日曜日, 3月 25, 2012

DefCon Japan第二のミーティングでの#OCJPプレゼン説明


一昨日DEFCON JAPAN/DCG893の第二のミーティングに参加。下記のプレセンテーションでスピーカをやらせて頂きました。


丁度最近このブログでは日本のウェブ感染とマルウェア調査の内容を多く扱っていて(#OCJPでの発見経由で)、
そのベースでプレゼン資料を作りました。それと、環境的にはDEFCONですので、面白い内容を出さないとあれだから、日本人が作ったAndroidマルウェアの内容「FULL DISCLOSURE」の形で準備しました。

現地に早く着いたので、少しMaratさんとお話ができました。
打合わせが始まった時、他のスピーカさんが未だ来てなかったので、急遽私が一番最初のスピーカに(最後の予定だったのに…!)次に控えるスピーカさんの時間も考えてたら早口になってしまいました。ので聞き取り難かったらごめんなさいね。
本当はもっとゆっくり話したかったんだけど。

プレゼン資料はDEFCONのサイトからダウンロードが出来ます。下記のURLに御確認下さい↓
http://www.defcon-japan.org/

プレゼンテーションのスナップショットは下記となります↓

USTREAM経由でプレゼン動画が配信されていたんですね。
ビデオを編集してみました。内容は下記に説明させて頂きます↓

1. 日本でのマルウェアウェブ感染ディストリビューションについて


↑この話では何故日本のCMSホスティングサービス、ファイルアップローダーサービスと検索ポータルがよくマルウェアに狙われているか、という事を説明しました。感染されたURLとマルウェア「landing zone」と「infector」サイトを作る目的も説明しました。
日本の大きいネットワークが現在狙われている証拠も証明しました。
脆弱について、本当は全て説明するつもりだったのですが、時間が無くていくつかだけ説明しました。
詳細内容はプレゼン資料へ御確認下さい。

2. 「DDoSとスパム送信ツール(IRCボット)」について


発見した事件は4か5件があります。PHP/Perl経由のスクリプトです。全てウェブサービスの脆弱性を使われてSQL Injectionでマルウェアファイルがインジェクトされています。ターゲットが全部ホスティングのウェブサーバです。
攻撃のソースとコードのコメントのマッチがあり、ソースは東南アジアの国からです。
どんな感染パターンかというと、そのハッカーがExploitツールのコードを作り直して、日本ホスティングにあるウェブサービスを探して、脆弱があるサイトに攻撃をする­パターンです。
問題は感染された物が全てIRCボット種類で、脆弱性の攻撃ツールとスパムメールを送信する機能を発見しました。

3. 発見したスパイウェアとキーロガーの話題について


日本での中企業のウェブサイトに発見されたマルウェアの種類は殆どスパイウェア機能を持っています。
実は0day.jpで #OCJPプロジェクトが始まる前、日本の企業向けのウェブサイトに良く見つけた物です(#OCJPでは今年1月26日から始めました)。中国、ベトナム、韓国で造られたスパイウェアが多いですね。
中国からのスパイウェアはオンラインゲーム経由の物が多い、後はニセWindowsツールですね、最近発見したのはニセRDP(リモートデスクトップ)のソフトウェア。
韓国経由のスパイウェアですと、韓国ドメインだけど日本のデータセンターにサーバが運用されているケースが多いです。目的は、その­ウェブサイトは本当に感染されたか...若しくはわざとマルウェアがウェブサイトに入れるのか、調査してみましたが明確に分かりません。そもそも、手続きに時間がかか­ってしまい、マルウェアのバイナリーがコロコロ変わってしまうケースが多い、その時にサンプルが変わったらまたゼロから分析調査をやるしか無い(泣きながらね)。
ベトナム経由スパイウェアはあやしいオンラインゲームの物、又はハッキングツールが多いです。日本のホスティングサービスと契約したサイトが3件あります。(どうや­って登録の手続きをされていのか全然分からないけど)、キーロガーのスパイウェアもこのサイトで発見しました。

4. Androidマルウェア経由、ワンクリック詐欺管理ルーツとインストーラーパッケージを「FULL DISCLOSURE」で説明しました。


DefCon Japan第二のミーティングで発見したマルウェアパックを「Full Disclosure」で報告しました。
マルウェアのバイナリ分析調査、マルウェアのサイト脆弱性の説明、リンクされている詐欺際との説明、サーバサイトの詐欺管理ツール­、盗まれたユーザの情報、マルウェアのコードにある日本語のコメントを全てプレセンテーションしました。
証拠と詳しい情報は下記のブログに確認が出来ます↓
http://unixfreaxjp.blogspot.jp/2012/03/ocjp-026.html

----
ゼロデイ・ジャパン http://0day.jp
マルウェア研究所
Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN
Sponsored by: 株式会社ケイエルジェイテック


TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original
materials. Any COPY of research material without written permission from unixfreaxjp/site owner is strictly prohibited. Any attempt to camouflage and attempt to owning this research material will be prosecuted by law.

0 件のコメント:

コメントを投稿