「ChChes」を操る標的型サイバー攻撃キャンペーン「ChessMaster」による諜報活動の手口 blog.trendmicro.co.jp/archives/15551
2018-01-25 10:10:01オープンソースのRATを改良したマルウエアRedLeaves(2017-04-03) jpcert.or.jp/magazine/acrep… 元になったとされているオープンソースのプロジェクトはクローズされている trochilus github.com/5loyd/trochilus #JSAC2018
2018-01-25 10:12:55・Himawari の動作 実行ファイルは正規の実行ファイルが使われる。dllの名前を本体と同一にして preload させた上で、本体となるdllをダウンロードし IE にinjectする。暗号化しているのは、設定ファイルと通信データ。異常なDES(ECBモード、DESが使われているように見える(FindCrypt)) #JSAC2018
2018-01-25 10:18:25RedLeaves -> Himawari -> Lavenderと進化版が2018年1月に!Lavenderは、JPCERTを意識? #JSAC2018
2018-01-25 10:23:05・マルウェアにおける暗号処理の実装不備 Emdivi にも複数の版で実装不備があった。Himawari にも不自然な実装がある。 DES 暗号鍵をリセット(ループの中で Subkey のデータが初期化されているため、先頭以外は0詰めでよくなっている) #JSAC2018
2018-01-25 10:23:47・Himawari の実装 Header は AES、payload は zlib+XOR+異常なDES。独自プロトコルをサポートしている(Header に余分な値がつく) 2018 年 1 月に出て来た「Lavender」では実装内容が一部変わっている。 攻撃で使われた事例 d.hatena.ne.jp/Kango/20180119… #JSAC2018
2018-01-25 10:26:48マルウェア作者(Cさん?)はJPCert大好きって・・ pic.twitter.com/7f9KxnzosW
2018-01-25 10:31:03Q. 検体の種類は提示されたものですべてか? A. VT で検出できるインストーラーは 4 種。ドキュメント内に含まれている物は多数あるのでまとめていない。 #JSAC2018
2018-01-25 10:35:37「暗号方式もコロコロ変わるし、POSTだと監視難しいので、エンドポイントで対策するしかない、でもコストがかかる。みなさんどうなんですかね。」そうですよね…。 #JSAC2018
2018-01-25 10:35:51Q.普段検体はどう探しているのですか? A.VT だったら「お」とか「の」をキーワードに検索したり。解析者同士の情報交換も最近は増えてきた。 Q.解析の効率化で工夫していることは? A.解析用のスクリプトを作る/コードを見る量が増えるとプロトコルの識別も早くなる #JSAC2018
2018-01-25 10:38:32削除済みVSSスナップショットの復元 株式会社インターネットイニシアティブ 小林 稔 様 #JSAC2018
2018-01-25 10:39:44・VSS スナップショットのデータ構造 Volume Header:ヘッダ Catalog:メタデータ Store:バックアップデータ Volume Header からオフセットを辿ることでスナップショットにアクセスできる。 #JSAC2018
2018-01-25 10:46:31・VSS スナップショットのデータ スナップショットを追加するごとに Store が追加される。データは NTFS と Stroe のそれぞれに保管される。削除時は store のヘッダ情報は保管されているが、store 内のヘッダは変更される。数分後Catalog と Store の MFT エントリが消える。 #JSAC2018
2018-01-25 10:51:06マルウェアはどんどん自分自身と通信を独自暗号で暗号化するので、本格的なマルウェアアナリストになりたい方はREの技術だけではなく、しっかり暗号を理解して解読技術も身につけないといけない。 #JSAC2018 pic.twitter.com/qOSFvKO7ju
2018-01-25 10:52:16ShadowExplorer, ShadowKitなどのフリーソフトウェア、libvshadowのOSSもスナップショットのパーサとして使える shadowexplorer.com easymetadata.com/shadowkit/ github.com/libyal/libvsha… #JSAC2018
2018-01-25 10:53:01