Upgrade to Pro — share decks privately, control downloads, hide ads and more …

[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか

Osumi, Yusuke
October 01, 2019
Technology
8
1.6k

[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか

ザック先生会 (2019/10/01)

@ozuma5119
ozuma5119@gmail.com
https://ozuma.hatenablog.jp/

Osumi, Yusuke

October 01, 2019
Tweet

More Decks by Osumi, Yusuke

See All by Osumi, Yusuke
本の紹介の補足
ozuma
1
340
gitサービス3兄弟
ozuma
0
350
簡体字は楽
ozuma
0
400
ソフトウェアは固定資産
ozuma
0
370
ASCIIコードの小話
ozuma
0
380
今いるディレクトリを消すとどうなる
ozuma
1
300
名前付きパイプ FIFO
ozuma
0
440
文章、作文技法 リモートワーク
ozuma
1
810
CentOSの今後のリリース(簡易説明)
ozuma
0
350

Other Decks in Technology

See All in Technology
Ruby on Railsで持続可能な開発を行うために取り組んでいること
am1157154
3
160
Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について
oracle4engineer
PRO
2
1.6k
クラウド食堂とは?
hiyanger
0
130
いまからでも遅くない!コンテナでWebアプリを動かしてみよう!コンテナハンズオン編
nomu
0
180
株式会社Awarefy(アウェアファイ)会社説明資料 / Awarefy-Company-Deck
awarefy
3
12k
LINE NEWSにおけるバックエンド開発
lycorptech_jp
PRO
0
350
Охота на косуль у древних
ashapiro
0
120
データベースの負荷を紐解く/untangle-the-database-load
emiki
2
550
フォーイット_エンジニア向け会社紹介資料_Forit_Company_Profile.pdf
forit_tech
1
1.7k
急成長する企業で作った、エンジニアが輝ける制度/ 20250227 Rinto Ikenoue
shift_evolve
0
350
Amazon Aurora のバージョンアップ手法について
smt7174
2
180
リクルートのエンジニア組織を下支えする 新卒の育成の仕組み
recruitengineers
PRO
2
160

Featured

See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
Building an army of robots
kneath
303
45k
Rebuilding a faster, lazier Slack
samanthasiow
80
8.9k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.5k
Optimizing for Happiness
mojombo
377
70k
Embracing the Ebb and Flow
colly
84
4.6k
RailsConf 2023
tenderlove
29
1k
Typedesign – Prime Four
hannesfritz
41
2.5k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Building Your Own Lightsaber
phodgson
104
6.2k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k

Transcript

  1. フィッシング詐欺と 如何に戦い、 そして如何にして勝つか ザック先生会 (2019/10/01) @ozuma5119 ozuma5119@gmail.com https://ozuma.hatenablog.jp/ 1 すみだセキュリティ勉強会

    主催

  2. Ecosystem 2 Phisher (Actor) PhishKit Creator PhishKit (zip) ① ②

    deploy Spammer ③ template Victim Botnet ④ template set & go! ⑤ ⑥ credential Info Phishing Site

  3. 3 Warming-Up time: Let's Play with PhishKit.

  4. Microsoft - login.live.com with e-mail type 4 https://mkoloss.cf/of/of/ab/index.php?email=test@example.com

  5. 5 https://mkoloss.cf/of/of/ab/ index.php?email=️‍ ♀️@❓.com

  6. 6 https://mkoloss.cf/of/of/ab/ index.php?email=<script>alert("XSS");</script>

  7. 7 最近の動向: Roaming Mantis Campaign

  8. "偽佐川急便" 8 • 2種のMalware • MoqHao/XLoader • FakeSpy SMS Phishing

    Site Android Malware

  9. 9 Really dangerous....

  10. 10 Contacts Info (Tel No.) Installed App Info

  11. "偽佐川" - 誰かが誰かにSmishing 11 compromised Androids Actorは (1)アドレス帳など各種情報を盗み取り (2)SMSの送受信、盗聴が無料で可能 Background

    App command Contacts Info (Tel No.) "Send SMS!" Phishing SMS Command & Control Server (C&C, C2) ??

  12. How to analyze .apk 1. apk is zipfile: just extract.

    2. convert dex to jar with dex2jar • AndroidはDalvik VM/Android Runtime(ART)。フツーの Java Hotspot VMとは違う 3. jarをJD-GUI/jadx等で逆コンパイル 4. 楽しい! 12

  13. MoqHaoを軽く見る - junk classes.dex 13

  14. stringsだけでも結構行ける 14 • SNS, blog等が1st C2 • 1st C2から 2nd

    C2へ • 暗号化/難読化 • Base64 Encode • DES/CBC

  15. Analysis of Android app. •unzip, dex2jar, jadx, JD-GUI •aapt/aapt2 -

    AndroidStudio tool. •Andro Guard • 良いらしい(使ったこと無い…) •AndroidKiller • 中国のエンジニアに チャットで教えて もらった • 百度アカウントが無いと downloadできない ので試してないが…… 良いらしい 15

  16. 16 PhishKit

  17. 無造作に拾えることが多い #opendir 17

  18. Many PhishKits are simpler than you think. 18 PhishKit

  19. Antibot System - IP, IP, IP! 19 Googlebotなど検索クローラや、セキュリティベンダを 避けていることが多い

  20. 20 こんなコード で大丈夫か?? 犯人のaddress

  21. Protestation •それは本当にPhisherのメールアドレスか? Zipを展開してからサーバ上で書き換えているの では? ↓↓↓ 大量のPhishKitを集めました。 状況証拠から、そのような事例は少ないと見て います。 21

  22. (非公開) • (非公開) 22

  23. (非公開) • (非公開) 23

  24. Possibility 24 Phishing Site of ProtonMail

  25. File timestamp 25 Phishing Site was created: 2nd Jun. 2019

  26. 26 PhishKit - Deep Insight

  27. 27 Phisher PhishKit Creator

  28. もうひとひねり 28

  29. 29 Kill Punish Phisher! (Under the Law)

  30. Phishing of PayPal Japan 30

  31. In the PhishKit... ZOHO Account! 31

  32. 32

  33. Abuse 33 通報 通報 通報 通報 通報 通報

  34. Victoryyyyyyyyyyyy!! 34

  35. Abuse Type •To: Registrar •Abuse Contact (Registrar MUST display e-

    mail, Defined by ICANN) • https://www.icann.org/resources/pages/abuse-2014-01- 29-en •To: Hosting, VPS, Cloud Server •IP Address => WHOIS => Tech-Contact or Admin-Contact 35

  36. Abuse Sample: IP Address 1/2 36

  37. Abuse Sample: IP Address 2/2 37

  38. 38 Omake - funny Phishing Sites

  39. Too Long URL 39

  40. 雑すぎ 40

  41. And more? 41 https://booth.pm/ja/items/1575413

  42. Thanks to •Twitter • @ninoseki -san • @papa_anniekey -san •

    @NaomiSuzuki_ -san • @KesaGataMe0 -san • @ActorExpose -san • @dave_daves -san 42