JMUG Meetup #21:「マルウェアを分析してみよう」の発表・デモ内容
先日弊社エンジニア Melinda より、「Macマルウェア分析 (初心者向け)」という記事を投稿させていただいましたが、今回2月8日に開催された JMUG イベントでも、「マルウェアを分析してみよう」というトピックの発表、デモをさせていただきました。その内容を共有させていただきます。
JMUGイベントとは?
JMUG(Jamf Macadmin User Group )は、Jamf を中心に macOS・iOSの管理者ユーザーが集まる Meet up です。macOS・iOS などに関する課題・Tips など幅広いテーマが扱われ、月に1回程度開催されています。
詳細:https://www.jmug.jp
今回は、このように、オンラインで行われました!
冒頭、昨年10月にスペインで参加した OBTS(Objective by the Sea)という Mac セキュリティーイベントについて報告しました。現地の模様を写真やカンファレンスの面白いトピックなどを交えてご紹介。(詳細は、別投稿した世界唯一のMac セキュリティカンファレンス「Objective by the Sea」リポートをご覧ください)そして、OBTS にも関連するトピックとして、マルウェアの分析について、「仮想環境を準備」、「マルウェアを静的解析」などの動画をお見せしながら説明しました。今回は「SysJoker」という2022に発見されたマルウェアをサンプルとして検証をご案内しました!
発表の資料
以下リンクからご覧ください。
https://app.box.com/s/p7wm7bz5p7s6e6jzmv0lbhosfygpt9px
発表のスライドは「Macのマルウェアを分析してみよう_MagicHat.pdf」です。
発表内容のハイライト
OBTS お勧めのカンファレンス
・In the Aftermath
「Aftermath」というオープンソースインシデントレスポンス(Incident response, IR)ツールです。アラートが発生した後、パソコンで発生した作業や、どんなものがインストールされたかなど、タイムラインや履歴を書き出すことができます。Jamf Pro のポリシーや Mac の Terminal から実行ができます。
ツールのダウンロードURL:https://github.com/jamf/aftermath
Youtube:
・Handoff All Your Privacy (Again)
Airpod や Airtag などが使用されるプロトコル(Continuity Protocol)について説明セッションです。どのようなデータを利用し、送信・受信がなされたのかについても調査され、結果として、Action コードや機種と端末の色、状態などのデータが含まれます。例えば、デバイスロックしたり、デバイスの持ち主が車を運転したことや Facetime したことなど、プライバシーに関するデータが含まれます。
怖くないですか。。。この発表を聞いた後、とても驚きました。
Youtube:
マルウェアの分析
仮想環境:
・インストール : M1 の仮想環境だと、たまにカーネルパニックという状態になってしまいます。スムーズに環境を動かせるよう、Intel の Mac の場合は Vmware Fusion を使って仮想環境を展開するのが、おすすめです。(仮想環境で使ったOSは Big Surです。)
気をつけてほしい二点:Mac Address、分離( Isolation )という設定
・設定:コマンドラインツールを事前にインストールする
※追加:動的解析する場合、以下リンクのツールがおすすめです。
https://objective-see.org/tools.html
マルウェアの分析
今回は静的解析の方法で分析します。
<ポイント>
①実行ファイル( Binary ファイル:Mach-O )を探す
(ファイルタイプをマスクすることが多いので、実際のファイルタイプを検索)
②全ファイルの内容を調べる
→暗号化されていることが多いため、復号化しながら調査をします。おすすめのツールは、CyberChef です。
③実行ファイルで(わかる)読める文字列を探す
大体読める文字列は、URL リンク、Plist ファイル、フォルダーとファイル名、メソード名、クラス名などです。
静的解析の方法を使ってある程度まではマルウェアの詳細情報(何について、メソッド名など)を把握ができますが、より細かい挙動や他の詳細について確認するためには動的解析が必要です。
もし、マルウェアを分析にご興味のある方は、以下リンクのサンプルをダウンロードして、デモを見ながらお試しください!
https://objective-see.org/malware.html
※注意:仮想環境上で検証ください!
以上、 今回はエンジニアのナトニチャが担当いたしました。
最後まで読んでいただき、ありがとうございました。