Presentation is loading. Please wait.

Presentation is loading. Please wait.

Bank Trojan の進化 Nov 2005.

Published byさあしゃ とりこし Modified 約 7 年前

Similar presentations

Presentation on theme: "Bank Trojan の進化 Nov 2005."— Presentation transcript:

1 Bank Trojan の進化 Nov 2005

2 Bank Trojan の脅威 オンラインバンキングのユーザー名やパスワードを盗む
PWSteal.JGinko は日本の銀行をターゲットする (Trojan-Spy.Win32.Banker.vt [Kaspersky Lab], PWS-Jginko [McAfee], TSPY_BANCOS.ANM [Trend Micro]) これらの Trojan は Internet Explorerと密接に動作する 2 – 2002 Symantec Corporation, All Rights Reserved

3 サンプル提出数の増加 Symantec は年間 約200万件のサンプル提出を処理します。 サンプルの提出数は増加傾向にあります。
Bank Trojan のサンプル提出数は増加傾向にあるのでしょうか? 3 – 2002 Symantec Corporation, All Rights Reserved

4 PWSteal.Bancos 提出数の推移 なぜ提出数が減少しているのでしょうか?
4 – 2002 Symantec Corporation, All Rights Reserved

5 Bancos 提出数と Symantec 全体の提出数
5 – 2002 Symantec Corporation, All Rights Reserved

6 サンプルの収集方法 お客さんからのサンプル提出 ハニーポット Web サイトの巡回(アドウェア、スパイウェア) ブライトメール 掲示板
6 – 2002 Symantec Corporation, All Rights Reserved

7 日本の銀行 対 Bank Trojan PWSteal.Bancos は当初ブラジルの銀行をターゲットにしていた
その後ドイツの銀行やイギリスの銀行をターゲットに加えた PWSteal.Jginko は日本の銀行のみをターゲットにする PWSteal.Jginko は 27 ドメインを監視する PWSteal.Bancos.T は 2746 ドメインを監視する 7 – 2002 Symantec Corporation, All Rights Reserved

8 PWSteal.Jginko の監視するドメイン
resonabank.anser.or.jp, btm.co.jp, ebank.co.jp japannetbank.co.jp, smbc.co.jp, yu-cho.japanpost.jp ufjbank.co.jp, mizuhobank.co.jp shinseibank.co.jp, iy-bank.co.jp shinkinbanking.com, shinkin-webfb-hokkaido.jp shinkin-webfb.jp 他 多数 8 – 2002 Symantec Corporation, All Rights Reserved

9 他のBank Trojanでは地方銀行も標的にしている
82bank.co.jp, akita-bank.co.jp all.rokin.or.jp, toyotrustbank.co.jp hyakugo.co.jp, chibabank.co.jp fukuibank.co.jp, gunmabank.co.jp hirogin.co.jp, hokugin.co.jp joyobank.co.jp, nishigin.co.jp 他 多数 9 – 2002 Symantec Corporation, All Rights Reserved

10 日本の銀行によって行われているセキュリティ対策
ソフトウェアキーボード 強固なパスワード チャレンジ・レスポンス認証 フィッシングメール対策 ログイン可能なIPアドレスの制限 SSL 10 – 2002 Symantec Corporation, All Rights Reserved

11 Bank Trojan が KeyLoggerより優れている点
KeyLogger.Trojan とはまったくの別物 動作状況はタスクマネージャなどで確認できない 情報送信の傍受 ファイルのダウンロード動作は確認できない Trojan の更新動作は確認できない 11 – 2002 Symantec Corporation, All Rights Reserved

12 Bank Trojan は KeyLogger.Trojan とはまったくの別物
古いタイプのキーロガーはキーストロークを記録し、その情報を送信します。 どのアプリケーションをユーザーが使っているか判別しづらい ユーザーのタイプミスも記録してしまう (passeo[Back Space][Back Space]word ) ユーザーがどのフィールドにデータをタイプしたのかを判別しづらい 12 – 2002 Symantec Corporation, All Rights Reserved

13 Bank Trojan のステルス技術 Internet Explorer と協調して動作
FireWall はInternet Explorer の HTTP 通信をブロックしない (BHO, Inject, layered service provider) 他のプロセスに自分自身を注入する Rootkit はファイルを隠したり、セキュリティアプリケーションから見えなくする パケット通信を隠すRootkit もある 13 – 2002 Symantec Corporation, All Rights Reserved

14 通信の傍受 送信動作にフックをかけて通信を傍受する 他のアプリケーションに自分自身を注入する
データが暗号化される前後はHTTPS 通信はセキュアではない 14 – 2002 Symantec Corporation, All Rights Reserved

15 気づかれずに自分自身のダウンロードや更新を行う
Trojan は Windows FireWall の警告を閉じる Zone.Identifier 設定を削除する 自分自身を認証済みアプリケーションリストに登録する 15 – 2002 Symantec Corporation, All Rights Reserved

16 キーロギング 16 – 2002 Symantec Corporation, All Rights Reserved

17 キーロギング (2) 17 – 2002 Symantec Corporation, All Rights Reserved

18 コードの注入 タスクマネージャはプロセスの列挙をすることができる DLLの動作はタスクマネージャでは列挙されない
もし IEXPLORE.EXE が loadlibraryを呼び出したら? VirtualAllocEx WriteProcessMemory GetProcAddress CreateRemoteThread 18 – 2002 Symantec Corporation, All Rights Reserved

19 BHO ブラウザヘルパーオブジェクトはInternet Explorer が動作開始するときに読み込まれる追加コンポーネント
ブラウザヘルパーオブジェクトの動作はタスクマネージャでは確認できない 19 – 2002 Symantec Corporation, All Rights Reserved

20 BHO の読み込み どのようにして Internet Explorer はBHO を読み込み、初期化するのか
20 – 2002 Symantec Corporation, All Rights Reserved

21 BHO (2) 21 – 2002 Symantec Corporation, All Rights Reserved

22 通信の傍受 22 – 2002 Symantec Corporation, All Rights Reserved

23 Secure Socket Layer は安全か?
Not Secure Pickup data Encrypt data 23 – 2002 Symantec Corporation, All Rights Reserved

24 通信の傍受 (2) 24 – 2002 Symantec Corporation, All Rights Reserved

25 通信の傍受 (3) 25 – 2002 Symantec Corporation, All Rights Reserved

26 通信の傍受 (4) 26 – 2002 Symantec Corporation, All Rights Reserved

27 通信の傍受 (5) DWebBrowserEvents2, IHTMLDocument2 Onmouseover
ユーザが “A” をタイプしたことを検知するか “A” という文字が入力欄に書かれたということを検知するか Onsubmit 27 – 2002 Symantec Corporation, All Rights Reserved

28 サイレントダウンロード 28 – 2002 Symantec Corporation, All Rights Reserved

29 サイレント アップデート 29 – 2002 Symantec Corporation, All Rights Reserved

30 サイレント アップデート (2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List Value: ":*:Enabled:" 30 – 2002 Symantec Corporation, All Rights Reserved

31 パスワードの盗聴 31 – 2002 Symantec Corporation, All Rights Reserved

32 チャレンジ・レスポンス パスワード ユーザ名を送信 ユーザ名を送信 ランダムなチャレンジを送信 チャレンジを送信
チャレンジ・レスポンス パスワード ユーザ名を送信 ユーザ名を送信 ランダムなチャレンジを送信 チャレンジを送信 このチャレンジを使ってワンタイムパスワードを計算し、送信する ワンタイムパスワードの送信 通信許可 偽のエラーページを表示 送金指示 32 – 2002 Symantec Corporation, All Rights Reserved

33 Hiroshi Shinotsuka Hiroshi_Shintosuka@symantec.com
ありがとうございました Hiroshi Shinotsuka

Download ppt "Bank Trojan の進化 Nov 2005."

Similar presentations

平成 16 年度 第 2 回大垣市情報ボランティア スキルアップ研修会 セキュリティについて 2004 年 5 月 29 日 NPO 法人パソコンまるごとアシスト 河合 修 (情報セキュリティアドミニストレータ)

平成 16 年度 第 2 回大垣市情報ボランティア スキルアップ研修会 セキュリティについて 2004 年 5 月 29 日 NPO 法人パソコンまるごとアシスト 河合 修 (情報セキュリティアドミニストレータ)
ファーストステップガイド ( 管理者向け) ナレッジスイート株式会社 Copyright (c) 2006-2014 knowledgesuite inc. All rights reserved.1.

ファーストステップガイド ( 管理者向け) ナレッジスイート株式会社 Copyright (c) knowledgesuite inc. All rights reserved.1.
オープン&ビッグデータ活用・地方創生推進機構 事務局 オープン&ビッグデータ活用・地方創生推進機構 2015.03.03 評価版ツールの状況報告 平成26年度第3回 技術委員会 資料3-1.

オープン&ビッグデータ活用・地方創生推進機構 事務局 オープン&ビッグデータ活用・地方創生推進機構 評価版ツールの状況報告 平成26年度第3回 技術委員会 資料3-1.
1 製品説明 プレゼンテーション FortiAPの優位性 プロダクトラインナップのご紹介 プレゼンで ソリューションの特長を 伝えましょう.

1 製品説明 プレゼンテーション FortiAPの優位性 プロダクトラインナップのご紹介 プレゼンで ソリューションの特長を 伝えましょう.
1 Copyright © Japanese Nursing Association. All Rights Reserved. Copyright 2016, Japanese Nursing Association. 日本看護協会 情報システム部 会員情報課 2016年7月29日 新会員情報管理(ナースシップ)

1 Copyright © Japanese Nursing Association. All Rights Reserved. Copyright 2016, Japanese Nursing Association. 日本看護協会 情報システム部 会員情報課 2016年7月29日 新会員情報管理(ナースシップ)
OWL-Sを用いたWebアプリケーションの検査と生成

OWL-Sを用いたWebアプリケーションの検査と生成
システム案内.

システム案内.
NetAgent P2P検知技術 NetAgent.

NetAgent P2P検知技術 NetAgent.
Curlの特徴.

Curlの特徴.
メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).

メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).
情報基礎A 情報科学研究科 徳山 豪.

情報基礎A 情報科学研究科 徳山 豪.
The Perl Conference Japan ’98 朝日奈アンテナによる コンテンツ情報の取得と利用

The Perl Conference Japan ’98 朝日奈アンテナによる コンテンツ情報の取得と利用
(株)アライブネット RS事業部 企画開発G 小田 誠

(株)アライブネット RS事業部 企画開発G 小田 誠
Ad / Press Release Plan (Draft)

Ad / Press Release Plan (Draft)
Knowledge Suite(ナレッジスイート) ファーストステップガイド (管理者向け)

Knowledge Suite(ナレッジスイート) ファーストステップガイド (管理者向け)
SoftLayerポータルへの不正アクセス防止

SoftLayerポータルへの不正アクセス防止
IGD Working Committee Update

IGD Working Committee Update
Zeusの動作解析 S08a1053 橋本 寛史.

Zeusの動作解析 S08a1053 橋本 寛史.
GoNET ~ Ver 2.3 新機能紹介 ~ ネットワーク接続制御アプライアンス 2013年11月リリース 2013年10月

GoNET ~ Ver 2.3 新機能紹介 ~ ネットワーク接続制御アプライアンス 2013年11月リリース 2013年10月
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す

第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す

Similar presentations

Ads by Google