Upgrade to Pro — share decks privately, control downloads, hide ads and more …

[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか

Osumi, Yusuke
October 01, 2019

[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか

ザック先生会 (2019/10/01)

@ozuma5119
[email protected]
https://ozuma.hatenablog.jp/

Osumi, Yusuke

October 01, 2019
Tweet

More Decks by Osumi, Yusuke

Other Decks in Technology

Transcript

  1. フィッシング詐欺と
    如何に戦い、
    そして如何にして勝つか
    ザック先生会 (2019/10/01)
    @ozuma5119
    [email protected]
    https://ozuma.hatenablog.jp/
    1
    すみだセキュリティ勉強会 主催

    View Slide

  2. Ecosystem 2
    Phisher
    (Actor)
    PhishKit
    Creator
    PhishKit
    (zip)

    ② deploy
    Spammer

    template
    Victim
    Botnet

    template
    set & go!


    credential
    Info
    Phishing
    Site

    View Slide

  3. 3
    Warming-Up time:
    Let's Play with PhishKit.

    View Slide

  4. Microsoft - login.live.com with e-mail type 4
    https://mkoloss.cf/of/of/ab/[email protected]

    View Slide

  5. 5
    https://mkoloss.cf/of/of/ab/
    index.php?email=️‍
    ♀️@❓.com

    View Slide

  6. 6
    https://mkoloss.cf/of/of/ab/
    index.php?email=alert("XSS");

    View Slide

  7. 7
    最近の動向:
    Roaming Mantis Campaign

    View Slide

  8. "偽佐川急便" 8
    • 2種のMalware
    • MoqHao/XLoader
    • FakeSpy
    SMS Phishing Site
    Android
    Malware

    View Slide

  9. 9
    Really dangerous....

    View Slide

  10. 10
    Contacts Info (Tel No.)
    Installed App Info

    View Slide

  11. "偽佐川" - 誰かが誰かにSmishing 11
    compromised Androids
    Actorは (1)アドレス帳など各種情報を盗み取り
    (2)SMSの送受信、盗聴が無料で可能
    Background App
    command
    Contacts
    Info (Tel No.)
    "Send SMS!"
    Phishing
    SMS
    Command &
    Control Server
    (C&C, C2)
    ??

    View Slide

  12. How to analyze .apk
    1. apk is zipfile: just extract.
    2. convert dex to jar with dex2jar
    • AndroidはDalvik VM/Android Runtime(ART)。フツーの
    Java Hotspot VMとは違う
    3. jarをJD-GUI/jadx等で逆コンパイル
    4. 楽しい!
    12

    View Slide

  13. MoqHaoを軽く見る - junk classes.dex 13

    View Slide

  14. stringsだけでも結構行ける 14
    • SNS, blog等が1st C2
    • 1st C2から 2nd C2へ
    • 暗号化/難読化
    • Base64 Encode
    • DES/CBC

    View Slide

  15. Analysis of Android app.
    •unzip, dex2jar, jadx, JD-GUI
    •aapt/aapt2 - AndroidStudio tool.
    •Andro Guard
    • 良いらしい(使ったこと無い…)
    •AndroidKiller
    • 中国のエンジニアに
    チャットで教えて
    もらった
    • 百度アカウントが無いと
    downloadできない
    ので試してないが……
    良いらしい
    15

    View Slide

  16. 16
    PhishKit

    View Slide

  17. 無造作に拾えることが多い #opendir 17

    View Slide

  18. Many PhishKits are simpler than you think. 18
    PhishKit

    View Slide

  19. Antibot System - IP, IP, IP! 19
    Googlebotなど検索クローラや、セキュリティベンダを
    避けていることが多い

    View Slide

  20. 20
    こんなコード
    で大丈夫か??
    犯人のaddress

    View Slide

  21. Protestation
    •それは本当にPhisherのメールアドレスか?
    Zipを展開してからサーバ上で書き換えているの
    では?
    ↓↓↓
    大量のPhishKitを集めました。
    状況証拠から、そのような事例は少ないと見て
    います。
    21

    View Slide

  22. (非公開)
    • (非公開)
    22

    View Slide

  23. (非公開)
    • (非公開)
    23

    View Slide

  24. Possibility 24
    Phishing Site of
    ProtonMail

    View Slide

  25. File timestamp 25
    Phishing Site was created: 2nd Jun. 2019

    View Slide

  26. 26
    PhishKit - Deep Insight

    View Slide

  27. 27
    Phisher
    PhishKit Creator

    View Slide

  28. もうひとひねり 28

    View Slide

  29. 29
    Kill Punish Phisher!
    (Under the Law)

    View Slide

  30. Phishing of PayPal Japan 30

    View Slide

  31. In the PhishKit... ZOHO Account! 31

    View Slide

  32. 32

    View Slide

  33. Abuse 33
    通報
    通報
    通報
    通報
    通報
    通報

    View Slide

  34. Victoryyyyyyyyyyyy!! 34

    View Slide

  35. Abuse Type
    •To: Registrar
    •Abuse Contact (Registrar MUST display e-
    mail, Defined by ICANN)
    • https://www.icann.org/resources/pages/abuse-2014-01-
    29-en
    •To: Hosting, VPS, Cloud Server
    •IP Address => WHOIS =>
    Tech-Contact or Admin-Contact
    35

    View Slide

  36. Abuse Sample: IP Address 1/2 36

    View Slide

  37. Abuse Sample: IP Address 2/2 37

    View Slide

  38. 38
    Omake - funny Phishing Sites

    View Slide

  39. Too Long URL 39

    View Slide

  40. 雑すぎ 40

    View Slide

  41. And more? 41
    https://booth.pm/ja/items/1575413

    View Slide

  42. Thanks to
    •Twitter
    • @ninoseki -san
    • @papa_anniekey -san
    • @NaomiSuzuki_ -san
    • @KesaGataMe0 -san
    • @ActorExpose -san
    • @dave_daves -san
    42

    View Slide