マルウェアの解析をやってみた

多分あるだろうと予想だけだったのだが実際に発見したので実力アップも兼ねてマルウェアの解析をすることにした。これができたところでセキュリティの専門でもなければ金にもならないので全然やる気になれないのがセキュリティ分野でしょう。

昨今のマルウェアはウィルスバスターなどでは引っかからないようにできてて、いくらスキャンしても検出しません。買うだけ金の無駄です。

Macで探したほうがいい場所

当然起動した時に自動起動する場所、MBRあたり。長く潜伏するためには自動起動は必須ですからね。情報を一回盗んで終わりならメモリ常駐型でもいいのでしょうが。だから自動起動する部分だけ重点的に探せば良さそうです。

Macはlaunchd が自動起動部分だらしい。/System/Library/LaunchDaemonsのplistも怪しいとこ? とりあえずlaunchdだけに集中して調べてみた。

MacBook-Air:Desktop $ ps ax|grep launchd
1 ?? Ss 112:24.85 /sbin/launchd
96 ?? Ss 0:29.53 /System/Library/CoreServices/backupd.bundle/Contents/Resources/backupd-helper -launchd
107 ?? Ss 12:04.49 /System/Library/PrivateFrameworks/MobileDevice.framework/Versions/A/Resources/usbmuxd -launchd
126 ?? Ss 0:18.07 /usr/libexec/corebrightnessd –launchd
479 ?? S 2:42.31 /System/Library/PrivateFrameworks/UniversalAccess.framework/Versions/A/Resources/universalAccessAuthWarn.app/Contents/MacOS/universalAccessAuthWarn launchd -s
974 ?? S 2:49.20 /System/Library/CoreServices/AirPlayUIAgent.app/Contents/MacOS/AirPlayUIAgent –launchd
46542 ?? S 0:00.99 /System/Library/CoreServices/Siri.app/Contents/MacOS/Siri launchd

launchdを使って自動起動してるapp一覧を ps ax|grep launchd で出してみる。

$ cp /System/Library/PrivateFrameworks/UniversalAccess.framework/Versions/A/Resources/universalAccessAuthWarn.app/Contents/MacOS/universalAccessAuthWarn /home/Desktop

4個ありました。これをわかりやすいDesktopなどにコピー(したほうがやりやすい)してVirusTotalにアップロードしてみたところ、複数の海外サーバーにアクセスしたURLが出てきました。

海外サーバーに送信した痕跡

ここまで準備するのは簡単。VirusTotalにアップロードしただけ。universalAccessAuthWarn このファイル自体は無害でマルウェアスキャンにかけても検出されない、と出てきますが、それにくっついてるプロセスがたくさんあってそれに混ざってマルウェアがあるようです。

探してた時にイメージはみかん箱ごとに出荷する業者がみかん箱の中に腐ったみかんを混ぜる馬鹿野郎がいたみたいな気持ちになりました。箱を開けないで出荷するから腐ったみかんが混ぜられても探すのが難しい。

赤くなっているのがマルウェアの疑いがあるファイル

この赤いのがマルウェアの疑いがあるファイルだそうです。普段見たことがないドイツのURLやTrojanと表示されたのがたくさん出てきました。MacなのにWin32.EXEがたくさん仕込まれてたのは無差別なのかなんかでしょう。

そのうちの一つから調査してみました。

hxxp://api.chip-secured-download.de/newbrandmachine/chipderedesign?cid=142624687&scid=&headline1=46616C636F6E203130&headline2=434849502D444F574E4C4F4144&euid=643538393638333862306261613063653834373337343635&icon=687474703A2F2F7777772E636869702E64652F69692F392F312F332F322F322F352F372F312F656663663538623464656337623036642E6A7067&screenshot=687474703A2F2F7777772E636869702E64652F69692F392F312F332F322F322F352F372F312F636561306634316433666230323964652E6A7067&MetaRating=34&lang=en

こんなURL、どうもマルウェアの置き場所っぽい雰囲気だった。これに書いてあるURLの下にもう一つURLがあってそこからマルウェアをダウンロードしてくるドロッパーという機能じゃないかと想像。このURLにアクセスすると表示のおかしいページが表示されますが、ところどころ読めます。

URLも長い不可思議な文字になってるのは暗号化というやつです。たまたまだったのか16進数の暗号化を解析するサイトで一発で変換できました。マルウェアのよくある手口が暗号化だそうです。

hxxp://api.chip-secured-download.de/newbrandmachine/chipderedesign?cid=&$hp&scid=&headline1=Falcon 10&headline2=CHIP-DOWNLOAD&euid=d5896838b0baa0ce84737465&icon=http://www.chip.de/ii/9/1/3/2/2/5/7/1/efcf58b4dec7b06d.jpg&screenshot=http://www.chip.de/ii/9/1/3/2/2/5/7/1/cea0f41d3fb029de.jpg&MetaRating=34&lang=en

解読したURL。&と=の部分をのぞいて一箇所ずつ16進数変換にかけていくと読めるURLが出てきます。.jpg なるものがあって気になりますね。とアクセスしてみたらFalconなる中学生が作ったような、どうよ俺カッコよくね、みたいな画像が出てくるので見ないほうが無難です。Falconといったら漫画ブラッディマンデーに昔出てきた高校生ハッカーの漫画の主人公のことですから日本人でしょう。(予想)

バイナリー形式でjpegを開いてみると

こんな具合に、バイナリー形式だとこんな表示になるそう。今改めて見直したら下記のURLは見えなくなってました。

hxxp://api.chip-secured-download.de/newbrandmachine/chipderedesign?cid=&$hp&scid=&headline1=Falcon%2010&headline2=CHIP-DOWNLOAD&euid=d5896838b0baa0ce84737465&icon=http://www.chip.de/ii/9/1/3/2/2/5/7/1/efcf58b4dec7b06d.jpg&screenshot=http://www.chip.de/ii/9/1/3/2/2/5/7/1/cea0f41d3fb029de.jpg&MetaRating=34&lang=enP (:Pn}rsstEtF

こちらはそのURLに書いてあったURL、こちらがたぶんマルウェア本体を置いてる場所でしょう。

続いてこのバイナリー形式のページをダウンロードしてきます。バイナリーということは実行できるやつなのでローカルに持ってこないと意味がない。

おなじみのwgetやcurlでやってみましたがうまくいかない、ブラウザの保存で保存しました。

chipderedesign.html

という名前になってました。さっきからバイナリーだとわかってたようなものの言い方でしたがこの時点でまだ画像ファイルなのか.exeなどの実行形式なのかわかってませんでした。

chipderedesign.htmlをとりあえずいろんな形式で開いてみます。

.htmlで = さっきのような◆ばっかり

.pngで = ファイル形式が違うので開けません

.exeで = Macなので実行できない。

hexediterで = pngだとかimageだとか何か書いてあるがわからない

nkf -g chipderedesign.html = このコマンドでBINARY とファイルタイプがわかりました。

ここまで試してみてわからなかったのでVirusTotalにアップロードしてみたら、マルウウェア判定は出てないもののplistファイルと出てきました。plistというとMacの自動実行用のファイルです。

とファイルタイプがわかったので chipderedesign.plist に名前変更

.plistはXML形式で普通に読めるんじゃないか?って思ってたのですがバイナリー形式というのもあるんだそう。これはplistを編集するツールがあってそれを使うとXML形式に変換できるようでした。

plutil -convert xml1 chipderedesign.plist

これでXML形式で読めるようになりました。ここも二重に暗号化がなっててたぶんbase64で暗号化かな、それで解読すると実行形式のBINARYになるようでした。これはよくわかりません、二重にする手口もマルウェアでよくあるやつだそうです。

base64でデコードしたマルウェア

こちらbase64でデコードしてみたcoredesing.plistの中間にあった暗号化文字列。<key>Webresource</key>とあったからウェブアクセスするやつでしょう。最後にURLが書いてあったのでこちらも載せておこう。

hxxp://api.chip-secured-download.de/newbrandmachine/chipderedesign?cid=&$hp&scid=&headline1=Falcon%2010&headline2=CHIP-DOWNLOAD&euid=d5896838b0baa0ce84737465&icon=http://www.chip.de/ii/9/1/3/2/2/5/7/1/efcf58b4dec7b06d.jpg&screenshot=http://www.chip.de/ii/9/1/3/2/2/5/7/1/cea0f41d3fb029de.jpg&MetaRating=34&lang=en

ここまでが解析の結果。完全に駆除はもう少し時間をかけてやることに。急いでやったところで1円にもならんので。

VirusTotalで特定のサーバーのみでマルウェアをダウンロードしてることがわかったから、ルーターのファイアウォールなどで塞げばとりあえずこのwww.chip.deドメインとの通信はできなくなるので一つの対策にはなるでしょう。

セキュリティ分野はいたちごっこと言われていて賽の河原のようなイメージがあるので、専門職じゃない限り自分の労力の1割以下の割り振りで対策するくらいがいいんではないでしょうか。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です