こんにちワン、Marsです。

11月3日～4日に大和セキュリティのMAIR忍者チャレンジに参加してきました！試合形式でマルウェア解析の勉強会という感じですかね？

場所は東京・品川にある専門学校なんですが、最初は品川駅で降りて歩いて行こうと思ったら、2.7キロもあって慌てて駅に戻って、会場の最寄駅に到着しました。
セーフ...

角の方の席に座ることになって、コンテストの説明が始まりました。
説明していたのはザックさん（@yamatosecurity）で、初めてザックさんの本物を見ました！
鉢巻が一番印象に残りました。忍者ですからね

さて、コンテスト開始！
マルウェアを解析したのは初めてなので、いろいろ調べて勉強しようという気持ちを抱きながら解析を始めました。
実は、学校で研究&勉強目的でマルウェアをダウンロードしたことがあって、情報基盤センターの先生から「xxxがマルウェアをダウンロードしました」という脅迫メールが送られてきて、その後はマルウェア解析に手を付くことに戸惑いました。正当な理由でマルウェアの所持自体が犯罪ですからね。(研究&勉強目的は、正当かな？)

とりあえず表層解析して、その後はどういうようにマルウェアの詳細情報を抽出するかが全く分かりませんでした。

試合開始後に数分経つと、チームの強い人から表層解析の情報が届きました。ちなみに送られてきた表層情報は各種マルウェアのEXEファイルのハッシュ値とvirustotal&anyrunの解析レポートURLです。

マルウェア解析のためのVMは構築してあるが、解析用のツールはVMに全く入っていないのでとりあえず動的解析・behavior analysisに必要なツールをインストールしました。静的解析をするつもりがないのになぜか気まぐれでIDAとGhidraをインストール...

とりあえずVMにインストールしたツールはprocess hackerとbinary editorくらいかな、それ以外の解析作業は全部anyrunに丸投げ（オンラインマルウェア自動解析サンドボックス）...
any.run

ディスク容量が限界に達しているので、VMを起動するたびにフリーズして、そこでファイル削除祭りが始まりました。

そこで2時間通過...
昼飯食いてぇなー

一日目はマルウェアをクリックした後に作成されたファイルの動作に着目して解析結果をまとめましたが、時間のロスが大きくてあまり進んでいませんでしたが、徹夜してリベンジしてやろうと思いました。

---　２日目　---
24:00過ぎました、まだパソコンが重い。
そもそもこのパソコンは5年ほど使っているので、HDDもCPUもおじいちゃんになりました。しょうがないなー、就職したら良いパソコン買おうぜ

プロセスの関係性を分析して、知識の無さに痛感しました。
このプロセスってどのプロセスの子プロセスなんだろう？
どこから仮想通貨のマイニングをしてんだろう？

と、無限の疑問が浮かび上がり、Windowsのシステムプロセスを一個一個調べました。やはり一部のプロセスの関係性がわかんねぇなOrz

と、その時に、exe拡張子のファイルからps1拡張子のファイルに目を移りました。
最初は特に怪しそうなパワーシェルコマンドがなかったが(実際全部怪しいだろ！)、異常に長いランダムに見える文字列がありました。 あっ、これはまさか、マルウェアのbase64なんじゃ...

Linuxでbase64のデコードをして、正体が現れました。 中身は読めないバイナリコード以外に、コマンドラインでやり取りしてるような文字がありました！
チームメンバーの言う通り、やはりmimikatzというエクスプロイトツールが使われていました。
コマンドラインのようなやり取りが見えて、ほとんど「失敗」でした。 mimikatzの機能について調べたら、仮想通貨のマイニングとホストログインパスワードの窃取以外にもKerberosチケットの窃取など様々の機能が備わっています。

とりあえずslackにこの発見を報告！

試合終了まで分かったことは、これくらいでした。
試合終了！！

同じチームの方、本当にありがとうございます。

最終結果はBランクでしたが、かなり勉強になりました。
また来年来たいと思います。