[CB16] Facebookマルウェア:タグ・ミー・イフ・ユーキャン by Ido Naor & Dani...
-
Upload
code-blue -
Category
Social Media
-
view
57 -
download
3
Transcript of [CB16] Facebookマルウェア:タグ・ミー・イフ・ユーキャン by Ido Naor & Dani...
タグ・ミー・イフ・ユーキャン
イド・ナールカスペルスキー・ラボ 上級セキュリティ研究者 Tw: @idonaor1ダニ・ゴーランドUndot 設立者& CEO Tw: @danigoland
GReAT - 研究者たちによるカスペルスキー・ラボのエリートチーム
2008 年からの、グローバル調査分析チーム( GReAT )
脅威情報、研究、そしてイノベーションの主導
焦点: APT 、重大なインフラストラクチャーへの脅威、バンキングへの脅威、高度な標的型攻撃。
• セキュリティ・エコの分野で10 年
• イスラエルで地域研究を管理• 専門分野
• マルウェア解析• リバース・エンジニアリ
ング• 侵入テスト
• 趣味責任ある開示 :
▶ わたし達は世界を救うべくここに居る
Undot – アイディアを発見する
• Undot 設立者& CEO
• 専門分野• フルスタック開発者• 起業家• データサイエンスのオタク
• 趣味ハッカソンの企画や参加
Undot のエキスパートが付く
制御しよう – リモート操作対応!
~ 50 万のダウンロード数
フロント
モバイル
バック
クラウド
ニュースでは…
要約
国ごとのマルウェア分布状況イスラエルドイツベネズエラ
チュニジア
ポルトガル
ギリシャ
エクアドル
メキシココロンビア ポーランド
ブラジル
ペルー
友達による Facebook のメッセージ通知
うるさい、怒るぞ
• ファイル : comment_27734045.jse• 言語 : JScript• サイズ : ~5.31 KB• MD5: 9D3DF2A89FDB7DA40CEB4DE02D605CFA• SHA1: 6D658331FE6D7F684FEE384A29CE95F561A5C2EA
Windows に示されたもの
JScript is Microsoft's dialect of the ECMAScript standard[2] that is used in Microsoft's Internet Explorer.
JScript is implemented as an Active Scripting engine. This means that it can be "plugged in" to OLE Automation
applications that support Active Scripting, such as Internet Explorer, Active Server Pages, and Windows Script Host.[3] It
also means such applications can use multiple Active Scripting languages, e.g., JScript, VBScript or PerlScript.
で、君は、それは JavaScript じゃない、って言うのかい?
実行可能だと!
言ってみろ!
JSE Trojan の中を垣間見る
1) ドメイン名2) Msxml2.XMLHTTP3) ADODB.Stream4) Wscript.Shell5) JPG 拡張子 ?6) %AppData%7) Autoit.exe8) Manifest.json9) .bat 実行10) .js を ping
わたし達の中に実際誰がいるのか?
/Stats/history/pingjse3462
バックグラウンドの確認
• 出現 : 2015 年 1 月、次の場にて:• トルコ語の変数やコメントがファイル内にあった• 脅威実行者 : BePush/Killim• ソーシャル・ネットワークを通してマルウェアを拡散させる革新的
技術• 主に JavaScript 内で、重層的な難読化を好み、そして重層的な
URL 短縮ツール、サードパーティがホストするプロバイダーや、マルチステージのペイロードを利用する。
• Cloudflare を使い、自身の構造をわかりにくくする
最初の感染
動的解析
中間者としての Chrome 拡張機能
?隠された脆弱性
疑わしい…
欠けている部分
Obfuscated dropper (難読化ドロッパー)
難読化コードのスニペット:
ファイルの各バリアントは、次のヘッダーを伴って始まる:
難読化の解除
ANTI-ANALYSIS
• Debugger;で、わたしは言ったんです
ブレークポイントを置いてみろ、って
解析妨害
• Code のハッシュ値
コードの潜在的なハッシュ未変更のソースコード
実行するデコード済コードのスニペット 実行する(ひどい)デコード済コードのスニペット
コードクラッシュを起こす
いまから、あなたのコードをゆっくりと 1 行ずつデバッグしていくよ
Google のトークンをハイジャック
• Google URL Shortner• Google Drive API
マルウェア・ハブとしての Google Drive
Victim info stealer (被害者の情報を盗み取る機能)ドロッパー → Chrome が乗っ取られる → 悪意のある JS → Google パーミッション → ストレージにマルウェアをアップロード → 今ここ
Victim info stealer (被害者の情報を盗み取る機能)
Victim info stealer (被害者の情報を盗み取る機能)
Google drive パーミッションの修正
悪意のある発信者を作る
Facebook のトークンをハイジャック
フェールセーフする方法
フェールセーフする方法
実際の脆弱性
1) コメントプラグインへのリクエストを初期化
2) api_key とコメントデータを取得
3) プラグインで、 Google Driveへの URL を含むコメントを作成
4) 記載内容は投稿される その−ID を取得
5) Web プラットフォームで新しいコメントを作成
6) FB プラグインからの ID を、Web FB コメント ID に挿入
7) 通知が生成される8) FB デバッグチェック9) プライバシー設定をパブリック
に10) コメントテキストを Null に設
定し、トレースを削除。
this.commentData["share_id"] = globalFunction["between"]('"commentIDs":["', '"', f["responseText"])["split"]("_")[1]; // 400539608410_10153962897128411
post_params = {"ft_ent_identifier": this["commentData"]["share_id"], ← injection!!"comment_text": gF["chain"](10)["toLowerCase"](),"source": 21,"client_id": Date["now"]() + ":" + Math["floor"](U2e[F](Date["now"](), 1000)),"session_id": globalFunction["chain"](8)["toLowerCase"](),"comment_text": "Array of tagged friends"}url: "https://www.facebook.com/ufi/add/comment/?dpr=1",type: "POST",async: true,headers: { "content-type": "application/x-www-form-urlencoded"}
www.facebook.com/plugins/feedback.php?api_key=<ID>&href=https://<GOOGLE_DRIVE>/<JSE_FILE>
全体的にFacebook マルウェア:複雑なコードが被害者を、その友達を標的にするために利用するWindows PC を使う 10,000 人の Facebook ユーザーが悪意のある友達通知を受けた後、カスペルスキー・ラボは脆弱性と攻撃について解明
メッセージFacebook ユーザーは、友達がユーザーのことをコメントに書いた、という通知を受ける
3 段階の感染通路被害者がメッセージ内のリンクをクリックすると、 Facebook 外部に飛ばされ、マルウェアがダウンロードされる
これが失敗すると、攻撃者はマルウェアのダウンロードをさせるべく、 Facebook チャットで短縮 URLを送る。
攻撃者は、悪意ある Google 短縮リンク付きの Facebook 投稿を、被害者のタイムラインに追加するGoogle の Chrome ブラウザが乗っ取られる
マルウェアは実行され、 Chrome ブラウザを乗っ取るコードをダウンロードする悪意のある Chromeが開く 'Facebook' ページをユーザーに見せる ― 攻撃者は
Facebook のアンチウィルス・プラグインをブロックする
トラフィックを捉え、アカウントをハイジャックする
バックグラウンド内では、別のスクリプトがこっそり以下をダウンロードしている− 1,500 行の複雑なコード− 難読化− DOM を検査からロックする− 分析からコードを保護するために 他のコードが存在する
盗まれたアカウント攻撃者はこの段階で、被害者の Facebookと Google Drive アカウントを所持している。ブラウザを通して全てを盗み、被害者をマルウェア・ハブ化させて、感染した通知を被害者の友達全員に送る。
質問ありますか ?
ご清聴ありがとう !Twitter でわたし達をフォローしてください :
@IdoNaor1@DaniGoland