第4回マルウェア解析勉強会( #malwat )のつぶやきまとめ

てきとう @tkito

メジャー機能その2 メッセージ（SMS/MMS）不正操作 #malwat

てきとう @tkito

ボットなどリモートコマンドにSMSを使うものがある。痕跡を消すため削除権限も。 #malwat

てきとう @tkito

その3 端末内設定改ざん。勝手にNW設定を書き換える、Dropperなどをインストールするとか #malwat

てきとう @tkito

その4 リモートコントロール。I/FとしてWebサイトを使用。Android特有の元のとしてSMSやWAPPush #malwat

cipher @cipher_24i

最近は銀行系の認証情報を奪取しようとするものが出てきた。 #malwat

てきとう @tkito

最近の傾向：プレミアムSNS、情報搾取、Bot（出始めてきた）、Spyware、Adware #malwat

ニシダマサタ @masata_masata

オンラインバンクの情報詐取はZitmo, SpitmoといったZeus, Spyeyeと連携するAndroidマルウェアのお話ですね #malwat

てきとう @tkito

今後の予想：アドレス情報やBank情報搾取は継続増加、Botも増えてくる、海外のモジュールには注意。Malcodeの隠蔽（文字列をxorしたり）は巧妙化。マルチプラットフォーム。 #malwat

てきとう @tkito

Android Malwareの静的解析は割と簡単。でもめんどくさい。 #malwat

cipher @cipher_24i

Android は静的解析が簡単。 #malwat

NAKATSURU You @you0708

まさかの前回の IOC ネタが出てくるとは！ #malwat

てきとう @tkito

IOC(Indicator of Compromise)の概念を利用してみる。APIの利用頻度、ssdeep値からトライ。 #malwat

てきとう @tkito

AndroidManifest.xml, META-INF/CERT.RSA, resources.arscを初動解析に使う #malwat

てきとう @tkito

AndroidManifest.xml: Permission, Receiver, Activityとか書いてある。#malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

１．AnroidManifest.xmlファイルでは「Permission （何ができるか）」「Receiver （何をトリガに動くか）」「Activity （外部モジュールになにがあるか）」を調査する ＃malwat

cipher @cipher_24i

@data_head さんの説明は、内容をきちんと各要素にわけているのでかなりわかりやすい。 #malwat

てきとう @tkito

META-INF/CERT.RSA 署名ファイル。 #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

２．META-INF/CERT.RSAファイルでは「Signature」と「DN(Issuer/Subject）」を調査する #malwat

cipher @cipher_24i

テラオフレコw #malwat

てきとう @tkito

resources.arsc: リソース情報、アプリ名（Webサイトで表示されているものと異なることが多い）、C&Cサーバのアドレスが入っていることもある。 #malwat

ǝɟıluoıʇɐuɹǝqʎɔ @CybernationLife

３．ressources.arscファイルではバイナリエディタで「アプリ名 （インストール時のアプリ名を確認できる）」と「URL （C&CサーバーのURLがあったり）」を調査する #malwat

てきとう @tkito

超めんどくさいclasses.dex: めんどくさいのでAPIの利用頻度解析をしてみた #malwat

cipher @cipher_24i

APIの利用頻度を比較して、検体の類似性の有無を推測する。 #malwat

NAKATSURU You @you0708

徹夜wwww #malwat

てきとう @tkito

検体同士の利用頻度からコサイン類似度を比較してみると…亜種のはずなのに類似度が低い、別物なのに高い、という悲しい実態 #malwat