Download presentation
Presentation is loading. Please wait.
1
Bank Trojan の進化 Nov 2005
2
Bank Trojan の脅威 オンラインバンキングのユーザー名やパスワードを盗む
PWSteal.JGinko は日本の銀行をターゲットする (Trojan-Spy.Win32.Banker.vt [Kaspersky Lab], PWS-Jginko [McAfee], TSPY_BANCOS.ANM [Trend Micro]) これらの Trojan は Internet Explorerと密接に動作する 2 – 2002 Symantec Corporation, All Rights Reserved
3
サンプル提出数の増加 Symantec は年間 約200万件のサンプル提出を処理します。 サンプルの提出数は増加傾向にあります。
Bank Trojan のサンプル提出数は増加傾向にあるのでしょうか? 3 – 2002 Symantec Corporation, All Rights Reserved
4
PWSteal.Bancos 提出数の推移 なぜ提出数が減少しているのでしょうか?
4 – 2002 Symantec Corporation, All Rights Reserved
5
Bancos 提出数と Symantec 全体の提出数
5 – 2002 Symantec Corporation, All Rights Reserved
6
サンプルの収集方法 お客さんからのサンプル提出 ハニーポット Web サイトの巡回(アドウェア、スパイウェア) ブライトメール 掲示板
6 – 2002 Symantec Corporation, All Rights Reserved
7
日本の銀行 対 Bank Trojan PWSteal.Bancos は当初ブラジルの銀行をターゲットにしていた
その後ドイツの銀行やイギリスの銀行をターゲットに加えた PWSteal.Jginko は日本の銀行のみをターゲットにする PWSteal.Jginko は 27 ドメインを監視する PWSteal.Bancos.T は 2746 ドメインを監視する 7 – 2002 Symantec Corporation, All Rights Reserved
8
PWSteal.Jginko の監視するドメイン
resonabank.anser.or.jp, btm.co.jp, ebank.co.jp japannetbank.co.jp, smbc.co.jp, yu-cho.japanpost.jp ufjbank.co.jp, mizuhobank.co.jp shinseibank.co.jp, iy-bank.co.jp shinkinbanking.com, shinkin-webfb-hokkaido.jp shinkin-webfb.jp 他 多数 8 – 2002 Symantec Corporation, All Rights Reserved
9
他のBank Trojanでは地方銀行も標的にしている
82bank.co.jp, akita-bank.co.jp all.rokin.or.jp, toyotrustbank.co.jp hyakugo.co.jp, chibabank.co.jp fukuibank.co.jp, gunmabank.co.jp hirogin.co.jp, hokugin.co.jp joyobank.co.jp, nishigin.co.jp 他 多数 9 – 2002 Symantec Corporation, All Rights Reserved
10
日本の銀行によって行われているセキュリティ対策
ソフトウェアキーボード 強固なパスワード チャレンジ・レスポンス認証 フィッシングメール対策 ログイン可能なIPアドレスの制限 SSL 10 – 2002 Symantec Corporation, All Rights Reserved
11
Bank Trojan が KeyLoggerより優れている点
KeyLogger.Trojan とはまったくの別物 動作状況はタスクマネージャなどで確認できない 情報送信の傍受 ファイルのダウンロード動作は確認できない Trojan の更新動作は確認できない 11 – 2002 Symantec Corporation, All Rights Reserved
12
Bank Trojan は KeyLogger.Trojan とはまったくの別物
古いタイプのキーロガーはキーストロークを記録し、その情報を送信します。 どのアプリケーションをユーザーが使っているか判別しづらい ユーザーのタイプミスも記録してしまう (passeo[Back Space][Back Space]word ) ユーザーがどのフィールドにデータをタイプしたのかを判別しづらい 12 – 2002 Symantec Corporation, All Rights Reserved
13
Bank Trojan のステルス技術 Internet Explorer と協調して動作
FireWall はInternet Explorer の HTTP 通信をブロックしない (BHO, Inject, layered service provider) 他のプロセスに自分自身を注入する Rootkit はファイルを隠したり、セキュリティアプリケーションから見えなくする パケット通信を隠すRootkit もある 13 – 2002 Symantec Corporation, All Rights Reserved
14
通信の傍受 送信動作にフックをかけて通信を傍受する 他のアプリケーションに自分自身を注入する
データが暗号化される前後はHTTPS 通信はセキュアではない 14 – 2002 Symantec Corporation, All Rights Reserved
15
気づかれずに自分自身のダウンロードや更新を行う
Trojan は Windows FireWall の警告を閉じる Zone.Identifier 設定を削除する 自分自身を認証済みアプリケーションリストに登録する 15 – 2002 Symantec Corporation, All Rights Reserved
16
キーロギング 16 – 2002 Symantec Corporation, All Rights Reserved
17
キーロギング (2) 17 – 2002 Symantec Corporation, All Rights Reserved
18
コードの注入 タスクマネージャはプロセスの列挙をすることができる DLLの動作はタスクマネージャでは列挙されない
もし IEXPLORE.EXE が loadlibraryを呼び出したら? VirtualAllocEx WriteProcessMemory GetProcAddress CreateRemoteThread 18 – 2002 Symantec Corporation, All Rights Reserved
19
BHO ブラウザヘルパーオブジェクトはInternet Explorer が動作開始するときに読み込まれる追加コンポーネント
ブラウザヘルパーオブジェクトの動作はタスクマネージャでは確認できない 19 – 2002 Symantec Corporation, All Rights Reserved
20
BHO の読み込み どのようにして Internet Explorer はBHO を読み込み、初期化するのか
20 – 2002 Symantec Corporation, All Rights Reserved
21
BHO (2) 21 – 2002 Symantec Corporation, All Rights Reserved
22
通信の傍受 22 – 2002 Symantec Corporation, All Rights Reserved
23
Secure Socket Layer は安全か?
Not Secure Pickup data Encrypt data 23 – 2002 Symantec Corporation, All Rights Reserved
24
通信の傍受 (2) 24 – 2002 Symantec Corporation, All Rights Reserved
25
通信の傍受 (3) 25 – 2002 Symantec Corporation, All Rights Reserved
26
通信の傍受 (4) 26 – 2002 Symantec Corporation, All Rights Reserved
27
通信の傍受 (5) DWebBrowserEvents2, IHTMLDocument2 Onmouseover
ユーザが “A” をタイプしたことを検知するか “A” という文字が入力欄に書かれたということを検知するか Onsubmit 27 – 2002 Symantec Corporation, All Rights Reserved
28
サイレントダウンロード 28 – 2002 Symantec Corporation, All Rights Reserved
29
サイレント アップデート 29 – 2002 Symantec Corporation, All Rights Reserved
30
サイレント アップデート (2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List Value: ":*:Enabled:" 30 – 2002 Symantec Corporation, All Rights Reserved
31
パスワードの盗聴 31 – 2002 Symantec Corporation, All Rights Reserved
32
チャレンジ・レスポンス パスワード ユーザ名を送信 ユーザ名を送信 ランダムなチャレンジを送信 チャレンジを送信
チャレンジ・レスポンス パスワード ユーザ名を送信 ユーザ名を送信 ランダムなチャレンジを送信 チャレンジを送信 このチャレンジを使ってワンタイムパスワードを計算し、送信する ワンタイムパスワードの送信 通信許可 偽のエラーページを表示 送金指示 32 – 2002 Symantec Corporation, All Rights Reserved
33
Hiroshi Shinotsuka Hiroshi_Shintosuka@symantec.com
ありがとうございました Hiroshi Shinotsuka
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.