セキュキャンWS 「The Anatomy of Malware」完全版に参加しました

セキュキャンWS 「The Anatomy of Malware」完全版に参加しました

概要

セキュリティキャンプWSとは, セキュリティキャンプ全国/地方大会の卒業生が参加できるワークショップです. 今回はセキュリティキャンプ全国大会2017で行われた講義「The Anatomy of Malware」のバージョンアップ版が行われました.

事前課題

ここにある10-Dの資料を読み, Exerciseを行うというものでした. ここで作成したidbファイルは講師の方に提出し, 講義の最初にまとめてフィードバックされる, という形でした.

講義

idbのレビュー

IDAは高機能なメモ帳と思え, 重要な部分には色を付ける, 関数名/コメントは動作内容ではなくその意図を書く, などのフィードバックがありました. 特に関数名/コメントは, まさに動作内容をそのまま書いていたので, この程度の知識でIDA Proを使っていてすみません, という気持ちになりました.

マルウェアのトレンド

まず, 標的型攻撃, ボットネットとテイクダウン, TSBとDoublepulsar/Eternalblue, Coinhiveなど最近のトレンドの紹介がありました. そして, 日本企業を狙う標的型攻撃とその手法の大まかな解説がありました.

基礎知識

PEのフォーマットやメモリレイアウト, 呼び出し規約などの基礎的な知識の解説がありました.

演習

内容

ElirksというJTBで使用されたマルウェアのidbを渡され, 解析を行いました. まず, 暗号化手法の推測と把握を行い, いくつかの関数の動作を把握して, 実際のC2のコマンド部分を見ていくという形でした.

IDA Tips メモ

  • gで任意アドレスに飛ぶ
  • spaceでgraph view
  • dでバイト列の長さを調整できる
  • rでASCII変換

感想

実際のマルウェア解析者の方に1からマルウェア解析を教わる(しかも無料で!)という, 大変貴重な機会でかなり勉強になりました. 特に, x86の基本的な命令やスタックフレームはある程度わかるけれど, そこから実際のマルウェア解析までの道筋が分からない, という自分にとってはぴったりな講義で最高でした. 唯一心残りなのは, Elirksの復号を実際にどうやるか講義後に質問したかったのですが, 自分の時間の都合でできなかった点です.