Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Swimming in the
Sea of ELF
AVTOKYO 2015
WORKSHOP
© MalwareMustDie & AV Tokyo
written by: @unixfreaxjp
presenters:
@ucq / I...
/ELF malware workshop
• WHY ELF?
/ELF malware by vuln top rank
(システム脆弱性のELF感染順)
• shellshock < still number #1
• weak service credential (ssh/ftp/telnet)
サ...
/ELF malware by source
• Cyber crime botnet / サイバー犯罪系
(cDorked, mayhem, moose, etc)
• China ddoser (xor.DDOS, IptabLeX, et...
/ELF malware by device
• servers / vps
• network device (routers, switch, network &
unmanaged security appliances)
• IoT (...
/ELF malware by platform
• x86 32bit
• x86 64bit
• ARM (and armel) 32bit
• MIPS (and mipsel) 32bit
• ARM (and armel) 64bit...
/ELF malware by function
• backdoor
• rootkit / pwn tool
• botnet (irc/shell or webshell)
FOR:
• ddoser
• infector to next...
/workshop theme
• ELF malware analysis | ELFマルウェア調査
• Windows & UNIX shell | Windows上で調査 vs UNIX
shell上の調査
• All is about ...
/agenda
• 色んなELFマルウェアの作り方、普通のELFと違い、
隠せる方法とよく使われているのトリック、を説明す
る。
• ELFマルウェアバイナリーの調査やり方とツール紹
介 ・ツールの説明 ・UNIX shellの上でELFのst...
/agenda
• リアルケースELFマルウェア調査、仕組み
TIPS/ヒント/トリック(デモ+説明)
・東ヨロッパ系ELFマルウェアPnScan,
darkleech, mayhem,cDorkなど
・中国タイプELFマルウェア種類+それぞ
...
/agenda
• ELF signatureアドバイサ
リー ・ClamAV ・Yara ・IOC
• サンプルケース説明/デモ
(いくつかのリアル・ケースリバーシング) 
• 発見仕方・調査流れの説明・調査目的/レ
ポート・ヒント・TIPS...
/BEFOREHAND...
• ELF malware does.. / ELFマルウェア目的
• ELF basics / ELFとは…w
• Linux execution basics / ELF実行仕組み
• Interception...
/ELF malware does:
• module interceptor (kernel / apps)
• static
• symbol stripping
• EP point hijack
• encryption
• explo...
/ELF structure
/ELF exec w/link & libraries
/ELF execution (mostly)
/bad ELF: module_intercept.ko
/good guys: kernel interception
/tools
• readelf
• objdump
• gdb
• radare2 / IDA
• ptrace/ktrace/strace 何でもtrace
• emulators (disclosed in the workshop)
•...
/workshop
•START
宜しくお願いします
/shell screenshots
static reverse vs dynamic reverse
/shell screenshots
Debug the ELF malware
/shell screenshots
dissecting mayhem infections
/shell screenshots
cracking a CNC
/shell screenshots
dissecting malware config
/workshop momento
Upcoming SlideShare
Loading in …5
×

Swimming in the Sea of ELF - AV Tokyo 2015 Workshop #MalwareMustDie

31,818 views

Published on

written by: @unixfreaxjp
presenter:
@ucq / IDA reversing
@unixfreaxjp / slides & all in UNIX shell reversing
November 14th, Shibuya, Tokyo, Japan
Thank’s for directions from:
@tessy_jp, @moton, @sen_u @avtokyo
contact @unixfreaxjp in @MalwareMustDie for details

Published in: Education
  • Be the first to comment

  • Be the first to like this

Swimming in the Sea of ELF - AV Tokyo 2015 Workshop #MalwareMustDie

  1. 1. Swimming in the Sea of ELF AVTOKYO 2015 WORKSHOP © MalwareMustDie & AV Tokyo written by: @unixfreaxjp presenters: @ucq / IDA reversing @unixfreaxjp / slides & all in UNIX shell reversing November 14th, Shibuya, Tokyo, Japan Thank’s for directions from: @tessy_jp, @moton, @sen_u @avtokyo
  2. 2. /ELF malware workshop • WHY ELF?
  3. 3. /ELF malware by vuln top rank (システム脆弱性のELF感染順) • shellshock < still number #1 • weak service credential (ssh/ftp/telnet) サービスの弱いログイン認証 • webapps remote injection vie vuln service exploitation コードインジェクション・ファイルアップロード (CMS/php, ElasticSearch,cPanel, Struts) • Malvertisement (droids) • others
  4. 4. /ELF malware by source • Cyber crime botnet / サイバー犯罪系 (cDorked, mayhem, moose, etc) • China ddoser (xor.DDOS, IptabLeX, etc) • Youth hackers (skids) < irc ddos/pwn • Spy tools (Finsisher, HackTeam etc) • others
  5. 5. /ELF malware by device • servers / vps • network device (routers, switch, network & unmanaged security appliances) • IoT (web camera, etc) • Home/SOHO linux embedded devices • droid phones • desktop Aimed target: ・DEFAULT CREDENTIALS ・OBSOLETE SECURITY
  6. 6. /ELF malware by platform • x86 32bit • x86 64bit • ARM (and armel) 32bit • MIPS (and mipsel) 32bit • ARM (and armel) 64bit • PPC 32bit • SH 32bit • Sparc
  7. 7. /ELF malware by function • backdoor • rootkit / pwn tool • botnet (irc/shell or webshell) FOR: • ddoser • infector to next linux nodes • infector to clients • bitcoin miner • ransom
  8. 8. /workshop theme • ELF malware analysis | ELFマルウェア調査 • Windows & UNIX shell | Windows上で調査 vs UNIX shell上の調査 • All is about Tools|ツール紹介 • Point: Audience interaction | 質問・説明・見せる事 • Agenda base | アジェンダ通りで実行 • Offline DEMO | オフライン経由のデモ
  9. 9. /agenda • 色んなELFマルウェアの作り方、普通のELFと違い、 隠せる方法とよく使われているのトリック、を説明す る。 • ELFマルウェアバイナリーの調査やり方とツール紹 介 ・ツールの説明 ・UNIX shellの上でELFのstatic vs dynamic調査連携方法 ・そしてリバースエンジ ナリング vs debugging方法 ・ELFファイルとメモ リーforensics (Linux xBSD).
  10. 10. /agenda • リアルケースELFマルウェア調査、仕組み TIPS/ヒント/トリック(デモ+説明) ・東ヨロッパ系ELFマルウェアPnScan, darkleech, mayhem,cDorkなど ・中国タイプELFマルウェア種類+それぞ れの種類の弱点 ・skiddies系ELFマルウェア種類(なんでも IRC ddos)
  11. 11. /agenda • ELF signatureアドバイサ リー ・ClamAV ・Yara ・IOC • サンプルケース説明/デモ (いくつかのリアル・ケースリバーシング)  • 発見仕方・調査流れの説明・調査目的/レ ポート・ヒント・TIPS・など • Q & A
  12. 12. /BEFOREHAND... • ELF malware does.. / ELFマルウェア目的 • ELF basics / ELFとは…w • Linux execution basics / ELF実行仕組み • Interception basics • what needed to be noted in analyzing ELF in / いくつか注意点 • using Windows tools • using shell tools • using online environments
  13. 13. /ELF malware does: • module interceptor (kernel / apps) • static • symbol stripping • EP point hijack • encryption • exploitation • rootkit • botnet
  14. 14. /ELF structure
  15. 15. /ELF exec w/link & libraries
  16. 16. /ELF execution (mostly)
  17. 17. /bad ELF: module_intercept.ko
  18. 18. /good guys: kernel interception
  19. 19. /tools • readelf • objdump • gdb • radare2 / IDA • ptrace/ktrace/strace 何でもtrace • emulators (disclosed in the workshop) • kick em back toolset by: pots, traps, baits, lure..
  20. 20. /workshop •START 宜しくお願いします
  21. 21. /shell screenshots static reverse vs dynamic reverse
  22. 22. /shell screenshots Debug the ELF malware
  23. 23. /shell screenshots dissecting mayhem infections
  24. 24. /shell screenshots cracking a CNC
  25. 25. /shell screenshots dissecting malware config
  26. 26. /workshop momento

×