivirus 0 use_module_video 1 antiemulation_enable 0 disable_httpgrabber 0 use_module_ffcookie 1 Dynamic Config の URL RC4 鍵を生成するためのパスワード 20

22 Dynamic Config url_loader " file=soft.exe" url_server " file_webinjects "injects.txt" url_webinjects " entry "AdvancedConfigs" " file=config.bin" " file=config.bin" set_url GP end data_before entry "WebFilters" <div><strong><label for="userid">username</la "#*wellsfargo.com/*" data_end data_inject "! <input type="text" accesskey="u" id="userid" na end <DIV><STRONG><LABEL for=userid>atm Pin</L style="width: 147px" tabindex="2" maxlength= (snip) <DIV><STRONG><label for="password">passwo <input type="password" accesskey="p" id="pass <input type="hidden" name="screenid" value="si <input type="submit" value="go" name="btnsign <input type="hidden" id="u_p" name="u_p" value </form> data_end 21

23 情報の暗号化 22

24 暗号化されたデータ 23

25 暗号化されたデータの内容パケットファイルレジストリ送信データ ( レポート ) レポート現在の設定 Dynamic Config 追加モジュールのバックアップ Dynamic Config のバックアップ追加モジュール 24

26 Citadel が用いる暗号方式 AES+ AES に XOR エンコードを組み合わせた方式 RC4+ RC4 に XOR エンコードを組み合わせた方式 RC4+ * 2 RC4+ による復号を 2 度行う Installed Data インストール時にランダムに生成した AES 鍵を使用した AES+ 25

27 Citadel が扱うデータ形式 BinStrage ヘッダアイテムアイテムアイテム UCL 圧縮 StrageArray サイズ (XOR) 暗号化 BinStrage サイズ (XOR) 暗号化 BinStrage サイズ (XOR) 暗号化 BinStrage 26

28 Dynamic Config の場合 XOR Base Config UCL 圧縮 Dynamic Config AES+ 27

29 0x400 バイトのオーバーレイインストール前の Citadel インストール後実行ファイル XOR 鍵 Install Setting パディング実行ファイル ID, インストールパス, ランダム AES 鍵ランダム StrageArray 鍵など Installed Data パディング 28

30 復号対象まとめカテゴリ対象形式暗号方式レポート暗号化 BinStrage RC4+ パケット Dynamic Config 暗号化 BinStrage AES+ 追加モジュール実行ファイル RC4+ * 2 レポートファイル StrageArray Installed Data ファイルモジュールのバックアップ StrageArray Installed Data レジストリ Dynamic Config のバックアップ暗号化 BinStrage Installed Data 29

31 メイキング CITADEL DECRYPTOR 30

32 ゴールインシデント対応に必要な情報を復号する 31

33 実装 Python PyCrypto pefile UCL 32

34 RC4+ 復号処理 RC4 鍵取得 RC4 Visual Decrypt 33

35 RC4+ 実装 def rc4_plus_decrypt(login_key, base_key, buf): S1 = base_key['state'] S2 = map(ord, login_key) out = "" i = j = k = 0 for c in buf: i = (i + 1) & 0xFF j = (j + S1[i]) & 0xFF S1[i], S1[j] = S1[j], S1[i] out += chr((ord(c) ^ S1[(S1[i]+S1[j])&0xFF]) ^ S2[k%len(S2)]) k += 1 return out 34

36 AES+ 復号処理 AES 鍵取得 AES 復号 Visual Decrypt 35

37 AES+ 実装 def unpack_aes_plus(login_key, base_key, xor_key, aes_key, data): aes = AES.new(aes_key) tmp = aes.decrypt(data) out = "" for i in range(len(tmp)): out += chr(ord(tmp[i]) ^ ord(xor_key[i%len(xor_key)])) return out 36

38 必要なパラメータ Base Config Installed Data その他 RC4 鍵 StrageArray 鍵 Salt ランダム AES 鍵 LoginKey AES XOR 鍵 37

39 必要なパラメータの取得 re.compile(".* x56 xba(..) x00 x00 x52 x68(...) x50 xe8... x8b x0d.*", re.dotall) 38

40 UCL Decompress 39

41 UCL Decompress 実装 def _ucl_decompress(self, data): ucl = cdll.loadlibrary(ucl) compressed = c_buffer(data) decompressed = c_buffer(decompress_max_size) decompressed_size = c_int() result = ucl.ucl_nrv2b_decompress_le32( pointer(compressed), c_int(len(compressed.raw)), pointer(decompressed), pointer(decompressed_size)) return decompressed.raw[:decompressed_size.value] 40

42 CITADEL DECRYPTOR 41

43 動作に必要な環境 Windows + 32bit Python コードおよび使用しているライブラリが 64bit に対応していないため PyCrypto Python の暗号モジュール AES 復号を行うために使用 Windows 用のバイナリは pefile Python の Windows 実行ファイルをパースするモジュールセクション等をパースして必要な鍵を取り出すために使用 42

44 復号に必要なデータ復号対象アンパックされた Citadel 本体ベース RC4 鍵 AES+ 用の XOR 鍵 RC4+ 用の XOR 鍵 (LOGINKEY) RC4+ 用の salt インストールされた後の Citadel 本体 Installed Data ランダムに生成された AES 鍵ランダムに生成された StrageArray 鍵 43

45 citadel_decryptor.py Citadel が扱う暗号化された様々なデータを復号するスクリプト復号対象とアンパックした本体は常に引数に入れる必要がある >citadel_decryptor.py usage: citadel_decryptor.py [-h] [-n] [-a] [-d] [-o OUT] [-D] [-l LOGIN] [-k KEY] [-x XOR] [-s SALT] [-i INSTALLED] [-m MODE] [-v] DAT EXE citadel_decryptor.py: error: too few arguments > 44

46 目的別オプション以下のオプションと復号対象およびアンパック後の Citadel を指定するカテゴリ対象指定オプションレポート -m2 パケット Dynamic Config -d モジュール -m3 -n レポートファイル -a -i [Install Data を持つ実行ファイル ] ファイルレジストリモジュールのバックアップ Dynamic Config のバックアップ -a -i [Install Data を持つ実行ファイル ] -d -i [Install Data を持つ実行ファイル ] 45

47 実践 46

Tips レジストリデータのバイナリ化 regedit を用いエクスポートしたデータを FileInsight のプラグインでバイナリデータに変換 https://github.

48 Tips レジストリデータのバイナリ化 regedit を用いエクスポートしたデータを FileInsight のプラグインでバイナリデータに変換アンパックパッカーが呼び出す API でブレークする方法が簡単 WriteProcessMemory CreateProcessW VirtualFree / VirtualFreeEx / RtlFreeHeap 仮想メモリ上から実行ファイルそのものを取り出すオーバーレイの 0x400 バイトを忘れずに切り取る 47

49 今後の活動今持っているツール Citadel Decryptor ZeuS Decryptor Ver Ver Ice IX Decryptor etc. 持っていないツール Gameover (P2P ZeuS) Decryptor 48

50 Thank You! 連絡先インシデント報告

Himawari の異常な暗号

Himawari の異常な暗号 Himawariの異常な暗号または私は如何にして心配するのを止めて暗号を解読するようになったか中津留勇 SecureWorks Japan 株式会社 Counter Threat Unit 2018/01/25 Japan Security Analyst Conference 2018 0 Japan Computer Emergency Response Team Coordination