見出し画像

ウラジスラフ・フルーチカ【CODE BLUE SPEAKER インタビュー】

code blue2023

[Speaker interview, English follows]

Wslinkのマルチレイヤーな仮想環境について

今回は「Wslinkのマルチレイヤーな仮想環境について」の講演を予定しているウラジスラフ・フルーチカ(Vladislav Hrčka)氏に伺いました。

https://codeblue.jp/2022/talks/?content=talks_21

この講演は25歳以下の若手研究者の発掘・支援を目的とした「U25」というカテゴリで採択されたものです。U25では、講演終了後に厳正な審査を行い、優れた研究者に開発奨励金を授与しています。
講師のフルーチカ氏はスロバキア出身で、現在はセキュリティ企業のESETでマルウェアアナリストとして活躍。マルウェアのリバースエンジニアリングに注力しているとのことです。

講演タイトルにあるWslinkとは、北朝鮮との関係が取り沙汰される脅威アクター、Lazarusグループが使用するマルウェアで、入手したサンプルは仮想マシン(VM)によって高度に難読化されていたといいます。講演では、VMの内部を分析し、合理的な時間で難読化技術を「見抜く」ための半自動化されたアプローチが紹介されます。ガッツリと骨太で技術色の濃い内容になるでしょう。

―― 発表されるテーマを始めたきっかけは何ですか?

フルーチカ氏:私たちは、難読化に仮想マシンが使われるという興味深いマルウェアのサンプルを発見しました。そして、その仕組みを完全に理解し、基盤となるコードを明らかにしてみたいという思いで研究を始めました。

―― この研究を行う上で、障害となったことは何ですか?

フルーチカ氏:保護レイヤーを削除するために対処すべき難読化手法がいくつかあり、1つずつ発見・対処しました。その手法には、ジャンクコードの挿入、仮想オペランドのエンコード、仮想オペコードの複製、不透明述語(opaque predicates)、仮想命令のマージ、およびネストされたVMがあります。

―― この講演に参加しようと思っている人たちに一言お願いします。

フルーチカ氏:私たちは、高度な機能を持つ文書化されていないVMの構造をどのようにリバースエンジニアリングしたのか、その過程に関する洞察を提供するとともに、私たちの取り組みについても解説します。それは、既存の難読化技術を拡張した半自動化のアプローチで、シンボリック実行を使用して仮想オペコードのセマンティクスを抽出することによって、難読化に対抗するものです。

“Under the hood of Wslink’s multilayered virtual machine”


―― How did you get started in the topic that you are presenting?

We found a malware sample obfuscated with an interesting virtual machine and wanted to fully understand how it works and reveal the underlying code.

―― What were some of the obstacles in doing this research?

One by one we discovered several different obfuscation techniques that needed to be addressed to remove the layers of protection. The techniques include insertion of junk code, encoding of virtual operands, duplication of virtual opcodes, opaque predicates, merging of virtual instructions, and a nested VM.

―― What would you say to the people thinking of attending this talk?

We will provide insights into the process of how we reverse engineered the structure of an undocumented VM that has advanced features, and describe our semiautomated approach that extends an existing deobfuscation technique to extract the semantics of the virtual opcodes using symbolic execution, to overcome such protection.

世界トップクラスの専門家による情報セキュリティ国際会議「CODE BLUE(コードブルー)」

インタビュイー
ウラジスラフ・フルーチカ (Vladislav Hrčka)
ウラジスラフ・フルーチカ氏は、2017年からESETでマルウェアアナリストとして働く。彼の焦点は、複雑なマルウェアのリバースエンジニアリング。
Black Hat USA、REcon、Avar Conferencesで研究結果の発表を経験。現在、ブラチスラバのコメニウス大学でサイバーセキュリティを中心としたコンピューターサイエンスを学び、修士課程の最終学年として在籍。また、スロベキア工科大学とコメニウス大学でリバースエンジニアリングの原理の講義を担当している。
余暇には、さまざまなCTFに参加したり、スポーツ、特に自転車と水泳を楽しむ。
English Profile

インタビュワー
斉藤健一(さいとうけんいち)Kenichi Saito
元ハッカージャパン編集長。現在フリーライター。CODE BLUEをはじめ、セキュリティ業界を徘徊しています。日本ハッカー協会や企業のオウンドメディアなどでも活動。
Twitter : @hj_saito