読者です 読者をやめる 読者になる 読者になる

DARK MATTER

CDI Engineer's Technical Blog

twitterアカウントをC2サーバ代わりにするAndroidマルウェアの中身を覗く

Android Reverse Engineering

こんにちは。情報分析部の西脇です。

前回からの連載に割り込んでしまう形になりますが、今回の投稿ではtwitterアカウントをC2(コマンド&コントロール)サーバ代わりにするAndroidマルウェアの仕組みを調査してみたいと思います。

今回扱うマルウェアが発見されたのは昨年の8月で、 こちらの記事によるとtwitterアカウントをC2サーバ代わりにするマルウェア自体は2009年から存在するようですが、Androidマルウェアとしては初めて観測されたと報じられています。

twitterのアカウントをC2サーバ代わりに利用されると、

  • twitter自体は通常のwebサービスなので、悪意のある通信だと気づきにくい
  • C2サーバを変更する・増やすことが容易(アカウントを新規作成すればよい)

などといった理由でマルウェアが発見しづらく、長期間感染している状態になってしまいかねません。

また、今回扱うマルウェアは感染した端末にほかのマルウェアをダウンロードする機能を持つため、知らない間に複数のマルウェアに感染してしまっていた、ということも起こり得ます。

そのため、今回発見されたマルウェアはどのようにtwitterアカウントをC2サーバとして利用しているのか、また、対策に役立つ特徴があるかに着目してマルウェアの仕組みを探っていきたいと思います。

逐一コードを追っていきますので、実装ではなく仕組みを簡潔に知りたい方はまとめの項をお読みください。

続きを読む

セキュリティ診断の内製化に向けて 第一回〜Webアプリケーション脆弱性診断ツールの実力を引き出すコツ〜

Web Penetration Testing

技術部の津野田です。

昨今、Webアプリケーションに対するセキュリティ診断の内製化の動きが活発になっています。 本日より、当社のお仕事が減らない程度に、セキュリティ診断の内製化に役立つ情報をざっくばらんに不定期発信して行く予定です。

第一回目は、内製化の際に多く利用されるWebアプリケーション脆弱性診断ツール(以下、脆弱性診断ツール)の実力を、さらに引き出すためのコツについてお話したいと思います。

なお、本稿では特定の製品に関するご案内はしていません。 具体的な設定手順や方法などについては、脆弱性診断ツールのマニュアルをご確認ください。

続きを読む

iOS Reverse Engineering Tool開発 - Objective-C tracer

iOS Development Reverse Engineering


こんにちは。技術部エンジニアの松永です。
昔、iOSアプリケーションのセキュリティ診断を頑張っていた頃に作ったツールを紹介します。

全ての Objective-C のメソッド呼び出しをトレースするものです。

続きを読む
株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.