GOM Playerのアップデートパケットを確認しよう

韓国の動画再生ソフト GOM Playerのアップデートが原因で、トロイの木馬をダウンロードしてしまったケースを分析してみます。
LACさんが解説していたので、同じケースがないのか発見してみましょう。



PacketBlackHoleなどでフルバケットを記録している場合であれば、どのタイミングでやられてしまったのかが明確にわかります。




直接の原因はまだわかっていませんが、2、3の仮説が立てられます。


  • 仮説1 DNSポイゾニングにより、偽サーバに行っていた。
  • 仮説2 アップデートサーバが乗っ取られた
  • 仮説3 インターネットの途中で書き換えられた
  • 仮説4 何からの方法で、ローカルの、GrVersionJP.iniを書き換えた。



仮説1であれば、送信先のサーバが、本来のものとは異なります。
 本来のアップデートサーバは、app.gomlab.comで 38.109.102.176,38.109.102.177
38.109.102.178で、正規のサーバ自体はニューヨークのマンハッタン島にあるようです。宛先がこれら以外のアドレスであった場合は、何かしら不正な情報を掴んでしまっているケースかも知れません。



仮説2の場合は、サーバが乗っ取られたということなので、サーバからのレスポンスデータを再現して、ダウンロードしているGrVersionJP.iniファイルをパケットから再現して下さい。DOWN_URL=の部分が画像と異なる場合は、このタイミングでやられていることがわかります。



仮説3の場合は、
ネットワークの途中で書き換えるという方法をとるので、送信先IPアドレスは同じでも、正規のサーバには通信は届いていません。全通信区間の、GrVersionJP.iniから、DOWN_URL=がおかしい部分を探す必要があります。



GOM Playerのユーザを見つけるなら、
PacketBlackHoleのWeb解析から、URL前方一致で、http://app.gomlab.com/ で検索するとユーザが見つけられます。実際のアップデートはSSLで暗号化するので、Counter SSL Proxyが必要です。
これらの原因となる、アップデートパケットを止めるには、
OnePointWallを入れましょう。簡単に止まります。

ケルベロスが入っているか見抜いてみよう。


このアイコンがCerberusです。

  • なぜか突然シャッター音が鳴る。
  • 着信もないのに光っているときがある。
  • 電池の消耗が異常に早い

こんな症状があったら確認してみましょう。


ケルベロスはメニュー画面からは消えますが、発見する方法があります。



それは、

  • 設定メニューから
  • アプリケーション
  • アプリケーションの管理



を開くと隠されたとしても発見できます。



この方法でケルベロスは見つかりますが。
ケルベロス以外にも同様なアプリは存在します。

につぼんの温泉100選トッブ10

ねつとえじえんもすといふおんせんの百せんいふものをわれもして心みむとてするなり

につぼんの温泉100選トッブ10

温泉名 地域
カムイワッカ湯の滝 北海道斜里町
ガラメキ温泉     群馬高崎市
長井温泉    山形県長井市
大和温泉       北海道倶知安町
上野温泉     山形県寒河江市
古丹消温泉     北海道泊村
アトサヌプリ温泉  北海道弟子屈町
澄川温泉     秋田県鹿角市
蒲原温泉     新潟県糸魚川市
西表島温泉     沖縄県竹富町

MX codeを引く

かき捨てコード

#!/usr/bin/perl
use Net::DNS;
use IP::Country::Fast;

while(<STDIN>){
	chomp $_;
	$_=~s/^http\:\/\///;
	$_=~s/$\///;
	$_=~s/\/.*//;
	# MXの取得
	my @mx = mx($_);
	if (scalar(@mx) eq 0){
		$_=~s/.*?\.//;
		@mx = mx($_);
	}
	print $_," ";
	for my $tmp (@mx){
		print $tmp->exchange;
		my $reg = IP::Country::Fast->new();
		my $country = $reg->inet_atocc($tmp->exchange);
		if ($country eq ""){$country="ERROR";}
		print " on ",$country," ";
	}
	print "\n";
}

Enesoluty 捜索開始

LIME POPのアイコン

[hack] Enesoluty 捜索開始

当方から仕掛けていたマルウェアの作成に関わった会社が捜索されたようです。

去年の7月ごろから活動を始めた、出会い系のグループの 登録名がT.N.氏を中心とした出会い系サイトを運営グループで、12月になっていも活動を停止しないとこもあって、1/15日に千葉県警のサイバー犯罪対策課にアプリの詳細やどのような活動をしているのか調べる方法などを情報提供していたものです。
サーバが海外ということもあって、時間がかかりましたが国内で特定できて捜索が開始されたようです。

このマルウェアの配布方法は、auのメールを語って、メールマガジンをスパムのように無差別に送って、Androidアプリのダウンロードサイトに誘導し、アプリをインストールさせるという手法をとっていました。

「奇蹟のバッテリー節約アプリ」

というタイトルでメールを受信した方も多いかと思います。

動作的には、各アプリは何もせずに期待される動作はしないのですが、裏側でメールアドレス等を米国のサーバに送信していました。

それらで収集されたメールアドレスが出会い系サイトなどの誘導に利用されていました。
報道機関では Enesoluty であると、報道されていませんでしたので、直接情報提供した千葉県警のサイバー犯罪対策課に確認しました。

2013/04/10 19:25 まだ、情報収集をするサーバは止まっていません。興味本位で該当アプリを実行しないで下さい。

「安心スキャン」
http://secroid.jp/d/d/2/f/solution.ris_Scan.html

「電池改善アプリ」
http://secroid.jp/d/c/a/f/solution.energyhelper1_energy.html

「電波改善」
http://secroid.jp/d/d/2/f/solution.ris_RadioWaveHelperActivity.html

「LIME POP」(自動解析のみの結果です)
http://secroid.jp/d/2/b/3/APK_04c98e18f37e47d505d85d2b2d7ae33afe3388b3.html

[android] 公式マーケットのエロアプリに注意

IPAで紹介 https://www.ipa.go.jp/security/txt/2013/03outline.html
された、エロアプリです。IPAでは諸般の事情により一部画像が見難くなっていますが、こちらでは当時の画像が見られます。

http://secroid.jp/d/8/c/f/live.wallpaper.freshgirls.g2.html

http://secroid.jp/ なら消えたアプリの情報も見られます。

同じ開発者のアプリはこんなアプリでした。壁紙系メインです。
http://secroid.jp/cgi-bin/s.cgi?search=devel%3ADG-NET
現在では全て消えています。
開発者の国はブルガリアっぽいです。

同じようなアプリは検索するといっぱい出てきます。

そんな訳で、アプリを入れる前には http://secroid.jp/ で事前にチェックしましょう。
安全なエロアプリもあります。http://secroid.jp/secroid検索を使って情報を抜かれるアプリは入れないようにしましょう。

http://secroid.com 英語圏の方はこちら。