江戸前セキュリティ勉強会 - マルウェアを解析してみよう

1. マルウェアを
解析してみよう
三村 聡志 / みむら (@MIMURA1133)

2. 自己紹介
• 三村 聡志 a.k.a. 親方 (@mimura1133)
• Twitter : @mimura1133
• http://mimumimu.net/
• http://www.windowsinternals.moe/
• 普通の大学生やってます。
• CTF 入門者向け勉強会 “CTF for Beginners”
やってます。 ( http://2014.seccon.jp )
• 絶賛就活生(M1) です。

3. マルウェア解析？

4. テーマを決めるに当たって
まっちゃさん、今度の江戸前で
「マルウェア解析」って
やっても大丈夫ですか
ええんちゃう、
なんもないで。

5. 解析手法
• 動的解析
• マルウェアを「動」かして解析する方法
• サンドボックス上で動かして眺めたり。
• Keyword: Cuckoo Sandbox, QEMU, etc…
• 静的解析
• マルウェアを動かさずに解析する方法
• 逆アセンブルして眺めたり。
• Keyword: IDA Pro, objdump, 逆アセンブル, etc…

6. 解析準備

7. 解析に必要なもの(今回使用したもの)
• Windows 7 x86, x64 – Service Pack 1
• 環境によって動くモノと動かないモノが出るので合わせる
• IDA Pro 6.7
• Pro 版は買うと世界が広がります。おすすめ。
• VMware Workstation
• 基本的には仮想マシン上で。潤沢なメモリと一緒に。
• 折れない心
• マルウェアの解析とプレゼン作成は昨日の深夜から。

8. 解析をする環境
• 基本的には「仮想マシンの上で」
• 静的解析なら大丈夫？
→ その解析ソフトの脆弱性を突かれたらどうするの
• 何がおすすめ？
• 個人的に楽なのは Microsoft Hyper-V.
• よりもっと入りたいなら QEMU.
• でも VMware Workstation がベター。

9. 解析する環境
• 参考までに・・。私はこんな感じです。
• IDA Pro / Windbg / Ollydbg
• Wireshark / Fiddler
• API Monitor
• MinGW
• MAP
→ なお、CTF4b の実習環境は
私の解析環境の構成がベースで組まれてます。

10. さぁ解析してみよう

11. 基本的な解析の流れ
• 私の場合は IDA Pro でやってます。
• 静的解析でさっと眺め
（複雑な場合は動的から）
• 動的で詳しいところの挙動をブラックボックス
で見て、静的で追いかける。

12. 基本的な解析の流れ
• 最初は分からないことだらけ
• 分かったときにメモを
書いていく

13. 解析をする場合の注意点
• ネットワークは切りましょう。
• ネットワーク通信して・・というのを観察したい
→ グローバルIP アドレスを別のモノに。空き IP アドレス等を。
• VM 上でやるならば、万全の状態を作った上で
「スナップショット」を作りましょう
• 汚した後、スナップショットに戻して
ネットワークなりが戻ってしまった例をよく見ます・・。

14. 解析をする場合の注意点
• 解析ツールの検知や
VM 検知をするマル
ウェアがあります。

15. 解析をする場合の注意点
• これ以外にも
BIOS の名前を見て
“Oracle”
“Vmware”
“QEMU”
等の文字列を見てい
る事があります。
→ ただ Hyper-V の検知は、ほとんど見ない。

16. 今回使用したもの

17. 今回使用したもの
• 2014年11月25日に発生した
Sony Pictures Entertainment に対して
行われたマルウェアを使用しました。
• 紹介するのは下の4検体
• 760c35a80d758f032d02cf4db12d3e55
• E1864a55d5ccb76af4bf7a0ae16279ba
• b80aa583591eaf758fd95ab4ea7afe39

18. 各検体がどういう動きをするか
• Piyokango さんのまとめが詳しいです。
• http://d.hatena.ne.jp/Kango/20141228/1419787
781
• なぞるのは面白くないと思うので
先ほどのマルウェアを見ながら
面白そうなところだけを見ていきます。

19. 760c35a80d758f032
d02cf4db12d3e55
この検体だけは速度を落としてゆっくりと。

20. 760c35a80d758f032d02cf4db12d3e55
-i, -k, -m, -d, -w が引数として取れる
• -i : 自身をサービスとして登録する
• -k : (サービスとして呼び出された際に実行)
→ サービスとしての main() を実行
→ 自身を taskhost??.exe としてコピーし
それらを –w, -m, -d を付けてそれぞれ起動
→ かつ MSExchangeIS サービスを停止する

21. 760c35a80d758f032d02cf4db12d3e55
• -w : usbdrbv32.sys を産み落として MBR を消す
• -d : (ハードディスクをワイプするらしいですが)
該当部分の実装がないので、何もせず
• -m : iissvr.exe を産み落として実行（後述）
→ termservice も止める

22. 760c35a80d758f032d02cf4db12d3e55
• コードは簡単に strings 等で特定出来ないよう
になっている
• これ、何がしたいか分かりますか？

23. 760c35a80d758f032d02cf4db12d3e55
• 面白そうなところ
• 今のユーザ権限でシャットダウンできるかどうかを
ちゃんと判断して処理している

24. 760c35a80d758f032d02cf4db12d3e55
• 面白そうなところ
• ブートセクタをちゃんと読む処理がある（ライブラリ使用か）

25. 760c35a80d758f032d02cf4db12d3e55
• 面白そうなところ
• こいつ・・・もしかして Windows 9x 対応か・・

26. b80aa583591eaf758
fd95ab4ea7afe39

27. b80aa583591eaf758fd95ab4ea7afe39
• 基本的には
760c35a80d758f032d02cf4db12d3e55
と近いコード（1つめの検体）
• -n : 壁紙を書き換える

29. b80aa583591eaf758fd95ab4ea7afe39
• 壁紙の変更まで・・
• 別スレッドを作って 0x493E0 分 Sleep
→その後
壁紙変更

30. b80aa583591eaf758fd95ab4ea7afe39
• Sleep(0x493E0)?
→ 300,000 ms.
→ 300 sec.
→ 5 minutes.
その後、自身のリソースから walls.bmp を作り、
SystemParametersInfoW を使って
壁紙を変更する。

31. E1864a55d5ccb76af
4bf7a0ae16279ba

32. E1864a55d5ccb76af4bf7a0ae16279ba
• iissvr.exe という名前で実行
• TCP 2332 でバックドアとして動作
• ブラウザに警告のページを出す

33. 家に帰って
解析したい人へ

34. 家に帰って解析したい人へ
• VirusTotal にモノは上がってます。
• MD5 の値で照合可能
• ネットワークに繋いだ状態でやると
何がおきるか分からないのでご注意を。
• このマルウェアではないですが、
VirusShare とかでもマルウェアは手に入ります
• http://virusshare.com/

35. マルウェアを
解析してみよう
三村 聡志 / みむら (@MIMURA1133)

36. ささやかな宣伝

37. 宣伝
• CTF for Beginners やりまぁす！
• CTF for ビギナーズ2015横浜 with mochigoma-
Beginners（2月15日）
• CTF for Beginners 2015 in Hiroshima
（2月21日）
• 横浜の募集は月曜日から開始する予定です。
• http://2014.seccon.jp/