Bank Trojan の進化 Nov 2005.

Slides:



Advertisements
Similar presentations
平成 16 年度 第 2 回大垣市情報ボランティア スキルアップ研修会 セキュリティについて 2004 年 5 月 29 日 NPO 法人パソコンまるごとアシスト 河合 修 (情報セキュリティアドミニストレータ)
Advertisements

ファーストステップガイド ( 管理者向け) ナレッジスイート株式会社 Copyright (c) knowledgesuite inc. All rights reserved.1.
オープン&ビッグデータ活用・地方創生推進機構 事務局 オープン&ビッグデータ活用・地方創生推進機構 評価版ツールの状況報告 平成26年度第3回 技術委員会 資料3-1.
1 製品説明 プレゼンテーション FortiAPの優位性 プロダクトラインナップのご紹介 プレゼンで ソリューションの特長を 伝えましょう.
1 Copyright © Japanese Nursing Association. All Rights Reserved. Copyright 2016, Japanese Nursing Association. 日本看護協会 情報システム部 会員情報課 2016年7月29日 新会員情報管理(ナースシップ)
OWL-Sを用いたWebアプリケーションの検査と生成
システム案内.
NetAgent P2P検知技術 NetAgent.
Curlの特徴.
メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).
情報基礎A 情報科学研究科 徳山 豪.
The Perl Conference Japan ’98 朝日奈アンテナによる コンテンツ情報の取得と利用
(株)アライブネット RS事業部 企画開発G 小田 誠
Ad / Press Release Plan (Draft)
Knowledge Suite(ナレッジスイート) ファーストステップガイド (管理者向け)
SoftLayerポータルへの不正アクセス防止
IGD Working Committee Update
Zeusの動作解析 S08a1053 橋本 寛史.
GoNET ~ Ver 2.3 新機能紹介 ~ ネットワーク接続制御アプライアンス 2013年11月リリース 2013年10月
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
CGI Programming and Web Security
frSIP UC Platform オートプロビジョニングの仕組み
目次 NetViewの起動……………………………………………………………… 4
Web使用のファイル送受信システムの実験
Phenixサーバ クラックまとめ.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
ネットワークコミュニケーション よく使われるアプリケーション DNS 7/5/07.
Al-Mailのインストールと使い方 インストール –1 (pop-authの設定、Al-Mailのインストール用ファイルをダウンロード)
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
OSが乗っ取られた場合にも機能するファイルアクセス制御システム
於:県立中村高等学校 同朋学園本部事務局 河邊憲二
第5章 情報セキュリティ(前半) [近代科学社刊]
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
Windows Summit /8/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
サーバ構成と運用 ここから私林がサーバ構成と運用について話します.
情報コミュニケーション入門 総合実習(1) 基礎知識のポイント(2)
2009/07/03 理学院宇宙理学専攻 博士後期課程 1 年 山下 達也
Windows 7 ウィルスバスターインストール方法 ユーザーアカウント制御の設定変更 ウィルスバスターのインストール
人工心肺ならびに補助循環に関する インシデント・アクシデントおよび 安全に関するアンケート 2013についてのお願い
Windows Azure 仮想ネットワーク
第8章 Web技術とセキュリティ   岡本 好未.
メールの利用1 Webメールの利用方法.
不正アクセス       ーrootkitについてー              環境情報学部              3年 櫻井美帆.
2004年度 情報システム構成論 第4回 ネットワークセキュリティ基礎
ネットワークアプリケーションと セキュリティ
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
仮想計算機を用いて OSを介さずに行う安全な ファイルアクセス制御
Office 365 ユーザー登録方法 平成29年3月.
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
Windows Vista ウィルスバスターインストール方法 ユーザーアカウント制御の無効化 ウィルスバスターのインストール
RD セッション ホストにおける RDC クライアントの シングル サインオン (SSO) について
すぐできるBOOK -基本設定編-.
VIRUS.
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
~ 第5回 認証のためのプロキシー Web Application Proxy
日本郵便 「Web-EDI」利用ガイド (JP EDIシステム)
Cisco Configuration Professional Express 3.3 アップデート
ファイルのアップロード HTMLファイルをWebサーバにアップロード 名商大のWebサーバ(opinion.nucba.ac.jp)
コンピュータ リテラシー 担当教官  河中.
バーチャルサーバー設定資料 (管理者様用)
IDSとFirewallの連携によるネットワーク構築
Androidアプリの作成 07A1069 松永大樹.
LEAP初期登録マニュアル 初期設定(初めてのログイン) P 2-3 パスワードの変更 P 4 パスワードを忘れたとき P 5-8
CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマ バージョン 対応)
マルウェアへの対策.
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
Cisco Umbrella セミナー 第4回 Umbrella 設定概要.
VPNクライアント接続 サーバー保守のための安全な経路+作業者単位のアクセス制御 簡単な図 (網羅性より象徴性)
Presentation transcript:

Bank Trojan の進化 Nov 2005

Bank Trojan の脅威 オンラインバンキングのユーザー名やパスワードを盗む PWSteal.JGinko は日本の銀行をターゲットする (Trojan-Spy.Win32.Banker.vt [Kaspersky Lab], PWS-Jginko [McAfee], TSPY_BANCOS.ANM [Trend Micro]) これらの Trojan は Internet Explorerと密接に動作する 2 – 2002 Symantec Corporation, All Rights Reserved

サンプル提出数の増加 Symantec は年間 約200万件のサンプル提出を処理します。 サンプルの提出数は増加傾向にあります。 Bank Trojan のサンプル提出数は増加傾向にあるのでしょうか? 3 – 2002 Symantec Corporation, All Rights Reserved

PWSteal.Bancos 提出数の推移 なぜ提出数が減少しているのでしょうか? 4 – 2002 Symantec Corporation, All Rights Reserved

Bancos 提出数と Symantec 全体の提出数 5 – 2002 Symantec Corporation, All Rights Reserved

サンプルの収集方法 お客さんからのサンプル提出 ハニーポット Web サイトの巡回(アドウェア、スパイウェア) ブライトメール 掲示板 6 – 2002 Symantec Corporation, All Rights Reserved

日本の銀行 対 Bank Trojan PWSteal.Bancos は当初ブラジルの銀行をターゲットにしていた その後ドイツの銀行やイギリスの銀行をターゲットに加えた PWSteal.Jginko は日本の銀行のみをターゲットにする PWSteal.Jginko は 27 ドメインを監視する PWSteal.Bancos.T は 2746 ドメインを監視する 7 – 2002 Symantec Corporation, All Rights Reserved

PWSteal.Jginko の監視するドメイン resonabank.anser.or.jp, btm.co.jp, ebank.co.jp japannetbank.co.jp, smbc.co.jp, yu-cho.japanpost.jp ufjbank.co.jp, mizuhobank.co.jp shinseibank.co.jp, iy-bank.co.jp shinkinbanking.com, shinkin-webfb-hokkaido.jp shinkin-webfb.jp 他 多数 8 – 2002 Symantec Corporation, All Rights Reserved

他のBank Trojanでは地方銀行も標的にしている 82bank.co.jp, akita-bank.co.jp all.rokin.or.jp, toyotrustbank.co.jp hyakugo.co.jp, chibabank.co.jp fukuibank.co.jp, gunmabank.co.jp hirogin.co.jp, hokugin.co.jp joyobank.co.jp, nishigin.co.jp 他 多数 9 – 2002 Symantec Corporation, All Rights Reserved

日本の銀行によって行われているセキュリティ対策 ソフトウェアキーボード 強固なパスワード チャレンジ・レスポンス認証 フィッシングメール対策 ログイン可能なIPアドレスの制限 SSL 10 – 2002 Symantec Corporation, All Rights Reserved

Bank Trojan が KeyLoggerより優れている点 KeyLogger.Trojan とはまったくの別物 動作状況はタスクマネージャなどで確認できない 情報送信の傍受 ファイルのダウンロード動作は確認できない Trojan の更新動作は確認できない 11 – 2002 Symantec Corporation, All Rights Reserved

Bank Trojan は KeyLogger.Trojan とはまったくの別物 古いタイプのキーロガーはキーストロークを記録し、その情報を送信します。 どのアプリケーションをユーザーが使っているか判別しづらい ユーザーのタイプミスも記録してしまう (passeo[Back Space][Back Space]word ) ユーザーがどのフィールドにデータをタイプしたのかを判別しづらい 12 – 2002 Symantec Corporation, All Rights Reserved

Bank Trojan のステルス技術 Internet Explorer と協調して動作 FireWall はInternet Explorer の HTTP 通信をブロックしない (BHO, Inject, layered service provider) 他のプロセスに自分自身を注入する Rootkit はファイルを隠したり、セキュリティアプリケーションから見えなくする パケット通信を隠すRootkit もある 13 – 2002 Symantec Corporation, All Rights Reserved

通信の傍受 送信動作にフックをかけて通信を傍受する 他のアプリケーションに自分自身を注入する データが暗号化される前後はHTTPS 通信はセキュアではない 14 – 2002 Symantec Corporation, All Rights Reserved

気づかれずに自分自身のダウンロードや更新を行う Trojan は Windows FireWall の警告を閉じる Zone.Identifier 設定を削除する 自分自身を認証済みアプリケーションリストに登録する 15 – 2002 Symantec Corporation, All Rights Reserved

キーロギング 16 – 2002 Symantec Corporation, All Rights Reserved

キーロギング (2) 17 – 2002 Symantec Corporation, All Rights Reserved

コードの注入 タスクマネージャはプロセスの列挙をすることができる DLLの動作はタスクマネージャでは列挙されない もし IEXPLORE.EXE が loadlibraryを呼び出したら? VirtualAllocEx WriteProcessMemory GetProcAddress CreateRemoteThread 18 – 2002 Symantec Corporation, All Rights Reserved

BHO ブラウザヘルパーオブジェクトはInternet Explorer が動作開始するときに読み込まれる追加コンポーネント ブラウザヘルパーオブジェクトの動作はタスクマネージャでは確認できない 19 – 2002 Symantec Corporation, All Rights Reserved

BHO の読み込み どのようにして Internet Explorer はBHO を読み込み、初期化するのか 20 – 2002 Symantec Corporation, All Rights Reserved

BHO (2) 21 – 2002 Symantec Corporation, All Rights Reserved

通信の傍受 22 – 2002 Symantec Corporation, All Rights Reserved

Secure Socket Layer は安全か? Not Secure Pickup data Encrypt data 23 – 2002 Symantec Corporation, All Rights Reserved

通信の傍受 (2) 24 – 2002 Symantec Corporation, All Rights Reserved

通信の傍受 (3) 25 – 2002 Symantec Corporation, All Rights Reserved

通信の傍受 (4) 26 – 2002 Symantec Corporation, All Rights Reserved

通信の傍受 (5) DWebBrowserEvents2, IHTMLDocument2 Onmouseover ユーザが “A” をタイプしたことを検知するか “A” という文字が入力欄に書かれたということを検知するか Onsubmit 27 – 2002 Symantec Corporation, All Rights Reserved

サイレントダウンロード 28 – 2002 Symantec Corporation, All Rights Reserved

サイレント アップデート 29 – 2002 Symantec Corporation, All Rights Reserved

サイレント アップデート (2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List Value: ":*:Enabled:" 30 – 2002 Symantec Corporation, All Rights Reserved

パスワードの盗聴 31 – 2002 Symantec Corporation, All Rights Reserved

チャレンジ・レスポンス パスワード ユーザ名を送信 ユーザ名を送信 ランダムなチャレンジを送信 チャレンジを送信 チャレンジ・レスポンス パスワード ユーザ名を送信 ユーザ名を送信 ランダムなチャレンジを送信 チャレンジを送信 このチャレンジを使ってワンタイムパスワードを計算し、送信する ワンタイムパスワードの送信 通信許可 偽のエラーページを表示 送金指示 32 – 2002 Symantec Corporation, All Rights Reserved

Hiroshi Shinotsuka Hiroshi_Shintosuka@symantec.com ありがとうございました Hiroshi Shinotsuka Hiroshi_Shintosuka@symantec.com