6月に、何千ものFacebookユーザーが次のように訴えた。Facebookの友達がそのユーザー達のことをコメントに書いた、というメッセージを受け取った後、ユーザー達自身のアカウントを通してウィルスに感染した、と。Undotの設立者でありCEOでもあるダニ・ゴーランドとカスペルスキー・ラボの研究者イド・ナールは、調べてみることにした。彼らはすぐに、そのメッセージが実際に攻撃者によってもたらされ、2つの段階による攻撃を受信者達に対して発動させることを突き止めた。攻撃の第1段階は、ユーザーがFacebookのメッセージ通知をクリックすることで始まる。悪意のあるファイルが彼らのブラウザの制御を奪い、正当なセッションを終了させ、代わりに悪意のあるものに置き換えて、Webトラフィック全体をキャプチャーするのだ。第2段階としては、犠牲者のFacebookやGoogle Driveのアカウントを乗っ取る、非常に洗練されたスクリプトがある。彼らはそのスクリプトを解読後、探すのはまず不可能だと思われた部分を抽出することができた。これは、攻撃者に通知機能を悪用させてしまう未知のFacebookの脆弱性だ。この講演にて、ダニとイドはこの挙動の詳細へと飛び込み、攻撃者がFacebookを悪用してマルウェアを拡散する方法について説明する。 --- イド・ナール Ido Naor イドは、カスペルスキー・ラボの調査分析チーム（GReAT）の上級セキュリティ研究者である。彼は2年前にカスペルスキーに入り、イスラエルの地域研究グループを率いている。イドの専門は、マルウェア分析、侵入テスト、ソフトウェアのリバース・エンジニアリングであり、Google、Facebook、LinkedIn、Alibabaなどの大企業からその業績が認められている。研究に加えて、イドは武術のエキスパートでもあり、2人の娘を持つ父親でもある。 --- ダニ・ゴーランド Dani Goland ダニは、家電制御向けの遠隔操作アプリケーションを開発した、イスラエルを拠点とするスタートアップUndotの設立者であり、CEOである。ダニは、様々なフレームワークと言語でのプログラミングの経験を10年以上積んでいる。Undotでの活動の他には、ダニはハッカソン（プログラミング競争）に頻繁に参加し、HackTrackTLV 2016 と eBay Hackathon 2015 にて1位を獲得している。

1. タグ・ミー・イフ・ユーキャン
イド・ナール
カスペルスキー・ラボ 上級セキュリティ研究者 Tw: @idonaor1
ダニ・ゴーランド
Undot設立者＆CEO Tw: @danigoland

2. GReAT - 研究者たちによる
カスペルスキー・ラボのエリートチーム
2008年からの、グローバル調査分析チーム（GReAT）
脅威情報、研究、そしてイノベーションの主導
焦点：APT、重大なインフラストラクチャーへの脅威、バンキングへ
の脅威、高度な標的型攻撃。
• セキュリティ・エコの分野で10年
• イスラエルで地域研究を管理
• 専門分野
• マルウェア解析
• リバース・エンジニアリング
• 侵入テスト
• 趣味
責任ある開示 :
▶わたし達は世界を救うべくここに居る

3. Undot – アイディアを発見する
• Undot設立者＆CEO
• 専門分野
• フルスタック開発者
• 起業家
• データサイエンスのオタク
• 趣味
ハッカソンの企画や参加
Undotの
エキスパートが
付く
制御しよう –
リモート操作対応！
～50万のダウンロード数
フ
ロ
ン
ト
モ
バ
イ
ル
バ
ッ
ク
ク
ラ
ウ
ド

4. ニュースでは…

5. 要約

6. 国ごとのマルウェア分布状況
イスラエル
ドイツベネズエラ
チュニジア
ポルトガル
ギリシャ
エクアドル
メキシコ
コロンビア
ポーランド
ブラジル
ペルー

7. 友達によるFacebookのメッセージ通知
うるさい、怒るぞ

8. • ファイル: comment_27734045.jse
• 言語: JScript
• サイズ: ~5.31 KB
• MD5: 9D3DF2A89FDB7DA40CEB4DE02D605CFA
• SHA1: 6D658331FE6D7F684FEE384A29CE95F561A5C2EA
Windowsに示されたもの
JScript is Microsoft's dialect of the ECMAScript standard[2] that is used in Microsoft's Internet Explorer.
JScript is implemented as an Active Scripting engine. This means that it can be "plugged in" to OLE Automation
applications that support Active Scripting, such as Internet Explorer, Active Server Pages, and Windows Script Host.[3]
It also means such applications can use multiple Active Scripting languages, e.g., JScript, VBScript or PerlScript.
で、君は、それはJavaScriptじゃない、って言うのかい？
実行可能だと！
言ってみろ！

9. JSE Trojanの中を
垣間見る
1) ドメイン名
2) Msxml2.XMLHTTP
3) ADODB.Stream
4) Wscript.Shell
5) JPG 拡張子?
6) %AppData%
7) Autoit.exe
8) Manifest.json
9) .bat実行
10) .jsをping

10. わたし達の中に実際誰がいるのか？
/Stats/history/pingjse3462

11. バックグラウンドの確認
• 出現: 2015年1月、次の場にて：
• トルコ語の変数やコメントがファイル内にあった
• 脅威実行者: BePush/Killim
• ソーシャル・ネットワークを通してマルウェアを拡散させる革新的技術
• 主にJavaScript内で、重層的な難読化を好み、そして重層的なURL短縮
ツール、サードパーティがホストするプロバイダーや、マルチステージのペ
イロードを利用する。
• Cloudflareを使い、自身の構造をわかりにくくする

12. 最初の感染

13. 動的解析

14. 中間者としてのChrome拡張機能

15. ?
隠された脆弱性
疑わしい…

16. 欠けている部分

17. Obfuscated dropper（難読化ドロッパー）
難読化コードのスニペット：
ファイルの各バリアントは、次のヘッダーを伴って始まる：

18. 難読化の解除

19. ANTI-ANALYSIS
• Debugger;
で、わたしは言ったんです
ブレークポイントを置いてみろ、って

20. 解析妨害
• Codeのハッシュ値
コードの潜在的なハッシュ
未変更のソースコード
実行するデコード済コードのスニペット 実行する（ひどい）デコード済コードのスニペット

21. コードクラッシュを起こす
いまから、あなたのコードをゆっくりと1行ずつデバッグしていくよ

22. Googleのトークンをハイジャック
• Google URL Shortner
• Google Drive API

23. マルウェア・ハブとしてのGoogle Drive

24. Victim info stealer（被害者の情報を盗み取る機能）
ドロッパー → Chromeが乗っ取られる → 悪意のあるJS → Googleパーミッション →
ストレージにマルウェアをアップロード → 今ここ

25. Victim info stealer（被害者の情報を盗み取る機能）

26. Victim info stealer（被害者の情報を盗み取る機能）

27. Google driveパーミッションの修正

28. 悪意のある発信者を作る

29. Facebookのトークンをハイジャック

30. フェールセーフする方法

31. フェールセーフする方法

32. 実際の脆弱性
1) コメントプラグインへのリクエストを
初期化
2) api_keyとコメントデータを取得
3) プラグインで、Google Driveへの
URLを含むコメントを作成
4) 記載内容は投稿される − そのID
を取得
5) Webプラットフォームで新しいコメ
ントを作成
6) FBプラグインからのIDを、Web FB
コメントIDに挿入
7) 通知が生成される
8) FBデバッグチェック
9) プライバシー設定をパブリックに
10) コメントテキストをNullに設定し、ト
レースを削除。
this.commentData["share_id"] =
globalFunction["between"]('"commentIDs":["', '"',
f["responseText"])["split"]("_")[1]; // 400539608410_10153962897128411
post_params = {
"ft_ent_identifier": this["commentData"]["share_id"], ← injection!!
"comment_text": gF["chain"](10)["toLowerCase"](),
"source": 21,
"client_id": Date["now"]() + ":" + Math["floor"](U2e[F](Date["now"](),
1000)),
"session_id": globalFunction["chain"](8)["toLowerCase"](),
"comment_text": "Array of tagged friends"
}
url: "https://www.facebook.com/ufi/add/comment/?dpr=1",
type: "POST",
async: true,
headers: {
"content-type": "application/x-www-form-urlencoded"
}
www.facebook.com/plugins/feedback.php?api_key=<
ID>&href=https://<GOOGLE_DRIVE>/<JSE_FILE>

33. 全体的に
Facebookマルウェア：複雑なコードが被害者を、その友達を標的にするために利用する
Windows PCを使う10,000人のFacebookユーザーが悪
意のある友達通知を受けた後、カスペルスキー・ラボは
脆弱性と攻撃について解明
メッセージ
Facebookユーザーは、友達がユーザーのことをコメントに書いた、と
いう通知を受ける
3段階の感染通路
被害者がメッセージ内のリンクをクリック
すると、Facebook外部に飛ばされ、マル
ウェアがダウンロードされる
これが失敗すると、攻撃者はマルウェア
のダウンロードをさせるべく、Facebookチ
ャットで短縮URLを送る。
攻撃者は、悪意あるGoogle短縮リンク付き
のFacebook投稿を、被害者のタイムライン
に追加する
GoogleのChromeブラウ
ザが乗っ取られる
マルウェアは実行され、
Chromeブラウザを乗っ
取るコードをダウンロー
ドする
悪意のあるChrome
が開く
'Facebook'ページをユーザー
に見せる ― 攻撃者は
Facebookのアンチウィルス・プ
ラグインをブロックする
トラフィックを捉え、
アカウントをハイジ
ャックする
バックグラウンド内では、別のス
クリプトがこっそり以下をダウンロ
ードしている
− 1,500行の複雑なコード
− 難読化
− DOMを検査からロックする
− 分析からコードを保護するために
他のコードが存在する
盗まれたアカウント
攻撃者はこの段階で、被害者のFacebookと
Google Driveアカウントを所持している。
ブラウザを通して全てを盗み、被害
者をマルウェア・ハブ化させて、感
染した通知を被害者の友達全員に
送る。

34. 質問ありますか?

35. ご清聴ありがとう!
Twitterでわたし達をフォローしてください:
@IdoNaor1
@DaniGoland