Lock in $30 Savings on PRO—Offer Ends Soon! ⏳
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか
Search
Osumi, Yusuke
October 01, 2019
Technology
8
1.5k
[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか
ザック先生会 (2019/10/01)
@ozuma5119
[email protected]
https://ozuma.hatenablog.jp/
Osumi, Yusuke
October 01, 2019
Tweet
Share
More Decks by Osumi, Yusuke
See All by Osumi, Yusuke
本の紹介の補足
ozuma
1
320
gitサービス3兄弟
ozuma
0
330
簡体字は楽
ozuma
0
390
ソフトウェアは固定資産
ozuma
0
350
ASCIIコードの小話
ozuma
0
360
今いるディレクトリを消すとどうなる
ozuma
1
270
名前付きパイプ FIFO
ozuma
0
410
文章、作文技法 リモートワーク
ozuma
1
780
CentOSの今後のリリース(簡易説明)
ozuma
0
330
Other Decks in Technology
See All in Technology
Remix SPAモードのファイルベースルーティングで進めるフロントエンド構築
ryochike
0
130
ポストモーテムレビューをブレームレスに運営し有効な改善アクションを引き出すために必要だったこと / What is needed to operate postmortem blamelessly and elicit improvement actions
yamaguchitk333
0
160
ミスが許されない領域にAIを溶け込ませる プロダクトマネジメントの裏側
t01062sy
0
400
マルチプロダクト、マルチデータ基盤での Looker活用事例 〜BQじゃなくてもLookerはいいぞ〜
gappy50
0
120
情シスの引継ぎが大変という話
miyu_dev
2
550
「品質とスピードはトレード・オンできる」に向き合い続けた2年半を振り返る / Quality and speed can be traded on.
mii3king
0
530
検証と資産化を形にするプロダクト組織へ/tapple_pmconf2024
corin8823
1
4.2k
12/2(月)のBedrockアプデ速報(re:Invent 2024 Daily re:Cap #1 with AWS Heroes)
minorun365
PRO
2
290
プロダクトマネージャーは 事業責任者の夢をみるのか pmconf2024
gimupop
1
4k
Oracle Cloud Infrastructure:2024年11月度サービス・アップデート
oracle4engineer
PRO
0
160
Amazon CloudFrontを活用したゼロダウンタイム実現する安定的なデプロイメント / 20241129 Yoshiki Shinagawa
shift_evolve
0
140
Kubernetesを知る
logica0419
17
4.6k
Featured
See All Featured
A Philosophy of Restraint
colly
203
16k
Statistics for Hackers
jakevdp
796
220k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
Why Our Code Smells
bkeepers
PRO
334
57k
How To Stay Up To Date on Web Technology
chriscoyier
789
250k
Fireside Chat
paigeccino
34
3k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Bash Introduction
62gerente
608
210k
Designing Experiences People Love
moore
138
23k
Documentation Writing (for coders)
carmenintech
65
4.5k
We Have a Design System, Now What?
morganepeng
51
7.2k
Transcript
フィッシング詐欺と 如何に戦い、 そして如何にして勝つか ザック先生会 (2019/10/01) @ozuma5119
[email protected]
https://ozuma.hatenablog.jp/ 1 すみだセキュリティ勉強会
主催
Ecosystem 2 Phisher (Actor) PhishKit Creator PhishKit (zip) ① ②
deploy Spammer ③ template Victim Botnet ④ template set & go! ⑤ ⑥ credential Info Phishing Site
3 Warming-Up time: Let's Play with PhishKit.
Microsoft - login.live.com with e-mail type 4 https://mkoloss.cf/of/of/ab/
[email protected]
5 https://mkoloss.cf/of/of/ab/ index.php?email=️ ♀️@❓.com
6 https://mkoloss.cf/of/of/ab/ index.php?email=<script>alert("XSS");</script>
7 最近の動向: Roaming Mantis Campaign
"偽佐川急便" 8 • 2種のMalware • MoqHao/XLoader • FakeSpy SMS Phishing
Site Android Malware
9 Really dangerous....
10 Contacts Info (Tel No.) Installed App Info
"偽佐川" - 誰かが誰かにSmishing 11 compromised Androids Actorは (1)アドレス帳など各種情報を盗み取り (2)SMSの送受信、盗聴が無料で可能 Background
App command Contacts Info (Tel No.) "Send SMS!" Phishing SMS Command & Control Server (C&C, C2) ??
How to analyze .apk 1. apk is zipfile: just extract.
2. convert dex to jar with dex2jar • AndroidはDalvik VM/Android Runtime(ART)。フツーの Java Hotspot VMとは違う 3. jarをJD-GUI/jadx等で逆コンパイル 4. 楽しい! 12
MoqHaoを軽く見る - junk classes.dex 13
stringsだけでも結構行ける 14 • SNS, blog等が1st C2 • 1st C2から 2nd
C2へ • 暗号化/難読化 • Base64 Encode • DES/CBC
Analysis of Android app. •unzip, dex2jar, jadx, JD-GUI •aapt/aapt2 -
AndroidStudio tool. •Andro Guard • 良いらしい(使ったこと無い…) •AndroidKiller • 中国のエンジニアに チャットで教えて もらった • 百度アカウントが無いと downloadできない ので試してないが…… 良いらしい 15
16 PhishKit
無造作に拾えることが多い #opendir 17
Many PhishKits are simpler than you think. 18 PhishKit
Antibot System - IP, IP, IP! 19 Googlebotなど検索クローラや、セキュリティベンダを 避けていることが多い
20 こんなコード で大丈夫か?? 犯人のaddress
Protestation •それは本当にPhisherのメールアドレスか? Zipを展開してからサーバ上で書き換えているの では? ↓↓↓ 大量のPhishKitを集めました。 状況証拠から、そのような事例は少ないと見て います。 21
(非公開) • (非公開) 22
(非公開) • (非公開) 23
Possibility 24 Phishing Site of ProtonMail
File timestamp 25 Phishing Site was created: 2nd Jun. 2019
26 PhishKit - Deep Insight
27 Phisher PhishKit Creator
もうひとひねり 28
29 Kill Punish Phisher! (Under the Law)
Phishing of PayPal Japan 30
In the PhishKit... ZOHO Account! 31
32
Abuse 33 通報 通報 通報 通報 通報 通報
Victoryyyyyyyyyyyy!! 34
Abuse Type •To: Registrar •Abuse Contact (Registrar MUST display e-
mail, Defined by ICANN) • https://www.icann.org/resources/pages/abuse-2014-01- 29-en •To: Hosting, VPS, Cloud Server •IP Address => WHOIS => Tech-Contact or Admin-Contact 35
Abuse Sample: IP Address 1/2 36
Abuse Sample: IP Address 2/2 37
38 Omake - funny Phishing Sites
Too Long URL 39
雑すぎ 40
And more? 41 https://booth.pm/ja/items/1575413
Thanks to •Twitter • @ninoseki -san • @papa_anniekey -san •
@NaomiSuzuki_ -san • @KesaGataMe0 -san • @ActorExpose -san • @dave_daves -san 42