Bank Trojan の進化 Nov 2005
Bank Trojan の脅威 オンラインバンキングのユーザー名やパスワードを盗む PWSteal.JGinko は日本の銀行をターゲットする (Trojan-Spy.Win32.Banker.vt [Kaspersky Lab], PWS-Jginko [McAfee], TSPY_BANCOS.ANM [Trend Micro]) これらの Trojan は Internet Explorerと密接に動作する 2 – 2002 Symantec Corporation, All Rights Reserved
サンプル提出数の増加 Symantec は年間 約200万件のサンプル提出を処理します。 サンプルの提出数は増加傾向にあります。 Bank Trojan のサンプル提出数は増加傾向にあるのでしょうか? 3 – 2002 Symantec Corporation, All Rights Reserved
PWSteal.Bancos 提出数の推移 なぜ提出数が減少しているのでしょうか? 4 – 2002 Symantec Corporation, All Rights Reserved
Bancos 提出数と Symantec 全体の提出数 5 – 2002 Symantec Corporation, All Rights Reserved
サンプルの収集方法 お客さんからのサンプル提出 ハニーポット Web サイトの巡回(アドウェア、スパイウェア) ブライトメール 掲示板 6 – 2002 Symantec Corporation, All Rights Reserved
日本の銀行 対 Bank Trojan PWSteal.Bancos は当初ブラジルの銀行をターゲットにしていた その後ドイツの銀行やイギリスの銀行をターゲットに加えた PWSteal.Jginko は日本の銀行のみをターゲットにする PWSteal.Jginko は 27 ドメインを監視する PWSteal.Bancos.T は 2746 ドメインを監視する 7 – 2002 Symantec Corporation, All Rights Reserved
PWSteal.Jginko の監視するドメイン resonabank.anser.or.jp, btm.co.jp, ebank.co.jp japannetbank.co.jp, smbc.co.jp, yu-cho.japanpost.jp ufjbank.co.jp, mizuhobank.co.jp shinseibank.co.jp, iy-bank.co.jp shinkinbanking.com, shinkin-webfb-hokkaido.jp shinkin-webfb.jp 他 多数 8 – 2002 Symantec Corporation, All Rights Reserved
他のBank Trojanでは地方銀行も標的にしている 82bank.co.jp, akita-bank.co.jp all.rokin.or.jp, toyotrustbank.co.jp hyakugo.co.jp, chibabank.co.jp fukuibank.co.jp, gunmabank.co.jp hirogin.co.jp, hokugin.co.jp joyobank.co.jp, nishigin.co.jp 他 多数 9 – 2002 Symantec Corporation, All Rights Reserved
日本の銀行によって行われているセキュリティ対策 ソフトウェアキーボード 強固なパスワード チャレンジ・レスポンス認証 フィッシングメール対策 ログイン可能なIPアドレスの制限 SSL 10 – 2002 Symantec Corporation, All Rights Reserved
Bank Trojan が KeyLoggerより優れている点 KeyLogger.Trojan とはまったくの別物 動作状況はタスクマネージャなどで確認できない 情報送信の傍受 ファイルのダウンロード動作は確認できない Trojan の更新動作は確認できない 11 – 2002 Symantec Corporation, All Rights Reserved
Bank Trojan は KeyLogger.Trojan とはまったくの別物 古いタイプのキーロガーはキーストロークを記録し、その情報を送信します。 どのアプリケーションをユーザーが使っているか判別しづらい ユーザーのタイプミスも記録してしまう (passeo[Back Space][Back Space]word ) ユーザーがどのフィールドにデータをタイプしたのかを判別しづらい 12 – 2002 Symantec Corporation, All Rights Reserved
Bank Trojan のステルス技術 Internet Explorer と協調して動作 FireWall はInternet Explorer の HTTP 通信をブロックしない (BHO, Inject, layered service provider) 他のプロセスに自分自身を注入する Rootkit はファイルを隠したり、セキュリティアプリケーションから見えなくする パケット通信を隠すRootkit もある 13 – 2002 Symantec Corporation, All Rights Reserved
通信の傍受 送信動作にフックをかけて通信を傍受する 他のアプリケーションに自分自身を注入する データが暗号化される前後はHTTPS 通信はセキュアではない 14 – 2002 Symantec Corporation, All Rights Reserved
気づかれずに自分自身のダウンロードや更新を行う Trojan は Windows FireWall の警告を閉じる Zone.Identifier 設定を削除する 自分自身を認証済みアプリケーションリストに登録する 15 – 2002 Symantec Corporation, All Rights Reserved
キーロギング 16 – 2002 Symantec Corporation, All Rights Reserved
キーロギング (2) 17 – 2002 Symantec Corporation, All Rights Reserved
コードの注入 タスクマネージャはプロセスの列挙をすることができる DLLの動作はタスクマネージャでは列挙されない もし IEXPLORE.EXE が loadlibraryを呼び出したら? VirtualAllocEx WriteProcessMemory GetProcAddress CreateRemoteThread 18 – 2002 Symantec Corporation, All Rights Reserved
BHO ブラウザヘルパーオブジェクトはInternet Explorer が動作開始するときに読み込まれる追加コンポーネント ブラウザヘルパーオブジェクトの動作はタスクマネージャでは確認できない 19 – 2002 Symantec Corporation, All Rights Reserved
BHO の読み込み どのようにして Internet Explorer はBHO を読み込み、初期化するのか 20 – 2002 Symantec Corporation, All Rights Reserved
BHO (2) 21 – 2002 Symantec Corporation, All Rights Reserved
通信の傍受 22 – 2002 Symantec Corporation, All Rights Reserved
Secure Socket Layer は安全か? Not Secure Pickup data Encrypt data 23 – 2002 Symantec Corporation, All Rights Reserved
通信の傍受 (2) 24 – 2002 Symantec Corporation, All Rights Reserved
通信の傍受 (3) 25 – 2002 Symantec Corporation, All Rights Reserved
通信の傍受 (4) 26 – 2002 Symantec Corporation, All Rights Reserved
通信の傍受 (5) DWebBrowserEvents2, IHTMLDocument2 Onmouseover ユーザが “A” をタイプしたことを検知するか “A” という文字が入力欄に書かれたということを検知するか Onsubmit 27 – 2002 Symantec Corporation, All Rights Reserved
サイレントダウンロード 28 – 2002 Symantec Corporation, All Rights Reserved
サイレント アップデート 29 – 2002 Symantec Corporation, All Rights Reserved
サイレント アップデート (2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List Value: ":*:Enabled:" 30 – 2002 Symantec Corporation, All Rights Reserved
パスワードの盗聴 31 – 2002 Symantec Corporation, All Rights Reserved
チャレンジ・レスポンス パスワード ユーザ名を送信 ユーザ名を送信 ランダムなチャレンジを送信 チャレンジを送信 チャレンジ・レスポンス パスワード ユーザ名を送信 ユーザ名を送信 ランダムなチャレンジを送信 チャレンジを送信 このチャレンジを使ってワンタイムパスワードを計算し、送信する ワンタイムパスワードの送信 通信許可 偽のエラーページを表示 送金指示 32 – 2002 Symantec Corporation, All Rights Reserved
Hiroshi Shinotsuka Hiroshi_Shintosuka@symantec.com ありがとうございました Hiroshi Shinotsuka Hiroshi_Shintosuka@symantec.com