HamaCTF WriteUp (Unpack category)
?Download as PPTX, PDF?
1 like?3,434 views
HamaCTF2019で出題したアンパック問題の解説です。x64dgbを用いています。 HamaCTF2019はhttp://hamactf.cf(206.189.87.180)でチャレンジできます。
![メモリの書き換え
? 左下のMemory Dump欄上で[Ctrl + G]で書き換えた衣装の402004
番地に飛ぶ
? 書き換え対象のバイトを複数選択する(最低9バイト)
? 選択した箇所を右クリックし、[Binary]の[Edit]を選択する
? 「unp4cked」に書き換えて、OKボタンを押す](https://image.slidesharecdn.com/unpack-190419004703/85/HamaCTF-WriteUp-Unpack-category-10-320.jpg)
![GetProcAddressの番地を調べる
? [Symbol]タブをクリックし、[kerner32.dll]をクリックし、右側の
ペインから「GetProcAddress」を探す
? ダブルクリックをする
HamaSec 201904](https://image.slidesharecdn.com/unpack-190419004703/85/HamaCTF-WriteUp-Unpack-category-23-320.jpg)
![Scriptタブでスクリプト実行
? Scriptタブでスクリプトを[Load]する
? スペースバーでスクリプトが実行できる
? kkruncy解析スクリプトは、EntryPointで停止していることが前提
HamaSec 201904](https://image.slidesharecdn.com/unpack-190419004703/85/HamaCTF-WriteUp-Unpack-category-28-320.jpg)
![全問共通の手っ取り場合解き方
? MessageBoxはスレッドが処理待ちになり、処理は停止する(ブ
レークポイントとほぼ同じ)
? MessageBoxが表示されたら、実行を停止する
? [Ctrl + F9]を実行するとRetまで実行することができる
? ステップ実行して、一個上の関数に戻る
? ライブラリから戻ったところがアンパックされたマルウェアの
関数
HamaSec 201904](https://image.slidesharecdn.com/unpack-190419004703/85/HamaCTF-WriteUp-Unpack-category-33-320.jpg)
HamaCTF WriteUp (Unpack category)
- 1. アンパック手法 ~HamaCTF 2019 Write Up編~ @Sh1n0g1 HamaSec 201904
- 6. 文字列を比較している arg_0 arg_4 u n p 4 c k e d 0 u s e r n a m e 0 esiedi HamaSec 201904
- 8. アプローチ ? デバッガー上でユーザ名を取得した直後に処理を止める(ブ レークポイント) ? メモリ上のユーザ名を「unp4cked」に書き換える ? 処理を再開させる HamaSec 201904
- 10. メモリの書き換え ? 左下のMemory Dump欄上で[Ctrl + G]で書き換えた衣装の402004 番地に飛ぶ ? 書き換え対象のバイトを複数選択する(最低9バイト) ? 選択した箇所を右クリックし、[Binary]の[Edit]を選択する ? 「unp4cked」に書き換えて、OKボタンを押す
- 13. アンパックのメリット ? IoC(通信先、レジストリ名、ファイル名など)がstrings抽出で きるようになる ? Anti-Sandbox、Anti-XXが特的できる ? そもそもパックされているマルウェアって多いの? ? 著名なパッカーによってパックされているマルウェアは少ない が、実行されるコードが暗号化されていて、復号されながら実 行されることはざらにある HamaSec 201904
- 14. パッカーの特徴 ? 書き込み権限および実行権限のあるメモリセクションを利用す る ? アンパックでオリジナルコードを復号?解凍した後にそのまま実行す るため。 ? パックされていない実行ファイルでは稀。 ? そのようなメモリセクションはPEヘッダーで定義されているか、 後から動的に割り当てられる( VirtualAlloc、VirtualProtection) ? アンパック処理が終わるとオリジナルの実行コードが始まる (=Original Entry Point: OEP) HamaSec 201904
- 22. 利用されるAPIでブレークポイントを置く ? 前提条件として、アンパックされたマルウェア自体が利用する APIを知っていること ? これはサンドボックスやAPI Monitor を利用すると調査可能。こ こでは割愛 ? GetProcAddressを利用することがわかっているため、ここにブ レークポイントを置くことにする http://www.rohitab.com/apimonitor HamaSec 201904
- 25. GetUserNameAが出てくるまで実行する ? 実行すると画面右側の中央にスタックの上部(つまり、 GetUserNameA)のパラメータが表示される ? “GetUserNameA”が出てくるまで実行する ? パッカー自体がGetProcAddressを利用するため HamaSec 201904
- 28. Scriptタブでスクリプト実行 ? Scriptタブでスクリプトを[Load]する ? スペースバーでスクリプトが実行できる ? kkruncy解析スクリプトは、EntryPointで停止していることが前提 HamaSec 201904
- 33. 全問共通の手っ取り場合解き方 ? MessageBoxはスレッドが処理待ちになり、処理は停止する(ブ レークポイントとほぼ同じ) ? MessageBoxが表示されたら、実行を停止する ? [Ctrl + F9]を実行するとRetまで実行することができる ? ステップ実行して、一個上の関数に戻る ? ライブラリから戻ったところがアンパックされたマルウェアの 関数 HamaSec 201904
Editor's Notes
- #5: フラグを表示するか、エラーメッセージを表示するか分岐しており、直前にcallされている関数の結果(eax)が条件となっている 左側に分岐するためにはeax=00で抜けてこなければならない 直前の関数は402004に格納されている値と、文字列”unp4cked”がパラメータとして渡されている まずは402004に何が入るか見てみる
- #6: 402004はcall eaxの直前でプッシュされている。 call eaxのeaxは直前のGetProcAddress関数の戻り値である。 GetProcAddressは「GetUserNameA」というWinAPIの番地を調べる関数であるため、 call eaxはGetUserNameAを呼び出しているということがわかり、402004には現在ログインしているユーザ名が入ることがわかる sub_401017では何をしているかを見てみる
- #7: 受け取ったパラメータ(arg_0、arg_4)をesi、ediに格納し、mov dl,[edi]で1バイトを取得し、esiの1バイトと比較している 同じでない場合は、ecxをひっくり返す(→0xffffffffにある) 終了時にeaxにecxの値を代入している つまり、文字列が同じであれば、eaxは0、異なれば、0xffffffffで関数から抜ける