Program

/

CODE BLUE 2024

Time Table

IDA / Ghidraによるアンチデバッグの自動検出とサポート機能によるデバッグプロセスの効率化

DAY 1

10:00-10:40

マルウェアの作成者は、しばしばアンチデバッグ技術を用いて解析を妨害する。デバッガ上で実行されると、マルウェアはデバッガの存在を検出し、その後の動作を停止するか、通常とは異なる動作を行うため、解析が困難になる。アンチデバッグの実装方法は、マルウェアごとにさまざまである。

特に、大規模なメール送信キャンペーンで拡散されるマルウェアや、組織に影響を与える人気のランサムウェアには、複数のアンチデバッグ技術が確認されている。たとえば、アンチデバッグ技術には、デバッグ環境を検出するためのVM検出、デバッグ中にプログラムの実行を一時停止するブレークポイントの検出、デバッガを使用してマルウェアを解析する際の実行時間の違いを利用する時間差検出などが含まれる。

「AntiDebugSeeker」は、解析者によく利用されるバイナリ解析ツールIDAとGhidra用のオープンソース・プラグインであり、Windowsマルウェアに組み込まれたアンチデバッグ技術を自動的に識別することで、マルウェア解析プロセスを効率化する。アンチデバッグ機能に関連するコードは、例えば、マルウェアが使用するプロセスインジェクションの準備ステップとも重なる。したがって、検出ルールを柔軟にカスタマイズすることで、アンチデバッグ機能を特定するだけでなく、マルウェアの機能を理解することも可能である。さらに、このツールは、これらのアンチデバッグに対する説明やデバッグする際のサポート情報を提供し、アナリストが理解し、回避するための対策を講じる能力を向上させる。

本講演では、マルウェア解析を実演し、このツールの機能をどのように使用するかを説明し、実際の脅威シナリオでこれらの機能がどのように応用できるかを実践的に理解する。

  • Location :

    • Track 3(Room 2)

  • Category :

    • Bluebox

  • Share :

Speakers

  • 武田 貴寛 の写真

    Takahiro Takeda

    武田 貴寛

    武田貴寛は、東京にあるLACのサイバー緊急対応センターのメンバーで、マルウェア解析およびサイバー脅威インテリジェンスを専門としている。彼は、セキュリティインシデントに関与したマルウェアの解析に従事しており、その知識を広めるために、書籍の執筆や教育活動にも力を注いでいる。これまでに、日本セキュリティオペレーションセンター(JSOC)でMSSを通じてIDSおよびIPSログの解析を行った経験や、日本サイバー犯罪対策センター(JC3)への出向中にサイバー脅威調査官を務めた経験を持つ。さらに、PacSec、AVAR、HITCONなどのさまざまなカンファレンスで研究成果を発表している。