第3回東北情報セキュリティ勉強会　復習用？まとめ

@shidho

ということで、今後はGumblar.xの話を。 #THK_ITS

HID @shidho

まず、攻撃スクリプトにリダイレクトされると、アクセスしてきたのが攻撃対象のブラウザかどうかをチェックする。攻撃対象外の時には404を返す。 #THK_ITS

@k_oi

#THK_ITS Gumblarはサーバ側ではUAを見るので、何もしてしないwgetなどだと404が返されるのか

HID @shidho

次に、CWS,PDF,IE+MSOfficeWebcomponentsが脆弱かどうかを判別して、脆弱な部分を利用してダウンローダーを起動する。 #THK_ITS

Kazuki Oikawa @k_oi

#THK_ITS アクセスごとに異なる難読化を施すので、単純なパターンマッチだと検出できない (難読化を解除すれば中身は同じ)

HID @shidho

攻撃手段判別スクリプトは難読化されているのだが、ダウンロード時に難読化を動的に生成するので、単純にキーワードを見張るだけでは攻撃手段判別スクリプトかどうかわからない。(もちろん難読化をはずせば同じものになるが) #THK_ITS

@shidho

PDFを攻撃の手段とする場合、flatdecode (PDFのzlibでの暗号化)を用いてコードを隠し、それをとくとJaaScriptが現れる。 #THK_ITS

Kazuki Oikawa @k_oi

#THK_ITS ActionScriptでXOR暗号化w

HID @shidho

CWSファイル。FWSをzlibで暗号化したもの。これをFWSに戻すと不明なバイナリが含まれている。これは独自の暗号+復号ツールで、それをとくと次のCWSが現れる。これの中に入っている文字列をASCII2Binaryすると #THK_ITS

Kazuki Oikawa @k_oi

#THK_ITS Flashのバージョンによってペイロードを使い分け(10種類以上)

HID @shidho

その中に入っているのはバージョン毎のダウンロードツールをエンコードしたもの。 #THK_ITS

HID @shidho

ここまで複雑なことをしているのに、一番下に含まれているコードは定型ではなく、サイトによって違う。 #THK_ITS

Kazuki Oikawa @k_oi

#THK_ITS 最終的なペイロードには感染したホストのドメイン名が含まれるので、毎回難読化の処理を行っていることに

Kazuki Oikawa @k_oi

#THK_ITS Gumblar がダウンロードしたEXE: Kates, Donol

HID @shidho

最後にIEの脆弱性を利用した場合。Exeが単純に感染する。 cf. Kates(Danol) bakやsysなどの拡張子でdllを生成。 #THK_ITS

HID @shidho

Processにインジェクションする。ちなみにこのコードに一時バグが入っていたらしく、再起動後PCが異常動作する例が10月に頻発し、PCメーカーに問い合わせがきたことも。 #THK_ITS

HID @shidho

ということで、仮想環境でGumblarを動作させてみることに #THK_ITS

ほくりん＠降誕節 @U40

デモなう！　Gumblar #THK_ITS

HID @shidho

(うまく動かないので調整の裏で) Gumblarに関する統計情報。2009年5月,7月に小さな波、10月から12月にかけて大きな波、そして今年の1月にまた波がある。 #THK_ITS

HID @shidho

亜種は.x,*.ru併せて1500近く。ただ、ヒューリスティック解析で亜種の多くは対処できている。 #THK_ITS

Kazuki Oikawa @k_oi

#THK_ITS スタートページがトレンドマイクロw

HID @shidho

デモ再開。 #THK_ITS

@k_oi

#THK_ITS 本来ならexeというexeが動かなくなり、正常終了すらできない。んで、強制リセットをかけ、再度起動すると、真っ黒画面 + マウスカーソルだけ　という状態に

@shidho

Drivers32にmidi9という項目が作れるかどうかで一時的に感染したかどうかはチェックできる(自己消滅する版もあるので、あくまでデモ用のチェック手段) #THK_ITS

@iwdd

しるばーらいとのほうがあんぜん #THK_ITS