malware

1. Destoverfrom hornet

2. profile
Twitter:HornetNet

3. first ..
•
ソニー·ピクチャーズへの攻撃に使用された
Destover “マルウェアのMD5ハッシュ署名を照合
マルウェアのサンプル分析により北朝鮮世間的断定
[仮定]
今回はマルウェアを解析して且つ俺俺理論を語って行く
俺の俺による俺のための俺得発表
[仮定]

4. [1]近似値を見る(MD5など)
↑解析済みのマルウェアに苦戦するのは馬鹿の所
行である。
[2]似たマルウェアが存在するか。
[3]可能な限り特徴を見つけ特徴を集中的に解析
[4]表層で得れる情報をもとに動作を推測
[5]プライドは捨て可能な限り絶対を突き通す。

5. b80aa583591eaf758fd95ab4ea7afe39

6. Malware Type
クライムウェア型
ワイパー型
データ又はリソースを目的とした
利益を得るタイプのマルウェア
破壊活動を目的としたマルウェア
to be Next..!

7. What’s Wiper malware
韓国で使用されたwiper malware
韓国での大規模サイバー攻撃(テレビ局などが狙われた)で使用されたマルウェアがwiper
malwareである。
自己隠滅がされており検体入手が困難なのが特徴である。
今回北朝鮮(仮)がソニーピクチャーズに対して使用したマルウェアも同種のwiper型と言え
る。

8. Re:Malware MD5
e2ecec43da974db02f624ecadc94baf1d21fd1a5c4990c15863bb9929f781a0a
0753f8a7ae38fdb830484d0d737f975884499b9335e70b7d22b7d4ab149c01b5
今回
前回
類似

9. C2 beacon payload
x86 windows xp
x64 windows 7
to be next

10. C2 beacon payload 2
クロスプラットフォームヘッダコード
プラットフォーム固有のコード
プラットフォーム固有のコード
マルチプラットフォームペイロードの技術と似ている
過去の技術では異なるペイロードをセクション分割させ
分岐させていたが..?

11. wiper malware action
taskkill /f /IM pasvc.exe
taskkill /f /IM clisvc.exe
shutdown -r -t 0
wiper malwareで見られる特徴
ive0)を特定の文字列の繰り返しインスタンスとMBRとVBRの領域を上書きすることでMBRとVB

12. Send to C2 command
alert tcp $HOME_NET any -> $EXTERNAL_NET [8000,8080]
(msg:"MALWARE-CNC Win.Trojan.Wiper variant outbound connection";
flow:to_server,established;
dsize:42; content:"
(|00|"; depth:2; content:"|04 00 00 00|"; within:4; distance:36;
metadata:impact_flag red, policy security-ips drop;
reference:url,virustotal.com/en/file/e2ecec43da974db02f624ecadc94baf1d21f
d1a5c4990c15863bb9929f781a0a/analysis/; classtype:trojan-activity;
sid:32674; rev:2;)

13. internet
http://www.geekpage.jp/blog/?id=2014/12/23/1

14. End
• 見た感じ北朝鮮が行ったという物的証拠(ソースコ
ードレベルでの)が無いため断定的と言えない。
• wiper型は珍しいが不正アクセス禁止前に流行って
いたマルウェアと動作と大差はない。
• wiper型の侵入経路が内部という判断がある、よっ
て社内のセキュリティ管理を徹底すればwiper型と
いえど侵入の余地はない。