カテゴリー
fun

とあるマルウェアのディスアセンブル避けの工夫

A Silly Anti-Disassembly Trick (くだらないディスアセンブル対策)で紹介されている体験談。

筆者は、MacOS 用の怪しいマルウェアを解析中に以下のようなツールと無関係な謎の Copyright 表記を発見したと

(c) 2014 - Cryptic Apps SARL - Disassembling not allowed

Cryptic Apps は、ディスアセンブラ・ツールHopperを作っている会社のようです。

そして、この Hopper のデモ版で Hopper 自身を解析しようとすると、「このプログラムはディスアセンブルできません」という警告が出て先へ進めないと。

もうおわかりかと思いますが、どうもこの Hopper、自身の Copyright 表記がバイナリに入っているとこのエラーを出してディスアセンブルさせないようなのですね。

このとあるマルウェアも、Hopper で解析されては企みがバレてしまうと思い、自身の中にこの Copyright を埋め込んだということでしょう。この部分を手で書き換えることで、Hopper でディスアセンブルできるようになったそうです。(そしてたぶん Hopper 自身も)

カテゴリー
ネットの事件

Googleがロシアのスパマーからɢoogle.comドメインを奪取

昨年末に話題になっていた、google.com の先頭の “g” が小さいけど大文字の “ɢ” に置き換えられたニセドメインに関する係争が解決しました

ICANNに委託された仲裁機関 Forumに掲載された採決は、この ɢoogle.com ドメインを使って世界中のサーバのログにURLを残し、アクセスを通じてマルウェアを配布しようとしていたロシア人 Popov Vitaly 氏から、Google 社がドメインを取得できる、という結論になっています。

採決はおりたものの、当該のドメインはまだ旧所有者の手にあり、アクセスするとGoogle社を批難するロシア語の主張が掲載されたページに遷移しますのでご注意を。

今回の場合、Chromeブラウザでは ɢoogle.com は怪しいドメイン名と判定されて、そのままではなく Punycode 形式で表示される仕様になっていたようです。他のブラウザでも同様の機構はあり、ブラウザで見ている分には騙されることもなかったのだろうとは思います。

しかし、今回仕掛けが見つかったサーバログの閲覧ツールとかアプリ内でドメイン名だけを切り出して表示するなど、そこまで親切なフィルタが無かったり効かない場合もあるので、この良く似た字を使ってなりすます行為も簡単には無くならないでしょう。

via Mareeg