読者です 読者をやめる 読者になる 読者になる

あうとぷっと

Security, Research, CTF, SOC, Incident, Malware, Analysis, OSINT

「Twitter鍵垢覗き見ツール」を調べてみた(3/11)

記事のまとめ

  • 無闇にURLをクリックすることは止めましょう
  • Twitterのアプリ連携は不用意に行うべきではない
  • うまい話には裏がある
  • 連携した記憶がある人は、アプリ連携を解除しましょう

「Twitter鍵垢覗き見ツール」とは

現在、拡散し続けられているスパムツールです。
2017/3/11 18:00現在で、1分間に50近くの勢いでスパムツイートが拡散されています。
無闇にURLをクリックすることは止めてください。

f:id:ykameda48:20170311183831p:plain:w300

「Twitter鍵垢を覗き見れる」という普通では出来ないことで惹きつけて
「鍵垢覗き見ツール」によって、あなたのアカウントを操作される恐れのあるツールです。
連携してしまったアカウントが覗き見られてしまう、という意味では「覗き見」ようとした逆の事象が発生してしまいます。

利用するスマートフォンやパソコンにマルウェアが感染してしまうといった事象は確認していません。

アプリ連携するとどんな危険があるのか?

  • 連携したアカウントのタイムラインを見られてしまう
  • 勝手に知らない人をフォローさせることが出来てしまう
  • 勝手にプロフィールを更新させられてしまう
  • 勝手に意図しない内容をツイートされてしまう

気を付ければ良いことは?

不用意にリンクをクリックしない

「鍵垢が覗き見できる」という言葉に惑わされず、  
不用意にURLをクリックすることはやめましょう。

アプリ連携画面が出た時には、何のためのアプリであるか確認する

アプリ連携する際に、以下のように、アプリが実行できる権限が説明されます。  
利用したいアプリが、「本当にこの権限に当てはまっているか、余計な機能が無いか」を確認しましょう。
  • アプリが利用できるようになる権限の説明
    f:id:ykameda48:20170311181920p:plain:w300

アプリ連携してしまったら/アプリが不要になったら、すぐに解除しよう

Twitterの設定画面から、「アプリ連携」の画面へ移動し、不要なアプリ連携を解除しましょう。  
「許可を取り消す」を押すことで、アプリ連携は解除されます。
  • Twitterのマイページ
    f:id:ykameda48:20170311182455p:plain:w300

  • Twitterの設定画面
    f:id:ykameda48:20170311182459p:plain:w300

まとめ

  • 美味しい話に乗ってしまわないように気を付けましょう。
  • 不用意にURLはクリックせずに、一度心を落ち着けましょう。
  • おかしいと気付いたときには、冷静になって「アプリ連携」を解除しましょう。
  • 不安な場合、Twitterのパスワードを変えましょう。

分析したファイル(3/9)

Analyze Task

06.28_sina_XSS.txt.zip

  • MD5 : 22b2081d4c53aa94295c67a31d5eb369
  • sha1 : d3abedb12a2d8bfd0f0b276d58cb586608be09f5
  • sha256 : 949115bb4f85f0943320b37f491250625952292dbbd23f1a9d9f491f2a884f10

adb_tools_.rar

  • MD5 : 52a62469de0b4f7e787931b207d67c0e
  • sha1 : 8e9ecd3a66848146860fb7f562b8c774fb16559e
  • sha256 : 5605c34e6d96d7f02462c03ddd03d885bf7a4f8e2be9cce6e62800dc3a07c133

0099903678.rar

  • MD5 : b9b9c8fe1a828bdc079d0c40b429c6b5
  • sha1 : a02f5285d9a6367c719faf715067670efc135de3
  • sha256 : 20ead9eb1f12adda24a218d2339c04be11df90f5bf8eb56312f4b72437815a79

MTViewbuildmtview_118.exe

MTViewbuildmtview_215.exe

MTViewbuildmtview_247.exe

  • MD5 : dfcea70023c19a770cb8306538c16592
  • sha1 : 5cf6b4b9b1f40b3659a248b34a4cc202850ffae3
  • sha256 : 92fd3f0c106a585ab0dcd73081f12256153c0be78ee047d466b870672e5ac823

xfplay_110_11157.exe

kuplay_110_14957.exe

kuplay_110_5842.exe

  • MD5 : a3fe935f80c2007bff8e0775cca382a5
  • sha1 : 86d24ff04b5d7c0f3bee291f8ba2fd8e16c8ca5a
  • sha256 : 5d98c3d3348e756ab4be58d2f9ddd241b83068a10cd4c82c7b28c7377a3bb048

Malicious Domain

You should access the following domain!

  • meituview[dot]com : 52.69.166[dot]231
  • tslongjian[dot]com : 52.69.166[dot]231

Appleを騙るフィッシングサイト(2017/3/6)

記事のまとめ

  • 少しでも不思議に感じるドメインに出くわした際には、無闇にアクセスするのを止めましょう。

目次

確認したフィッシングサイト

2017/3/5 19:00時点: 39件
2017/3/6 2:00過ぎ : 35件
2017/3/8 2:00(JST): 14件

フィッシングサイトとして確認した時点で、然るべき方法にて報告済みです。

報告後とは言え、2日間で半分近くの稼働が停止していました。
停止措置が入ったのか、稼働を意図的に停止したのかは定かではありません。

3月8日時点でも、稼働中のフィッシングサイトがあるため、フィッシングサイトへの措置をオススメします。

URL IPアドレス(2017/3/6時点) IPアドレス(3/8時点)
lcloud-findmylostidevice[dot]review 31.220.2.200 31.220.2.200
map-findmylostdevice[dot]review/find 31.220.2.200 -
appleservice[dot]cloud 62.138.139.12 -
verify-secureicloud[dot]online - -
appleid-apple-icloud-support[dot]com 51.15.36.223 51.15.36.223
secure1-itunes-apples-account[dot]com 51.15.131.172 -
www.icloudsd[dot]com 210.209.72.34 210.209.72.34
icloud18[dot]com/login.php 31.31.196.101 -
icloudam[dot]com/login.php 31.31.196.109 31.31.196.109
icloud-lphone[dot]com/lcloud 217.23.5.72 -
icloud-servicepay[dot]com/apple-itunes 51.15.138.119 -
icloud-dispositivos[dot]com 166.62.28.97 -
account-signin-myapple[dot]com 108.167.176.74 108.167.176.74
apple-login-verification-accounts[dot]com 142.4.14.108 142.4.14.108
applesverificationaccount-updates[dot]com 54.169.247.90 -
apple-store-informations[dot]com 212.47.230.108 -
apple-store-custom[dot]com 212.47.230.108 -
vervyapple-update[dot]com/w 80.241.223.225 80.241.223.225
login-appsapple[dot]com 142.4.14.108 -
applevalidation[dot]com 212.47.236.144 -
www.sotre-apple[dot]com 198.55.123.143 198.55.123.143
noted-apple[dot]com 192.185.128.118 192.185.128.118
delicius-cc-limited[dot]com 70.32.89.127 -
locaked-login-update[dot]com/folder/w 80.241.223.225 -
idcloud-unverified[dot]com 176.119.28.116 176.119.28.116
com-primary-acc-access-locked[dot]com/www-appie-service - -
com-unlockaccouns[dot]com/www-appleid.com-login 207.210.201.111 207.210.201.111
webpage-secure-signin[dot]com/appleid.apple.com 207.210.201.111 -
com-acunt[dot]company/ 51.15.36.223 51.15.36.223
please-completions-in-to-updatetheaccount-is-activated[dot]com/ediet/apple 80.241.223.225 -
com-apple[dot]net 51.15.36.223 51.15.36.223
com-restore[dot]net/appleid.apple 212.47.236.144 -
com-validation[dot]net/appleid.apple 212.47.236.144 -
support-acc[dot]net 149.56.129.2 -
recovery-webapps[dot]com/App-cloudstore 207.210.201.111 207.210.201.111
com-update[dot]org/appleid.apple 212.47.236.144 -
internet-protection[dot]net/secure2.login-apple.com - -
ltuness-payment[dot]com/Nuno - -
your-accounthasbeen-locked[dot]com 50.116.97.178 -

※ドメインの一部を、「.」を「[dot]」に置換しています。

フィッシングサイトの傾向

  • スクリプトタグで、本物のサイトのように見せる挙動が確認できました
  • 本物のサービス名(icloud)に酷似したドメイン(lcloud)として誘導する傾向がありました
  • 一定期間のみ稼働しているフィッシングサイトが多い傾向にありました
  • 時間が経過することによって、IPアドレスが変化するフィッシングサイトは確認されませんでした

※一時的な期間のみ観測したため、傾向に偏りがあります。

フィッシングサイトへの対策手段(企業・団体)

対応レベル 対応手段
強めの対応 ドメインやIPアドレスのブロック措置+数日のログ調査
弱めの対応 ドメインやIPアドレスへの通信を監視

フィッシングサイトを踏んでしまったと感じたら(個人)

  • 該当サービスに関するアカウントのパスワードを変更しましょう
  • 同様の事象が発生した際に、注意するようにしましょう