Recommended
Recommended
More Related Content
Featured
Featured (20)
ファイルレスマルウェアの紹介
- 2. What is Fileless Malware? 名前の通りファイルがないマルウェア 一般的なマルウェア • ファイルがある(形式 : exe(pe format)、elf) • このファイル自体が悪さを働くものなので、解析者はこれの動きを調べる(または検知される) • 余談ですが、マルウェア倉庫を見つけたので興味がある人は後で声かけて下さい ファイルレスマルウェア • 先ほど挙げたファイルから攻撃が始まらない(後のスライドで詳しく説明) • ファイルが全く持って0というわけではない • 大抵、powershellが用いられる • 普通のマルウェアもそうだけど、だいたいはWindowsユーザーを攻撃対象としてる(気がする) メモリ HDD/SSD ファイルレスマルウェア マルウェア
- 3. • 攻撃の流れ • ファイルレスの構造 • 検知できなかった理由 Table of contents • 難読化 • ログ Attack Flow Obfuscation + Log 02 01
- 5. Malware type Trojans Ransomware Worm • ユーザーにダウンロードさせる • 個人情報の抜き取り、監視 または踏み台に • ファイルを暗号化などして 身代金を要求する • マシンからマシンへの感染 • 自己複製の機能がある https://www.mcafee.com/ja-jp/antivirus/malware.html
- 8. ◆ まず、全部が全部マルウェアをダウンロードするわけではない ◆ ディスク上にあるexeしか検査しなかった ◆ ファイルレスはpowershell上、メモリ上で実行される ◆ Powershellでなんでもできるのと権限が高い ◆ 今は検査対象を広くしてるから検知できる ◆ 実行ログが残るからログを調べればいい ◆ バックグラウンドで通信したりしてたらそのタスクを 終了すれば通信は終わる ◆ Powershellを使えなくするのは間違い。Powershellは結構いろんなものに 使われている 理由と現状
- 10. Powershell • イベントビューアー • IDは4104と800 Log • スクリプト言語 • .NET Framework language
- 11. Obfuscation • 省略 • 大文字・小文字混ぜ • スペース多用 • バッククオート -enc、-joinなどの パラメータでの難読化 • 分割・入れ替え・置換 • 型で持つ • エンコード・エンクリプト • 圧縮 Command Layout Parameter String 分かりづらく、解析しづらく、検知しづらくするために難読化は行われる
- 12. Log イベントビューアーから • アプリケーションと… -> Windows Powershell -> ID:800 • アプリケーションと… -> Microsoft -> Windows -> Powershell -> Operational -> ID:4104 きちんと仕様は読んでなくてあくまで主観 800はスクリプトの解釈が残っている 4104はスクリプトの中身全部が残っているだけ 800は何がされたか、4104はファイルの中身が理解できる ただ、4103 ≒ 800だと最近、解析してて思った では実際にログを見てみましょう!
- 13. Detection System on Log ログを見る検知システムを作っている ログを見て検知だと遅いと思われるがそれは半分間違い • バックグラウンドで通信してるやつはタスクを切れば終了する • ファイルが暗号化されたとしたらどう暗号化されたのかログを見て復号 • ダウンロードされたマルウェアによる攻撃はものによればきついかも (新種や亜種のマルウェアだと情報が少なそうだから)