GOM Playerのアップデートパケットを確認しよう
韓国の動画再生ソフト GOM Playerのアップデートが原因で、トロイの木馬をダウンロードしてしまったケースを分析してみます。
LACさんが解説していたので、同じケースがないのか発見してみましょう。
PacketBlackHoleなどでフルバケットを記録している場合であれば、どのタイミングでやられてしまったのかが明確にわかります。
直接の原因はまだわかっていませんが、2、3の仮説が立てられます。
- 仮説1 DNSポイゾニングにより、偽サーバに行っていた。
- 仮説2 アップデートサーバが乗っ取られた
- 仮説3 インターネットの途中で書き換えられた
- 仮説4 何からの方法で、ローカルの、GrVersionJP.iniを書き換えた。
仮説1であれば、送信先のサーバが、本来のものとは異なります。
本来のアップデートサーバは、app.gomlab.comで 38.109.102.176,38.109.102.177
38.109.102.178で、正規のサーバ自体はニューヨークのマンハッタン島にあるようです。宛先がこれら以外のアドレスであった場合は、何かしら不正な情報を掴んでしまっているケースかも知れません。
仮説2の場合は、サーバが乗っ取られたということなので、サーバからのレスポンスデータを再現して、ダウンロードしているGrVersionJP.iniファイルをパケットから再現して下さい。DOWN_URL=の部分が画像と異なる場合は、このタイミングでやられていることがわかります。
仮説3の場合は、
ネットワークの途中で書き換えるという方法をとるので、送信先のIPアドレスは同じでも、正規のサーバには通信は届いていません。全通信区間の、GrVersionJP.iniから、DOWN_URL=がおかしい部分を探す必要があります。
GOM Playerのユーザを見つけるなら、
PacketBlackHoleのWeb解析から、URL前方一致で、http://app.gomlab.com/ で検索するとユーザが見つけられます。実際のアップデートはSSLで暗号化するので、Counter SSL Proxyが必要です。
これらの原因となる、アップデートパケットを止めるには、
OnePointWallを入れましょう。簡単に止まります。
MX codeを引く
かき捨てコード
#!/usr/bin/perl use Net::DNS; use IP::Country::Fast; while(<STDIN>){ chomp $_; $_=~s/^http\:\/\///; $_=~s/$\///; $_=~s/\/.*//; # MXの取得 my @mx = mx($_); if (scalar(@mx) eq 0){ $_=~s/.*?\.//; @mx = mx($_); } print $_," "; for my $tmp (@mx){ print $tmp->exchange; my $reg = IP::Country::Fast->new(); my $country = $reg->inet_atocc($tmp->exchange); if ($country eq ""){$country="ERROR";} print " on ",$country," "; } print "\n"; }
Enesoluty 捜索開始
[hack] Enesoluty 捜索開始
当方から仕掛けていたマルウェアの作成に関わった会社が捜索されたようです。
去年の7月ごろから活動を始めた、出会い系のグループの 登録名がT.N.氏を中心とした出会い系サイトを運営グループで、12月になっていも活動を停止しないとこもあって、1/15日に千葉県警のサイバー犯罪対策課にアプリの詳細やどのような活動をしているのか調べる方法などを情報提供していたものです。
サーバが海外ということもあって、時間がかかりましたが国内で特定できて捜索が開始されたようです。
このマルウェアの配布方法は、auのメールを語って、メールマガジンをスパムのように無差別に送って、Androidアプリのダウンロードサイトに誘導し、アプリをインストールさせるという手法をとっていました。
「奇蹟のバッテリー節約アプリ」
というタイトルでメールを受信した方も多いかと思います。
動作的には、各アプリは何もせずに期待される動作はしないのですが、裏側でメールアドレス等を米国のサーバに送信していました。
それらで収集されたメールアドレスが出会い系サイトなどの誘導に利用されていました。
報道機関では Enesoluty であると、報道されていませんでしたので、直接情報提供した千葉県警のサイバー犯罪対策課に確認しました。
2013/04/10 19:25 まだ、情報収集をするサーバは止まっていません。興味本位で該当アプリを実行しないで下さい。
「安心スキャン」
http://secroid.jp/d/d/2/f/solution.ris_Scan.html
「電池改善アプリ」
http://secroid.jp/d/c/a/f/solution.energyhelper1_energy.html
「電波改善」
http://secroid.jp/d/d/2/f/solution.ris_RadioWaveHelperActivity.html
「LIME POP」(自動解析のみの結果です)
http://secroid.jp/d/2/b/3/APK_04c98e18f37e47d505d85d2b2d7ae33afe3388b3.html
[android] 公式マーケットのエロアプリに注意
IPAで紹介 https://www.ipa.go.jp/security/txt/2013/03outline.html
された、エロアプリです。IPAでは諸般の事情により一部画像が見難くなっていますが、こちらでは当時の画像が見られます。
http://secroid.jp/d/8/c/f/live.wallpaper.freshgirls.g2.html
http://secroid.jp/ なら消えたアプリの情報も見られます。
同じ開発者のアプリはこんなアプリでした。壁紙系メインです。
http://secroid.jp/cgi-bin/s.cgi?search=devel%3ADG-NET
現在では全て消えています。
開発者の国はブルガリアっぽいです。
同じようなアプリは検索するといっぱい出てきます。
そんな訳で、アプリを入れる前には http://secroid.jp/ で事前にチェックしましょう。
安全なエロアプリもあります。http://secroid.jp/ やsecroid検索を使って情報を抜かれるアプリは入れないようにしましょう。
http://secroid.com 英語圏の方はこちら。