第4回マルウェア解析勉強会( #malwat )のつぶやきまとめ

4y4$3 @data_head

データ構造視覚的に見れるようになってるの大変参考になる #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

Instructionのさわり（だけ解説） #malwat

NAKATSURU You @you0708

色分けイイネ！ #malwat

cipher @cipher_24i

視覚化テラスゴイ #malwat

てきとう @tkito

classes.dexにはコードが入ってるのか。メタ情報だと勘違いしていた。 #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

DEX Section Visualization。視覚化しました。 #malwat

てきとう @tkito

視覚化大事 #malwat

てきとう @tkito

同じファミリのマルウェアは似たようなDEXになるの？類似度を比較してみよう→ssdeep #malwat

rnurachue⌬ @murachue

classes.dexの視覚化とか頭いいな… #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

２．DEXの差分 #malwat

NAKATSURU You @you0708

このあたり（androguard）の Diffing はどうなのかな？ #malwat / Similarity - elsim - Elements Similarities - Google Project Hosting http://t.co/YV2AxzHLtb

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

同じファミリーのマルウェアは同じようなDEXなのか！？ #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

ssdeep --- ハッシュ値どうしの類似度を計算できる。 #malwat

てきとう @tkito

DEXのDIFFを取るとcode_itemの後半からほぼ別物。それまでは同じ雰囲気。 #malwat

てきとう @tkito

ssdeepでは60台 #malwat

てきとう @tkito

比較その2 ちょっと似てるマルウェアEnesoluty。DEXのdiff取るとほぼ完全に不一致。ssdeepでは29。まるで類似していない。 #malwat

てきとう @tkito

似てない理由の推測：細かいIDのずれが影響。そもそもssdeepってどうなのよ？ #malwat

4y4$3 @data_head

ssdeepはHashとして情報を圧縮して残せる。これ大きいですね #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

工夫：Instructionだけを取り出して足し合わせて類似度を比較したら！？ #malwat

てきとう @tkito

DEXからエッセンス（instruction部分）を抽出してやってみた。URLが違うだけのものは100%一致、ちょっと似てるやつはssdeepで60くらい。 #malwat

てきとう @tkito

The Movieでは17個の全組み合わせで100%一致。完全に一致。 #malwat

てきとう @tkito

ncd(normalization compression distance?)というのがあるらしい #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

まとめ：マルウェアをssdeepで比較。DEXそのままはあまり意味ない。命令列だけを取り出せば類似度は上がる。 #malwat

てきとう @tkito

ssdeepはハッシュ値として情報を残せる、というのが重要。 #malwat

4y4$3 @data_head

NCD (NormalizedCompressionDistance) 。類似したものなら圧縮した結果も類似する…？ #malwat