第4回マルウェア解析勉強会( #malwat )のつぶやきまとめ
2013/2/23(土)に開催された「第4回マルウェア解析勉強会」(#malwat)のつぶやきをまとめました。
詳細はこちら。
「第4回マルウェア解析勉強会」
http://atnd.org/events/35879
- CybernationLife
- 6419
- 0
- 3
- 6
ニシダマサタ
@masata_masata
オンラインバンクの情報詐取はZitmo, SpitmoといったZeus, Spyeyeと連携するAndroidマルウェアのお話ですね #malwat
2013-02-23 13:56:27
てきとう
@tkito
今後の予想:アドレス情報やBank情報搾取は継続増加、Botも増えてくる、海外のモジュールには注意。Malcodeの隠蔽(文字列をxorしたり)は巧妙化。マルチプラットフォーム。 #malwat
2013-02-23 13:58:44
てきとう
@tkito
IOC(Indicator of Compromise)の概念を利用してみる。APIの利用頻度、ssdeep値からトライ。 #malwat
2013-02-23 14:01:15
てきとう
@tkito
AndroidManifest.xml, META-INF/CERT.RSA, resources.arscを初動解析に使う #malwat
2013-02-23 14:02:40
ǝɟıluoıʇɐuɹǝqʎɔ
@CybernationLife
1.AnroidManifest.xmlファイルでは「Permission (何ができるか)」「Receiver (何をトリガに動くか)」「Activity (外部モジュールになにがあるか)」を調査する #malwat
2013-02-23 14:06:15
ǝɟıluoıʇɐuɹǝqʎɔ
@CybernationLife
2.META-INF/CERT.RSAファイルでは「Signature」と「DN(Issuer/Subject)」を調査する #malwat
2013-02-23 14:12:06
てきとう
@tkito
resources.arsc: リソース情報、アプリ名(Webサイトで表示されているものと異なることが多い)、C&Cサーバのアドレスが入っていることもある。 #malwat
2013-02-23 14:14:55
ǝɟıluoıʇɐuɹǝqʎɔ
@CybernationLife
3.ressources.arscファイルではバイナリエディタで「アプリ名 (インストール時のアプリ名を確認できる)」と「URL (C&CサーバーのURLがあったり)」を調査する #malwat
2013-02-23 14:15:42