- 第11回ばりかた勉強会
- 2009/04/10
勉強会中にメモったことをただ貼る感じで・・・。
- 自己紹介
- 16進数で年齢を言った人がいた
- KPFでもいらっしゃったなー
- 16進数で年齢を言った人がいた
- 星沢 祐二さん
- IPA研究員
- マルウェア解析
- 10年くらい前から研究をやっている
- 深く突っ込むととてもマイナーな分野
- パッカーとは
- 実行ファイルを圧縮するユーティリティ
- ユーザーからはパックされているかどうか、叩いてみても基本的にわからない
- 正しい使い方
- 自分達のコードを解析できないようするする
- 悪い人たちも自分のマルウェアが解析されないようにする
- UPX(パッカーツール、オープンソース)
- パック、アンパック
- アンチデバッキング技術
- パックされたものの中にアンパックするための解凍コードが含まれている
- 200~300くらいのパッカーがある
- どのパッカーを使っているか判定するソフトウェアもある
- パックしたコードはそのまま実行できる
- パッカーテクニック
- ポリモーフィズム
- マルウェアは自分自身がデバッガで解析されることを想定している
- デバッガで実行できないような細工がしてある
- 構造化例外処理によるデバッガの検出
- 構造化例外処理によるデバッガの検出
- 実行時間の計測によるデバッガのステップ実行検出
- 解析を難しくすることでマルウェアへの対応を遅らせようとする
- INT3検索
- ブレークポイント検知
- INT3検索
- アンチリバーシング
- アンチデバッギング
- VMウェアの検知
- 最近はマルウェアの解析はVMでやる
- マルウェア作者としてはVMで実行されていることを検知したい
- 最近はマルウェアの解析はVMでやる
- IRCを仲介するボット
- マルウェアが起動するとIRCの作者がコントロールするチャンネルに接続する
- 作者がIRCのチャンネルから命令を送るとマルウェア側で実行される
- 感染したクライアントをコントロールしたり
- 自身をアップデートしたり
- DKOM
- 多重感染
- たいていのウィルス対策ソフトは複数のウィルスに感染していても最後に検出されたものを検知する
- 複数のウィルス(マルウェア)に感染していると除去が難しい(?)
- マルウェアがマルウェアに感染したりする
- メモ帳にマルウェアが感染したり
- これにさらにマルウェアが感染したり
- ボットにマルウェアが感染
- ウィルスにマルウェアが感染
- 感染に感染を重ねて新しいウィルスになっていったりする
- 解析
- 動的解析(ブラックボックス解析)
- 静的解析(ホワイトボックス解析)
- 解析の自動化
- 解析を人手でやるのはやはり大変
- 人員の育成もコストがかかる
- やはりある程度経験と技術を積み上げた人員が必要
- 跋扈(ばっこ)
- シマンテックを使っているらしい(会社では)
- 私的にはMacなのでなし
- 対応が早い大手がオススメ
- 服部 裕一さん
- SilverLight3.0ってどんな感じ?
- 香山 忠幸さん
- FONルータリターン
- 自分の環境を提供するので無線LAN使わせてください
- Give&Take
- オフレコ
- Capture The Flags
- 旗取り合戦
- FONルータリターン
- 福田 啓二さん
- マネジメントシステムばなし
- 仕事で全国各地にいかれるらしい
- 日本の情報セキュリティ関連制度の変遷
- サイバークライシス
- マネジメントシステムばなし
- 諌山 貴由さん
- いまさらながらのWMI
- WMI
- Windows Management Instruction
- システム管理のための機能
- SQLライクな構文を投げる
- リモートでの操作も可能
- WSH
- .NET Framework
- System.Management名前空間
- できること
- プロセス一覧の取得
- イベントログの参照
- パフォーマンスカウンタ
- 取得だけでなく設定も可能
- SQLライクな構文
- WQL
- 配列型のカラムに対するWhere句がない(?)
- Order By句、Join On句もない
- WQL
- オブジェクトクエリー(データのクエリー)
- イベントクエリー(通知型のクエリー)
- WMI
- いまさらながらのWMI
マルウェアのお話は難しかったです。低レイヤ。
全然わからないところでは・・・・、すいません、Scheme書いてました・・・。
0 件のコメント:
コメントを投稿