[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか

Transcript

1. フィッシング詐欺と 如何に戦い、 そして如何にして勝つか ザック先生会 (2019/10/01) @ozuma5119 [email protected] https://ozuma.hatenablog.jp/ 1 すみだセキュリティ勉強会

   主催

2. Ecosystem 2 Phisher (Actor) PhishKit Creator PhishKit (zip) ① ②

   deploy Spammer ③ template Victim Botnet ④ template set & go! ⑤ ⑥ credential Info Phishing Site

3. 3 Warming-Up time: Let's Play with PhishKit.

4. Microsoft - login.live.com with e-mail type 4 https://mkoloss.cf/of/of/ab/[email protected]

5. 5 https://mkoloss.cf/of/of/ab/ index.php?email=️‍ ♀️@❓.com

6. 6 https://mkoloss.cf/of/of/ab/ index.php?email=<script>alert("XSS");</script>

7. 7 最近の動向: Roaming Mantis Campaign

8. "偽佐川急便" 8 • 2種のMalware • MoqHao/XLoader • FakeSpy SMS Phishing

   Site Android Malware

9. 9 Really dangerous....

10. 10 Contacts Info (Tel No.) Installed App Info

11. "偽佐川" - 誰かが誰かにSmishing 11 compromised Androids Actorは (1)アドレス帳など各種情報を盗み取り (2)SMSの送受信、盗聴が無料で可能 Background

    App command Contacts Info (Tel No.) "Send SMS!" Phishing SMS Command & Control Server (C&C, C2) ??

12. How to analyze .apk 1. apk is zipfile: just extract.

    2. convert dex to jar with dex2jar • AndroidはDalvik VM/Android Runtime(ART)。フツーの Java Hotspot VMとは違う 3. jarをJD-GUI/jadx等で逆コンパイル 4. 楽しい！ 12

13. MoqHaoを軽く見る - junk classes.dex 13

14. stringsだけでも結構行ける 14 • SNS, blog等が1st C2 • 1st C2から 2nd

    C2へ • 暗号化／難読化 • Base64 Encode • DES/CBC

15. Analysis of Android app. •unzip, dex2jar, jadx, JD-GUI •aapt/aapt2 -

    AndroidStudio tool. •Andro Guard • 良いらしい（使ったこと無い…) •AndroidKiller • 中国のエンジニアに チャットで教えて もらった • 百度アカウントが無いと downloadできない ので試してないが…… 良いらしい 15

16. 16 PhishKit

17. 無造作に拾えることが多い #opendir 17

18. Many PhishKits are simpler than you think. 18 PhishKit

19. Antibot System - IP, IP, IP! 19 Googlebotなど検索クローラや、セキュリティベンダを 避けていることが多い

20. 20 こんなコード で大丈夫か?? 犯人のaddress

21. Protestation •それは本当にPhisherのメールアドレスか？ Zipを展開してからサーバ上で書き換えているの では？ ↓↓↓ 大量のPhishKitを集めました。 状況証拠から、そのような事例は少ないと見て います。 21

22. （非公開） • （非公開） 22

23. （非公開） • （非公開） 23

24. Possibility 24 Phishing Site of ProtonMail

25. File timestamp 25 Phishing Site was created: 2nd Jun. 2019

26. 26 PhishKit - Deep Insight

27. 27 Phisher PhishKit Creator

28. もうひとひねり 28

29. 29 Kill Punish Phisher! (Under the Law)

30. Phishing of PayPal Japan 30

31. In the PhishKit... ZOHO Account! 31

32. 32

33. Abuse 33 通報 通報 通報 通報 通報 通報

34. Victoryyyyyyyyyyyy!! 34

35. Abuse Type •To: Registrar •Abuse Contact (Registrar MUST display e-

    mail, Defined by ICANN) • https://www.icann.org/resources/pages/abuse-2014-01- 29-en •To: Hosting, VPS, Cloud Server •IP Address => WHOIS => Tech-Contact or Admin-Contact 35

36. Abuse Sample: IP Address 1/2 36

37. Abuse Sample: IP Address 2/2 37

38. 38 Omake - funny Phishing Sites

39. Too Long URL 39

40. 雑すぎ 40

41. And more? 41 https://booth.pm/ja/items/1575413

42. Thanks to •Twitter • @ninoseki -san • @papa_anniekey -san •

    @NaomiSuzuki_ -san • @KesaGataMe0 -san • @ActorExpose -san • @dave_daves -san 42