0と1しか興味ない人のためのマルウェア分析会 #01binarians

2
前へ 1 2 3 ・・ 10 次へ
ところてん @tokoroten

ホワイトペーパー、TechCVRは単体のマルウェアの動作についての情報だが、最近のマルウェアは複数のマルウェアが連携して動いている。一つのマルウェアを見ていては全体像がつかめない。 攻撃の全体を明らかにするために、ホワイトペーパーを書いている。 #01binarians

2010-12-18 13:35:08
hebikuzure rené @hebikuzure

最近はホワイトペーパーでの情報公開が多い #01binarians

2010-12-18 13:36:02
luffy_kuroneko @luffy_kuroneko

USサイトでホワイトペーパー公開 #01binarians

2010-12-18 13:36:07
ところてん @tokoroten

マルウェアのここの詳細な分析と、しばらくマルウェアを動かした場合の観察などを含めて、ホワイトペーパーを書いている。 今年からはじめた。英語版はあるが、日本語版はまだない。 いい情報が入っていると思うので、弊社のホワイトペーパーを是非呼んで下し亜。 #01binarians

2010-12-18 13:36:18
ところてん @tokoroten

サポートの問い合わせ対応、 たとえば、C&Cとの通信時にプロクシを利用されますか? どの範囲のPCに感染を広げる可能性がありますか? 外部に送信している情報は何ですか? 外部からのコマンドによって何を行う可能性がありますか? #01binarians

2010-12-18 13:37:29
luffy_kuroneko @luffy_kuroneko

downadはインクリメント #01binarians

2010-12-18 13:37:50
ところてん @tokoroten

最近のお客さんは情報漏えいを気にする、マルウェアに感染したさいに、このマルウェアは情報漏洩を行う機能がありますか?と聞いてくる。 #01binarians

2010-12-18 13:38:27
ところてん @tokoroten

バックドアの場合、コマンドが降ってこないと動作しないので、静的解析をおこなって何をする可能性をするのかレポートをする。 #01binarians

2010-12-18 13:39:09
ところてん @tokoroten

マルウェア解析ってどうやるの? ここから皆さんが興味があるところだと思います。時間の関係もあるのでTipsまでたどり着けるか不安だがw #01binarians

2010-12-18 13:39:38
sato_c @sato_c

いよいよ本題 #01binarians

2010-12-18 13:39:51
ところてん @tokoroten

マルウェア解析ってどうやるの? ふPhysucak File Analysis、ブラックボックステスト、ホワイトボックステスト。 #01binarians

2010-12-18 13:40:07
ところてん @tokoroten

一般的な話になるので、この辺に来ている人はわかっているので、割愛します。 #01binarians

2010-12-18 13:40:29
luffy_kuroneko @luffy_kuroneko

最初はwinmainの構造のみに着目 #01binarians

2010-12-18 13:41:37
ところてん @tokoroten

ホワイトボックス解析ってどうやるの? ざっくり解析するときはOllyですべての関数呼び出しにブレークポイントを張って実行。 これは自分のやり方なので、社内でも人によっては別のやりかたをする。 全体の構成把握するにはIDAPro。 #01binarians

2010-12-18 13:41:41
ところてん @tokoroten

検体が渡されて「解析してください」といわれることが多い、何を解析しろと。 何を目的に解析するかによって異なる。 マルウェア全体として何をするのか、ウィルス情報に公開されている情報程度のものをイメージして、全体を見る。IDAPro。 #01binarians

2010-12-18 13:42:42
luffy_kuroneko @luffy_kuroneko

呼び出し関数にすべてプレークポイント #01binarians

2010-12-18 13:43:42
ところてん @tokoroten

基本的には動的解析的に動かす。動かして解析のためのヒントを得る。 Ollyで開いて呼び出している関数の一覧をみて、すべての関数にブレークを張る。 主要な動作はAPIによって行われるので、そこだけ追うとある程度の動作がわかる。 #01binarians

2010-12-18 13:44:07
ところてん @tokoroten

コードが長かったり複雑だったりすると、全体がよくわからないことがある。 ループとかの場合、ブレークポイントをはずしたりとか。 迷子になることがよくある。 全体がわからないまま闇雲に突き進んでいるから。 全体を把握するためにIDAProを使う。 #01binarians

2010-12-18 13:45:05
Metaphor @metaphoricwords

あいだぷろだと思っていたら、いーだぷろだった #01binarians

2010-12-18 13:46:02
ところてん @tokoroten

全体を把握するためにWinMainの構造のみに着目する。 mainについて何をやっているのかがわかれば、全体として何をやっているのかわかる。 #01binarians

2010-12-18 13:46:08
ところてん @tokoroten

見ただけでよくわからないときは、その関数だけをブラックボックス的に実行する。 文字列を二つ渡して連結しているだけだなーとわかる。 strcatと名前をつける。 間違ってもいいのでどんどん名前をつける。 名前をつけていけば、だんだんわかってくる。 #01binarians

2010-12-18 13:47:18
Mio Suzuki @suzukimio

IDA をイイダって読むのは初めて聞きました。アイダ、アイディーエーは聞いた事があったのですが(どうでもいい #01binarians

2010-12-18 13:47:19
luffy_kuroneko @luffy_kuroneko

とりあえず、処理にはコメントをつけていく。そうすると段々全体がわかってくる #01binarians

2010-12-18 13:47:43
luffy_kuroneko @luffy_kuroneko

弊社はあいだぷろって言ってるなぁ。 #01binarians

2010-12-18 13:48:21
ところてん @tokoroten

最近のプログラムはマルチスレッドで動いている。 そのスレッドが何をするためのスレッドなのかに着目して解析していく。 スレッドの中でスレッドを作る場合、番号付けして名前をつけていく。 全体の構造がわかるように、番号を名前付けしていく。 #01binarians

2010-12-18 13:48:31
前へ 1 2 3 ・・ 10 次へ

いま話題のタグ

同人1992 おがくず153 らーめん再遊記6 虎に翼16 サンドイッチ103 ホテル556 志摩スペイン村26 草津62 AIイラスト261 イラストレーター762 任天堂1050 ザ!鉄腕!DASH!!526 ファンタジー1660 ゴジラ-1.029 承認要求4