【イベント】 ELFマルウェア解析ワークショップ - AVTOKYO 2015

平成27年11月14日の16時半から「AVTOKYO 2015」のイベントでＥＬＦマルウェア解析ワークショップを開きました。ＥＬＦバイナリーについてのマルウェアの調査・解析の話ばかりなのでワークショップのタイトルは「Swimming in the Sea of ELF」でした。タイムテーブルはこちらです。本イベントはおそらく、世界初のＥＬＦマルウェア解析のワークショップだと思います。マルチarchitectureのＥＬＦバイナリー解析とマルチＯＳでのＥＬＦマルウェア調査・解析・デバッグングをデモする事となります。

.@avtokyo I'm sure it was THE WORLD's FIRST workshop on dissecting multiple arc #ELF #malware w/multiplatform OS (Windows,Mac,FreeBSD) tools

— ☩MalwareMustDie (@MalwareMustDie) November 16, 2015

この先必ず「IoT」に色んなＥＬＦマルウェアが流行ると思いますので、先に日本国内でＥＬＦマルウェア対策が出来る様にしたいので、このワークショップを開きました。

unixfreaxjpはスライドの説明とshellでのELFのリバーシング・デバッグとradare(r2)のツール紹介をやりました、IDA PROでのELFリバーシング・ELFデバギンッグとデコンパイルのデモはUCQさんがやりました。

流れ的にワークショップの最初はスライドでELF解析必要な情報から始まりました。その後はIDA PROの説明・デモが始まり、大体一時間弱、そして残りの時間はshellでのリバーシングとQ&A（となどなど）でした。ワークショップの間に説明をしながら質問にも答えます。解析で使っていたELFマルウェアサンプルは「MalwareMustDie」からでした。

UCQさんはWindowsOSとLinuxVM経由でIDA基本の使い方から始まり、そしてプラクティカルなレベルのデモも行い、ELFのバイナリーのロード仕方の調整、見る方法、デバギンッグ方法とデモ、そして最後はデコンパイルの説明。その後いくつかELFサンプルを見せられたのでそれぞれのサンプルリバーシングの情報・コメント。非常に面白かったです。綺麗にご対応していました。有難う御座いました。

私の方はMacOSXとFreeBSD上でエミュレータ(QEMU)環境で、何故shellで解析が必要なのかの説明、shellでのELF解析ツール紹介から始まり、インストールの仕方、コマンドの周りデモとヒント、staticとdynamicリバーシングのデモをしました。その後はELFマルウェアのデバギングのデモをしました。その後ハニーポットのデモ・便利なshellツールのデモ。その後にいくつかELFマルウェア感染対策のビデオと説明をやりました。

ワークショップが終わったらAVTOKYO 2015の終わり迄にワークショップのメンバーが部屋に残りましたので、色んな「MalwareMustDie」のELFマルウェア情報交換もやりました。そして、始まりから終わりまで居て下さった２名にMalwareMustDieのＴシャツをプレゼントしました。

結果的に良かったので、次回もバイナリーリバーシングのワークショップをまたやります。

スライドは下記となります↓（いくつかshellのリバーシング・デバッギングのスクリーンショットを添付しました）

Swimming in the Sea of ELF - AV Tokyo 2015 Workshop #MalwareMustDie from unixfreaxjp

ツイート↓

#MalwareMustDie!　Workshop "Swimming in the Sea of ELF" slides released https://t.co/fct7UjrqFh @avtokyo 2015 pic.twitter.com/f3gPc0sixh

— ☩MalwareMustDie (@MalwareMustDie) 2015, 11月 15

AVTOKYO2015のスタッフ/チームと友達の皆様に感謝です。有難う御座いました。
Special thank's to @avtokyo @tessy_jp @moton @sen_u @ucq to make this great leap happens!