マルウェアぺろぺろ解析講座そのいち

〜仮想環境下では暴れないけど質問ある？〜

Anonymousの仮面の人でーす✌('ω')✌ｲｴｴｴｴｴｗｗ

Who are you ?

・@reiji1020(@reiji1020(れいじれいじ))

・長崎県立大学情報メディア学科2年

・☝( ◠ ‿ ◠ )☝< 社畜か…ザコめ…

・今日も本当は仕事でした

近況彼女がいない

↓遊ぶ相手がいない

↓休日が暇で暇で仕方ない

↓

＿＿人人人人人人人人人人人人＿人人人人人人人人人人人人＿＞ ＞ 突然の突然のマルウェア解析マルウェア解析 ＜ ＜

￣̄Y^Y^Y^Y^Y^Y^Y^Y^Y^YY^Y^Y^Y^Y^Y^Y^Y^Y^Y￣̄

3次元女性とマルウェアちゃんの共通点

マルウェアたん● ヤンデレ

(感染的な意味で)● ツンデレ

(パック的な意味で)● ガードが硬い

(アンパック的な意味で)

3次元女性● ヤンデレ● ツンデレ● ガードが硬い

つまり

3次元女性＝彼女3次元女性＝マルウェアたん

マルウェアたん＝彼女マルウェアたん＝彼女

デートの一連の流れ

1.マルウェアを探してくる(Offensive Computingっていうのはたくさん検体があります)

2.逆アセンブラ兼デバッガにぶち込む(IDA ProやOllyDbgを使いましょう)

3.ぺろぺrシェルコードを見る(そのコードが何処でどういった働きをするのか理解する)

マルウェアちゃんとデートするために

● 仮想環境を立てる

マルウェアちゃんが暴れてもホストマシンに影響はない

(元の正常な環境に戻すのが容易である)

ただし仮想環境というのを検知して、動作をしないものがある

仮想環境で解析するとエラーが出る

↑通常

仮想環境下→

( ˘⊖˘) 。o(待てよ、どうして感染しないんだ…？)

Agobot

Agobotは、

デバッガ上またはVMware等の仮想システム上で実行されていることを検出する機能があり、

これを検出した場合、活動を停止したり、自分自身を消去するものがある。

なんでVMってわかんねん

VMwareには非公開であるが固有のI/Oポートがある！

あとはわかるな？

仮想環境だとわかった場合

存在しないメモリ番号0x00000000にアクセス

↓

さらに

I/Oポート確認前に、ブラウザの閲覧履歴をチェックする

● マルウェア解析情報サイト● 検体配布サイト● セキュリティ対策サイト

これらの閲覧履歴があった場合は感染を停止、自らを削除してしまう

しかし

仮想環境かどうかを検知して動作を終了若しくは自らを削除するマルウェアちゃんは少ない

(あったとしても大体はこのAgobotの亜種)

マルウェアちゃんをぺろぺろする時は

必ず仮想環境を用意しましょう！！！！！！

ご清聴ありがとうございました！