Upgrade to Pro — share decks privately, control downloads, hide ads and more …

[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか

Osumi, Yusuke
October 01, 2019
Technology
8
1.5k

[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか

ザック先生会 (2019/10/01)

@ozuma5119
[email protected]
https://ozuma.hatenablog.jp/

Osumi, Yusuke

October 01, 2019
Tweet

More Decks by Osumi, Yusuke

See All by Osumi, Yusuke
本の紹介の補足
ozuma
1
320
gitサービス3兄弟
ozuma
0
330
簡体字は楽
ozuma
0
390
ソフトウェアは固定資産
ozuma
0
350
ASCIIコードの小話
ozuma
0
360
今いるディレクトリを消すとどうなる
ozuma
1
280
名前付きパイプ FIFO
ozuma
0
410
文章、作文技法 リモートワーク
ozuma
1
780
CentOSの今後のリリース(簡易説明)
ozuma
0
330

Other Decks in Technology

See All in Technology
成果を出しながら成長する、アウトプット駆動のキャッチアップ術 / Output-driven catch-up techniques to grow while producing results
aiandrox
0
180
レンジャーシステムズ | 会社紹介(採用ピッチ)
rssytems
0
150
権威ドキュメントで振り返る2024 #年忘れセキュリティ2024
hirotomotaguchi
2
730
LINE Developersプロダクト(LIFF/LINE Login)におけるフロントエンド開発
lycorptech_jp
PRO
0
120
新機能VPCリソースエンドポイント機能検証から得られた考察
duelist2020jp
0
210
KubeCon NA 2024 Recap: How to Move from Ingress to Gateway API with Minimal Hassle
ysakotch
0
200
OpenAIの蒸留機能(Model Distillation)を使用して運用中のLLMのコストを削減する取り組み
pharma_x_tech
4
550
ゼロから創る横断SREチーム 挑戦と進化の軌跡
rvirus0817
2
260
Snykで始めるセキュリティ担当者とSREと開発者が楽になる脆弱性対応 / Getting started with Snyk Vulnerability Response
yamaguchitk333
2
180
生成AIをより賢く エンジニアのための RAG入門 - Oracle AI Jam Session #20
kutsushitaneko
4
220
NilAway による静的解析で「10 億ドル」を節約する #kyotogo / Kyoto Go 56th
ytaka23
3
370
5分でわかるDuckDB
chanyou0311
10
3.2k

Featured

See All Featured
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
2
170
Bash Introduction
62gerente
608
210k
Optimizing for Happiness
mojombo
376
70k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
A Philosophy of Restraint
colly
203
16k
Site-Speed That Sticks
csswizardry
2
190
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
44
9.3k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
5
440
XXLCSS - How to scale CSS and keep your sanity
sugarenia
247
1.3M
How to train your dragon (web standard)
notwaldorf
88
5.7k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
How To Stay Up To Date on Web Technology
chriscoyier
789
250k

Transcript

  1. フィッシング詐欺と 如何に戦い、 そして如何にして勝つか ザック先生会 (2019/10/01) @ozuma5119 [email protected] https://ozuma.hatenablog.jp/ 1 すみだセキュリティ勉強会

    主催

  2. Ecosystem 2 Phisher (Actor) PhishKit Creator PhishKit (zip) ① ②

    deploy Spammer ③ template Victim Botnet ④ template set & go! ⑤ ⑥ credential Info Phishing Site

  3. 3 Warming-Up time: Let's Play with PhishKit.

  4. Microsoft - login.live.com with e-mail type 4 https://mkoloss.cf/of/of/ab/[email protected]

  5. 5 https://mkoloss.cf/of/of/ab/ index.php?email=️‍ ♀️@❓.com

  6. 6 https://mkoloss.cf/of/of/ab/ index.php?email=<script>alert("XSS");</script>

  7. 7 最近の動向: Roaming Mantis Campaign

  8. "偽佐川急便" 8 • 2種のMalware • MoqHao/XLoader • FakeSpy SMS Phishing

    Site Android Malware

  9. 9 Really dangerous....

  10. 10 Contacts Info (Tel No.) Installed App Info

  11. "偽佐川" - 誰かが誰かにSmishing 11 compromised Androids Actorは (1)アドレス帳など各種情報を盗み取り (2)SMSの送受信、盗聴が無料で可能 Background

    App command Contacts Info (Tel No.) "Send SMS!" Phishing SMS Command & Control Server (C&C, C2) ??

  12. How to analyze .apk 1. apk is zipfile: just extract.

    2. convert dex to jar with dex2jar • AndroidはDalvik VM/Android Runtime(ART)。フツーの Java Hotspot VMとは違う 3. jarをJD-GUI/jadx等で逆コンパイル 4. 楽しい! 12

  13. MoqHaoを軽く見る - junk classes.dex 13

  14. stringsだけでも結構行ける 14 • SNS, blog等が1st C2 • 1st C2から 2nd

    C2へ • 暗号化/難読化 • Base64 Encode • DES/CBC

  15. Analysis of Android app. •unzip, dex2jar, jadx, JD-GUI •aapt/aapt2 -

    AndroidStudio tool. •Andro Guard • 良いらしい(使ったこと無い…) •AndroidKiller • 中国のエンジニアに チャットで教えて もらった • 百度アカウントが無いと downloadできない ので試してないが…… 良いらしい 15

  16. 16 PhishKit

  17. 無造作に拾えることが多い #opendir 17

  18. Many PhishKits are simpler than you think. 18 PhishKit

  19. Antibot System - IP, IP, IP! 19 Googlebotなど検索クローラや、セキュリティベンダを 避けていることが多い

  20. 20 こんなコード で大丈夫か?? 犯人のaddress

  21. Protestation •それは本当にPhisherのメールアドレスか? Zipを展開してからサーバ上で書き換えているの では? ↓↓↓ 大量のPhishKitを集めました。 状況証拠から、そのような事例は少ないと見て います。 21

  22. (非公開) • (非公開) 22

  23. (非公開) • (非公開) 23

  24. Possibility 24 Phishing Site of ProtonMail

  25. File timestamp 25 Phishing Site was created: 2nd Jun. 2019

  26. 26 PhishKit - Deep Insight

  27. 27 Phisher PhishKit Creator

  28. もうひとひねり 28

  29. 29 Kill Punish Phisher! (Under the Law)

  30. Phishing of PayPal Japan 30

  31. In the PhishKit... ZOHO Account! 31

  32. 32

  33. Abuse 33 通報 通報 通報 通報 通報 通報

  34. Victoryyyyyyyyyyyy!! 34

  35. Abuse Type •To: Registrar •Abuse Contact (Registrar MUST display e-

    mail, Defined by ICANN) • https://www.icann.org/resources/pages/abuse-2014-01- 29-en •To: Hosting, VPS, Cloud Server •IP Address => WHOIS => Tech-Contact or Admin-Contact 35

  36. Abuse Sample: IP Address 1/2 36

  37. Abuse Sample: IP Address 2/2 37

  38. 38 Omake - funny Phishing Sites

  39. Too Long URL 39

  40. 雑すぎ 40

  41. And more? 41 https://booth.pm/ja/items/1575413

  42. Thanks to •Twitter • @ninoseki -san • @papa_anniekey -san •

    @NaomiSuzuki_ -san • @KesaGataMe0 -san • @ActorExpose -san • @dave_daves -san 42