1 / 33

Bank Trojan の進化

Bank Trojan の進化. Nov 2005. Bank Trojan の脅威. オンラインバンキングのユーザー名やパスワードを盗む PWSteal.JGinko は日本の銀行をターゲットする (Trojan-Spy.Win32.Banker.vt [Kaspersky Lab], PWS-Jginko [McAfee], TSPY_BANCOS.ANM [Trend Micro]) これらの Trojan は Internet Explorer と密接に動作する. サンプル提出数の増加.

Download Presentation

Bank Trojan の進化

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Bank Trojan の進化 Nov 2005

  2. Bank Trojan の脅威 • オンラインバンキングのユーザー名やパスワードを盗む • PWSteal.JGinko は日本の銀行をターゲットする (Trojan-Spy.Win32.Banker.vt [Kaspersky Lab], PWS-Jginko [McAfee], TSPY_BANCOS.ANM [Trend Micro]) • これらの Trojan は Internet Explorerと密接に動作する

  3. サンプル提出数の増加 • Symantec は年間 約200万件のサンプル提出を処理します。 • サンプルの提出数は増加傾向にあります。 • Bank Trojan のサンプル提出数は増加傾向にあるのでしょうか?

  4. PWSteal.Bancos 提出数の推移 • なぜ提出数が減少しているのでしょうか?

  5. Bancos 提出数と Symantec 全体の提出数

  6. サンプルの収集方法 • お客さんからのサンプル提出 • ハニーポット • Web サイトの巡回(アドウェア、スパイウェア) • ブライトメール • 掲示板

  7. 日本の銀行 対 Bank Trojan • PWSteal.Bancos は当初ブラジルの銀行をターゲットにしていた • その後ドイツの銀行やイギリスの銀行をターゲットに加えた • PWSteal.Jginko は日本の銀行のみをターゲットにする • PWSteal.Jginko は 27 ドメインを監視する • PWSteal.Bancos.T は 2746 ドメインを監視する

  8. PWSteal.Jginko の監視するドメイン • resonabank.anser.or.jp, btm.co.jp, ebank.co.jp • japannetbank.co.jp, smbc.co.jp, yu-cho.japanpost.jp • ufjbank.co.jp, mizuhobank.co.jp • shinseibank.co.jp, iy-bank.co.jp • shinkinbanking.com, shinkin-webfb-hokkaido.jp • shinkin-webfb.jp • 他 多数

  9. 他のBank Trojanでは地方銀行も標的にしている • 82bank.co.jp, akita-bank.co.jp • all.rokin.or.jp, toyotrustbank.co.jp • hyakugo.co.jp, chibabank.co.jp • fukuibank.co.jp, gunmabank.co.jp • hirogin.co.jp, hokugin.co.jp • joyobank.co.jp, nishigin.co.jp • 他 多数

  10. 日本の銀行によって行われているセキュリティ対策日本の銀行によって行われているセキュリティ対策 • ソフトウェアキーボード • 強固なパスワード • チャレンジ・レスポンス認証 • フィッシングメール対策 • ログイン可能なIPアドレスの制限 • SSL

  11. Bank Trojan が KeyLoggerより優れている点 • KeyLogger.Trojan とはまったくの別物 • 動作状況はタスクマネージャなどで確認できない • 情報送信の傍受 • ファイルのダウンロード動作は確認できない • Trojan の更新動作は確認できない

  12. Bank Trojan は KeyLogger.Trojan とはまったくの別物 • 古いタイプのキーロガーはキーストロークを記録し、その情報を送信します。 • どのアプリケーションをユーザーが使っているか判別しづらい • ユーザーのタイプミスも記録してしまう (passeo[Back Space][Back Space]word ) • ユーザーがどのフィールドにデータをタイプしたのかを判別しづらい

  13. Bank Trojan のステルス技術 • Internet Explorer と協調して動作 • FireWall はInternet Explorer の HTTP 通信をブロックしない (BHO, Inject, layered service provider) • 他のプロセスに自分自身を注入する • Rootkit はファイルを隠したり、セキュリティアプリケーションから見えなくする • パケット通信を隠すRootkit もある

  14. 通信の傍受 • 送信動作にフックをかけて通信を傍受する • 他のアプリケーションに自分自身を注入する • データが暗号化される前後はHTTPS 通信はセキュアではない

  15. 気づかれずに自分自身のダウンロードや更新を行う気づかれずに自分自身のダウンロードや更新を行う • Trojan は Windows FireWall の警告を閉じる • Zone.Identifier 設定を削除する • 自分自身を認証済みアプリケーションリストに登録する

  16. キーロギング

  17. キーロギング (2)

  18. コードの注入 • タスクマネージャはプロセスの列挙をすることができる • DLLの動作はタスクマネージャでは列挙されない • もし IEXPLORE.EXE が loadlibraryを呼び出したら? • VirtualAllocEx • WriteProcessMemory • GetProcAddress • CreateRemoteThread

  19. BHO • ブラウザヘルパーオブジェクトはInternet Explorer が動作開始するときに読み込まれる追加コンポーネント • ブラウザヘルパーオブジェクトがデータの送信を行うと、 Internet Explorer がデータの送信を行ったように見える • ブラウザヘルパーオブジェクトの動作はタスクマネージャでは確認できない

  20. BHO の読み込み • どのようにして Internet Explorer はBHO を読み込み、初期化するのか

  21. BHO (2)

  22. 通信の傍受

  23. Secure Socket Layer は安全か? Secure Not Secure Pickup data Encrypt data

  24. 通信の傍受 (2)

  25. 通信の傍受 (3)

  26. 通信の傍受 (4)

  27. 通信の傍受 (5) • DWebBrowserEvents2, IHTMLDocument2 • Onmouseover • ユーザが “A” をタイプしたことを検知するか “A” という文字が入力欄に書かれたということを検知するか • Onsubmit

  28. サイレントダウンロード

  29. サイレント アップデート

  30. サイレント アップデート (2) • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List • Value: ":*:Enabled:"

  31. パスワードの盗聴

  32. チャレンジ・レスポンス パスワード ユーザ名を送信 ユーザ名を送信 ランダムなチャレンジを送信 チャレンジを送信 このチャレンジを使ってワンタイムパスワードを計算し、送信する ワンタイムパスワードの送信 通信許可 偽のエラーページを表示 送金指示

  33. ありがとうございました Hiroshi Shinotsuka Hiroshi_Shintosuka@symantec.com

More Related