Download presentation
Presentation is loading. Please wait.
1
Zeusの動作解析 S08a1053 橋本 寛史
2
トロイの木馬とは データを削除 ファイルを外部へ流失させる ほかのコンピュータへ攻撃させる いつでも制御できるようにバックドアを作成する
正規のプログラムに扮してコンピュータに侵入 そのファイルを実行してしまったら? データを削除 ファイルを外部へ流失させる ほかのコンピュータへ攻撃させる いつでも制御できるようにバックドアを作成する まずトロイの木馬ということに関して説明します。 なぜかというと、Zeusというのはトロイの木馬の一種であるからです。 トロイの木馬というのは正規のプログラムと偽り侵入してきます。 そしてその侵入してきたトロイの木馬を実行しまうと (ry
3
ボットネットについて 攻撃者 C&Cサーバ ソンビPC ソンビPC ソンビPC
このゾンビPCとC&Cサーバ間の通信は定期的に行っている。=ボットネット ソンビPC ソンビPC ソンビPC
4
Zeusとは おもな標的は銀行(財務)系データを盗むトロイの木馬 日本では目立った活動が行われてはいない ZBOTとウィルスを使用する
特徴 おもな標的は銀行(財務)系データを盗むトロイの木馬 日本では目立った活動が行われてはいない ZBOTとウィルスを使用する 感染させたパソコンを攻撃者から遠隔操作できる。 感染してしまうと、ほかのZeus攻撃者へ情報がわたってしまいさらにほかのボットネットに組み込みこませる。 ツールキットをカスタマイズすることでどのような情報でも得ることができる。
5
マニュアルに書いてあるできること の一部 悪意あるプログラムを勝手にダウンロードする 実行中のプロセスへの動作に影響
レジストリの設定を勝手に変更 通信中のページデータの入手 特定URLからのアクセスを一時ブロック リアルタイムでデスクトップのスクリーンショットをとる Natやwirewallへの対応 etc…
6
起動時の動き・パケットキャプチャ 起動時の画面 起動には失敗!! パケットキャプチャ 起動時、気になる通信を発見
起動に関してはwindowsのみ 起動にあたって古いパソコンでかつ 一応セキュリティソフトもインストール済みです。 起動時、気になる通信を発見
7
あやしい通信について 2秒毎にパケットを発信し続けている ※これはキャプチャーしている間 途切れることなく発信していた。
※これはキャプチャーしている間 途切れることなく発信していた。 気になるところとはこの2秒ごとにプロトコルはUDPでパケット発信されているところです 送信先IPアドレスの調査不明 i.e. pingやtracerouteで調査したが結果は帰ってこなかった DNSBL=DNSブラックリスト どの情報を平文として流されていたのか? 自分のパソコンのニックネームを継続的に送信していた。 セキュリティソフトを通してみると1件のマルウェア。1件のアドウェアが検出されました。 調査した結果この送信先IPアドレスはDNSBLへ、登録されている。
8
まとめ Zeusの起動には失敗してしまった。 起動時パケット通信をキャプチャーをした。 キャプチャーした中に怪しい通信を発見
キャプチャーした中に怪しい通信を発見 通信先のDNSは問題がある可能性が高い
9
ご静聴ありがとうございました。
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.