Zeusの動作解析 S08a1053 橋本 寛史.

Slides:



Advertisements
Similar presentations
1 実技演習1 2008/01/28,29 JaLTER Morpho 講習会. 2 起動・接続 各自、コンピュータを起動してネットワーク に接続してください。 各自、コンピュータを起動してネットワーク に接続してください。 IP アドレス自動取得 IP アドレス自動取得 無線 LAN 使用可 無線.
Advertisements

762.  ウイルス警告メッセージを 装って、ユーザーを悪質サ イトに誘導するメールのこ とである。  引用文献 7/27/news027.html.
第 7 章 ネットワークセキュリティ 大久保 恭太. 7.3 ネットワークスキャン 攻撃者はネットワークを攻撃するにあたって 、 攻撃対象のネットワークの 様々な情報を取得していく 。 ・ドメイン情報の取得 ・ホストに関する情報の取得 ・パスワードの奪取.
0 クイックスタートガイド|管理者編 スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス.
ご提案書 『ホテル インターネットサービスソリューション』
BBT大学 Ruby on Rails開発環境セットアップマニュアル
コンピュータウィルス.
Global Ring Technologies
インターネットの仕組み 例) Web閲覧 インターネット サーバ リクエスト データ 携帯電話 一般家庭 インターネットサービス
ブラウザの基本操作 前のページに戻る ブラウザの左上にある 「戻る」ボタンで、自分がたどってきた一つ前のページに戻ることができます。
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
Unix生活 Vol.1
CCC DATAset における マルウェアの変遷
受動的攻撃について Eiji James Yoshida penetration technique research site
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
ちょっと気になること メディアコミュニケーション論Ⅲ 第14回.
バックドア(rootkit&rootshell) vs Tripwire
Phenixサーバ クラックまとめ.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
30分でわかるTCP/IPの基礎 ~インターネットの標準プロトコル~ 所属: 法政大学 情報科学研究科 馬研究室 氏名: 川島友美
[オンライン学習に登録] [情報ネットワークを安全に利用しよう]
Bank Trojan の進化 Nov 2005.
コンピュータウィルス ~ウィルスの種類編~
第2章 第1節 情報通信の仕組み 4 暗号技術と情報の保護 5 コンピュータとネットワークの管理
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
ネットワーク コミュニケーション トランスポート層 TCP/UDP 6/28/07.
インターネット メールサーバ DNSサーバ WWWサーバ ファイアウォール/プロキシサーバ クライアント.
インターネット活用法 ~ブラウザ編~ 09016 上野喬.
コンピュータウイルスは こうしてやってくる! ~コンピュータウイルスの手口の理解~
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
龍谷大学理工学部における ウイルス感染事例 part 2
平成22年度に実施を予定するインターネットを 用いた研修システムによる研修 ライブ配信受講手順書
情報ネットワーク論 最終回 動的ルーティング実験デモ ネットワークの構築・管理 遠隔?講義.
Curlの仕組み.
OSのシグネチャを用いた 悪意のある通信の検出法
Windows 7 ウィルスバスターインストール方法 ユーザーアカウント制御の設定変更 ウィルスバスターのインストール
ランサムウエア (身代金要求型不正プログラム)に注意!
「情報セキュリティ論」 5-1 コンピュータ犯罪
ネットワークセキュリティ 肖 云上.
不正アクセス       ーrootkitについてー              環境情報学部              3年 櫻井美帆.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
DNSトラフィックに着目したボット検出手法の検討
ウイルスについて I98N044 久野耕介 I98N114 藤田和久
パケットキャプチャーから感染種類を判定する発見的手法について
仮想計算機を用いて OSを介さずに行う安全な ファイルアクセス制御
分散IDSの実行環境の分離 による安全性の向上
サイバーセキュリティ バッファオーバフロー
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
Linux リテラシ 2006 第5回 SSH と SCP CIS RAT.
スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス
各種ルータに対応する P2P通信環境に関する研究
VIRUS.
R12 マルウェアの連携感染パターンの自動検出方式
Cisco Configuration Professional Express 3.3 アップデート
A18 スパムサーバの調査 ~ボットを見抜けるか?~
DNSクエリーパターンを用いたOSの推定
サーバ・クライアントシステム ( X Window System) 2006/01/20 伊藤 和也 original: 前坂たけし
個人の動画配信のためのWebサーバ構築 06A1058 古江 和栄.
マルウェアの通信履歴と 定点観測の相関について
コンピュータ リテラシー 担当教官  河中.
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
コミュニケーションと ネットワークを探索する
仮想環境を用いた 侵入検知システムの安全な構成法
~目次~ Ⅰ.動作環境 Ⅱ.ファイルのダウンロード Ⅲ.システムのインストール Ⅳ.初期設定 Ⅴ.アンインストール
IDSとFirewallの連携によるネットワーク構築
ウィルスの感染先探索活動を可視化するツール“PacketViewer”の開発
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
ボットネットの国別マルウェア活動時間 なぜインドからの攻撃は日本時間で行われるか?
Presentation transcript:

Zeusの動作解析 S08a1053 橋本 寛史

トロイの木馬とは データを削除 ファイルを外部へ流失させる ほかのコンピュータへ攻撃させる いつでも制御できるようにバックドアを作成する 正規のプログラムに扮してコンピュータに侵入 そのファイルを実行してしまったら? データを削除 ファイルを外部へ流失させる ほかのコンピュータへ攻撃させる いつでも制御できるようにバックドアを作成する まずトロイの木馬ということに関して説明します。 なぜかというと、Zeusというのはトロイの木馬の一種であるからです。 トロイの木馬というのは正規のプログラムと偽り侵入してきます。 そしてその侵入してきたトロイの木馬を実行しまうと (ry

ボットネットについて 攻撃者 C&Cサーバ ソンビPC ソンビPC ソンビPC このゾンビPCとC&Cサーバ間の通信は定期的に行っている。=ボットネット ソンビPC ソンビPC ソンビPC

Zeusとは おもな標的は銀行(財務)系データを盗むトロイの木馬 日本では目立った活動が行われてはいない ZBOTとウィルスを使用する  特徴 おもな標的は銀行(財務)系データを盗むトロイの木馬 日本では目立った活動が行われてはいない ZBOTとウィルスを使用する 感染させたパソコンを攻撃者から遠隔操作できる。 感染してしまうと、ほかのZeus攻撃者へ情報がわたってしまいさらにほかのボットネットに組み込みこませる。 ツールキットをカスタマイズすることでどのような情報でも得ることができる。

マニュアルに書いてあるできること の一部 悪意あるプログラムを勝手にダウンロードする 実行中のプロセスへの動作に影響 レジストリの設定を勝手に変更 通信中のページデータの入手 特定URLからのアクセスを一時ブロック リアルタイムでデスクトップのスクリーンショットをとる Natやwirewallへの対応 etc…

起動時の動き・パケットキャプチャ 起動時の画面 起動には失敗!! パケットキャプチャ 起動時、気になる通信を発見 起動に関してはwindowsのみ 起動にあたって古いパソコンでかつ 一応セキュリティソフトもインストール済みです。 起動時、気になる通信を発見

あやしい通信について 2秒毎にパケットを発信し続けている ※これはキャプチャーしている間 途切れることなく発信していた。 ※これはキャプチャーしている間      途切れることなく発信していた。 気になるところとはこの2秒ごとにプロトコルはUDPでパケット発信されているところです 送信先IPアドレスの調査不明 i.e. pingやtracerouteで調査したが結果は帰ってこなかった DNSBL=DNSブラックリスト どの情報を平文として流されていたのか? 自分のパソコンのニックネームを継続的に送信していた。 セキュリティソフトを通してみると1件のマルウェア。1件のアドウェアが検出されました。 調査した結果この送信先IPアドレスはDNSBLへ、登録されている。

まとめ Zeusの起動には失敗してしまった。 起動時パケット通信をキャプチャーをした。 キャプチャーした中に怪しい通信を発見  キャプチャーした中に怪しい通信を発見 通信先のDNSは問題がある可能性が高い

ご静聴ありがとうございました。