Bank Trojan の進化 Nov 2005.

Slides:

Advertisements

Similar presentations

平成 16 年度第 2 回大垣市情報ボランティアスキルアップ研修会セキュリティについて 2004 年 5 月 29 日 NPO 法人パソコンまるごとアシスト河合修（情報セキュリティアドミニストレータ）

Advertisements

ファーストステップガイド ( 管理者向け）ナレッジスイート株式会社 Copyright (c) knowledgesuite inc. All rights reserved.1.

オープン＆ビッグデータ活用・地方創生推進機構事務局オープン＆ビッグデータ活用・地方創生推進機構評価版ツールの状況報告平成26年度第3回技術委員会資料3-1.

1 製品説明プレゼンテーション FortiAPの優位性プロダクトラインナップのご紹介プレゼンでソリューションの特長を伝えましょう.

1 Copyright © Japanese Nursing Association. All Rights Reserved. Copyright 2016, Japanese Nursing Association. 日本看護協会情報システム部会員情報課 2016年7月29日新会員情報管理（ナースシップ）

OWL-Sを用いたWebアプリケーションの検査と生成

システム案内.

NetAgent P2P検知技術 NetAgent.

メール暗号化：秘密鍵・公開鍵の作成　作業手順 Windows メール（Vista）.

情報基礎A 情報科学研究科徳山　豪.

The Perl Conference Japan ’98 朝日奈アンテナによるコンテンツ情報の取得と利用

（株）アライブネット RS事業部企画開発G 小田誠

Ad / Press Release Plan (Draft)

Knowledge Suite(ナレッジスイート）ファーストステップガイド (管理者向け）

SoftLayerポータルへの不正アクセス防止

IGD Working Committee Update

Zeusの動作解析 S08a1053 橋本　寛史.

GoNET ～ Ver 2.3 新機能紹介～ネットワーク接続制御アプライアンス 2013年11月リリース 2013年10月

第14回今日の目標 §４．３情報セキュリティー情報化社会の特徴を社会的な面から概観する情報に関わる危険の要因を示す

ネット時代のセキュリティ２（脅威の例）２ＳＫ　情報機器工学.

CGI Programming and Web Security

frSIP UC Platform オートプロビジョニングの仕組み

目次 NetViewの起動……………………………………………………………… 4

Web使用のファイル送受信システムの実験

Phenixサーバクラックまとめ.

「コンピュータと情報システム」 07章インターネットとセキュリティ

ネットワークコミュニケーションよく使われるアプリケーションＤＮＳ 7/5/07.

Al-Mailのインストールと使い方インストール –1 (pop-authの設定、Al-Mailのインストール用ファイルをダウンロード)

Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.

OSが乗っ取られた場合にも機能するファイルアクセス制御システム

於：県立中村高等学校同朋学園本部事務局河邊憲二

第５章情報セキュリティ（前半）［近代科学社刊］

第13回今日の目標 §４．３情報セキュリティー情報化社会の特徴を社会的な面から概観する情報に関わる危険の要因を示す

Windows Summit /8/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.

サーバ構成と運用ここから私林がサーバ構成と運用について話します.

情報コミュニケーション入門総合実習（１）基礎知識のポイント（２）

2009/07/03 理学院宇宙理学専攻博士後期課程 1 年山下達也

Windows 7 ウィルスバスターインストール方法ユーザーアカウント制御の設定変更ウィルスバスターのインストール

人工心肺ならびに補助循環に関するインシデント・アクシデントおよび安全に関するアンケート 2013についてのお願い

Windows Azure 仮想ネットワーク

第8章 Web技術とセキュリティ　　岡本　好未.

メールの利用１ Webメールの利用方法.

不正アクセス　　　　　　ーrootkitについてー　　　　　　　　　　　　　環境情報学部　　　　　　　　　　　　　３年　櫻井美帆.

2004年度情報システム構成論第4回ネットワークセキュリティ基礎

ネットワークアプリケーションとセキュリティ

特定ユーザーのみが利用可能な仮想プライベート・ネットワーク

仮想計算機を用いて OSを介さずに行う安全なファイルアクセス制御

Office 365 ユーザー登録方法平成29年3月.

インターネットにおける真にプライベートなネットワークの構築

セキュリティ 05A2013 大川内　斉.

Windows Vista ウィルスバスターインストール方法ユーザーアカウント制御の無効化ウィルスバスターのインストール

RD セッションホストにおける RDC クライアントのシングルサインオン (SSO) について

すぐできるBOOK －基本設定編－.

ＶＩＲＵＳ.

サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―

～第5回認証のためのプロキシー Web Application Proxy

日本郵便「Web-EDI」利用ガイド (JP EDIシステム)

Cisco Configuration Professional Express 3.3 アップデート

ファイルのアップロード HTMLファイルをWebサーバにアップロード名商大のWebサーバ(opinion.nucba.ac.jp)

コンピュータ　リテラシー担当教官　　河中.

バーチャルサーバー設定資料（管理者様用）

IDSとFirewallの連携によるネットワーク構築

Androidアプリの作成 07A1069 松永大樹.

LEAP初期登録マニュアル初期設定（初めてのログイン） P 2-3 パスワードの変更 P 4 パスワードを忘れたとき P 5-8

CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマバージョン対応)

マルウェアへの対策.

特定ユーザーのみが利用可能な仮想プライベート・ネットワーク

Cisco Umbrella セミナー第4回　Umbrella 設定概要.

VPNクライアント接続サーバー保守のための安全な経路＋作業者単位のアクセス制御簡単な図（網羅性より象徴性）

Presentation transcript:

Bank Trojan の進化 Nov 2005

Bank Trojan の脅威オンラインバンキングのユーザー名やパスワードを盗む PWSteal.JGinko は日本の銀行をターゲットする (Trojan-Spy.Win32.Banker.vt [Kaspersky Lab], PWS-Jginko [McAfee], TSPY_BANCOS.ANM [Trend Micro]) これらの Trojan は Internet Explorerと密接に動作する 2 – 2002 Symantec Corporation, All Rights Reserved

サンプル提出数の増加 Symantec は年間約200万件のサンプル提出を処理します。サンプルの提出数は増加傾向にあります。 Bank Trojan のサンプル提出数は増加傾向にあるのでしょうか？ 3 – 2002 Symantec Corporation, All Rights Reserved

PWSteal.Bancos 提出数の推移なぜ提出数が減少しているのでしょうか? 4 – 2002 Symantec Corporation, All Rights Reserved

Bancos 提出数と Symantec 全体の提出数 5 – 2002 Symantec Corporation, All Rights Reserved

サンプルの収集方法お客さんからのサンプル提出ハニーポット Web サイトの巡回(アドウェア、スパイウェア) ブライトメール掲示板 6 – 2002 Symantec Corporation, All Rights Reserved

日本の銀行対 Bank Trojan PWSteal.Bancos は当初ブラジルの銀行をターゲットにしていたその後ドイツの銀行やイギリスの銀行をターゲットに加えた PWSteal.Jginko は日本の銀行のみをターゲットにする PWSteal.Jginko は 27 ドメインを監視する PWSteal.Bancos.T は 2746 ドメインを監視する 7 – 2002 Symantec Corporation, All Rights Reserved

PWSteal.Jginko の監視するドメイン resonabank.anser.or.jp, btm.co.jp, ebank.co.jp japannetbank.co.jp, smbc.co.jp, yu-cho.japanpost.jp ufjbank.co.jp, mizuhobank.co.jp shinseibank.co.jp, iy-bank.co.jp shinkinbanking.com, shinkin-webfb-hokkaido.jp shinkin-webfb.jp 他　多数 8 – 2002 Symantec Corporation, All Rights Reserved

他のBank Trojanでは地方銀行も標的にしている 82bank.co.jp, akita-bank.co.jp all.rokin.or.jp, toyotrustbank.co.jp hyakugo.co.jp, chibabank.co.jp fukuibank.co.jp, gunmabank.co.jp hirogin.co.jp, hokugin.co.jp joyobank.co.jp, nishigin.co.jp 他　多数 9 – 2002 Symantec Corporation, All Rights Reserved

日本の銀行によって行われているセキュリティ対策ソフトウェアキーボード強固なパスワードチャレンジ・レスポンス認証フィッシングメール対策ログイン可能なIPアドレスの制限 SSL 10 – 2002 Symantec Corporation, All Rights Reserved

Bank Trojan が KeyLoggerより優れている点 KeyLogger.Trojan とはまったくの別物動作状況はタスクマネージャなどで確認できない情報送信の傍受ファイルのダウンロード動作は確認できない Trojan の更新動作は確認できない 11 – 2002 Symantec Corporation, All Rights Reserved

Bank Trojan は KeyLogger.Trojan とはまったくの別物古いタイプのキーロガーはキーストロークを記録し、その情報を送信します。どのアプリケーションをユーザーが使っているか判別しづらいユーザーのタイプミスも記録してしまう (passeo[Back Space][Back Space]word ) ユーザーがどのフィールドにデータをタイプしたのかを判別しづらい 12 – 2002 Symantec Corporation, All Rights Reserved

Bank Trojan のステルス技術 Internet Explorer と協調して動作 FireWall はInternet Explorer の HTTP 通信をブロックしない (BHO, Inject, layered service provider) 他のプロセスに自分自身を注入する Rootkit はファイルを隠したり、セキュリティアプリケーションから見えなくするパケット通信を隠すRootkit もある 13 – 2002 Symantec Corporation, All Rights Reserved

通信の傍受送信動作にフックをかけて通信を傍受する他のアプリケーションに自分自身を注入するデータが暗号化される前後はHTTPS 通信はセキュアではない 14 – 2002 Symantec Corporation, All Rights Reserved

気づかれずに自分自身のダウンロードや更新を行う Trojan は Windows FireWall の警告を閉じる Zone.Identifier 設定を削除する自分自身を認証済みアプリケーションリストに登録する 15 – 2002 Symantec Corporation, All Rights Reserved

キーロギング 16 – 2002 Symantec Corporation, All Rights Reserved

キーロギング (2) 17 – 2002 Symantec Corporation, All Rights Reserved

コードの注入タスクマネージャはプロセスの列挙をすることができる DLLの動作はタスクマネージャでは列挙されないもし IEXPLORE.EXE が loadlibraryを呼び出したら? VirtualAllocEx WriteProcessMemory GetProcAddress CreateRemoteThread 18 – 2002 Symantec Corporation, All Rights Reserved

BHO ブラウザヘルパーオブジェクトはInternet Explorer が動作開始するときに読み込まれる追加コンポーネントブラウザヘルパーオブジェクトの動作はタスクマネージャでは確認できない 19 – 2002 Symantec Corporation, All Rights Reserved

BHO の読み込みどのようにして Internet Explorer はBHO を読み込み、初期化するのか 20 – 2002 Symantec Corporation, All Rights Reserved

BHO (2) 21 – 2002 Symantec Corporation, All Rights Reserved

通信の傍受 22 – 2002 Symantec Corporation, All Rights Reserved

Secure Socket Layer は安全か? Not Secure Pickup data Encrypt data 23 – 2002 Symantec Corporation, All Rights Reserved

通信の傍受 (2) 24 – 2002 Symantec Corporation, All Rights Reserved

通信の傍受 (3) 25 – 2002 Symantec Corporation, All Rights Reserved

通信の傍受 (4) 26 – 2002 Symantec Corporation, All Rights Reserved

通信の傍受 (5) DWebBrowserEvents2, IHTMLDocument2 Onmouseover ユーザが “A” をタイプしたことを検知するか “A” という文字が入力欄に書かれたということを検知するか Onsubmit 27 – 2002 Symantec Corporation, All Rights Reserved

サイレントダウンロード 28 – 2002 Symantec Corporation, All Rights Reserved

サイレント　アップデート 29 – 2002 Symantec Corporation, All Rights Reserved

サイレント　アップデート (2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List Value: ":*:Enabled:" 30 – 2002 Symantec Corporation, All Rights Reserved

パスワードの盗聴 31 – 2002 Symantec Corporation, All Rights Reserved

チャレンジ・レスポンスパスワードユーザ名を送信ユーザ名を送信ランダムなチャレンジを送信チャレンジを送信チャレンジ・レスポンス　パスワードユーザ名を送信ユーザ名を送信ランダムなチャレンジを送信チャレンジを送信このチャレンジを使ってワンタイムパスワードを計算し、送信するワンタイムパスワードの送信通信許可偽のエラーページを表示送金指示 32 – 2002 Symantec Corporation, All Rights Reserved

Hiroshi Shinotsuka Hiroshi_Shintosuka@symantec.com ありがとうございました Hiroshi Shinotsuka Hiroshi_Shintosuka@symantec.com