[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか

4eeccc07c0e1f28ab5bd6a5a6621b1a7?s=47 Yusuke OSUMI
October 01, 2019

[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか

ザック先生会 (2019/10/01)

@ozuma5119
ozuma5119@gmail.com
https://ozuma.hatenablog.jp/

4eeccc07c0e1f28ab5bd6a5a6621b1a7?s=128

Yusuke OSUMI

October 01, 2019
Tweet

Transcript

  1. フィッシング詐欺と 如何に戦い、 そして如何にして勝つか ザック先生会 (2019/10/01) @ozuma5119 ozuma5119@gmail.com https://ozuma.hatenablog.jp/ 1 すみだセキュリティ勉強会

    主催
  2. Ecosystem 2 Phisher (Actor) PhishKit Creator PhishKit (zip) ① ②

    deploy Spammer ③ template Victim Botnet ④ template set & go! ⑤ ⑥ credential Info Phishing Site
  3. 3 Warming-Up time: Let's Play with PhishKit.

  4. Microsoft - login.live.com with e-mail type 4 https://mkoloss.cf/of/of/ab/index.php?email=test@example.com

  5. 5 https://mkoloss.cf/of/of/ab/ index.php?email=️‍ ♀️@❓.com

  6. 6 https://mkoloss.cf/of/of/ab/ index.php?email=<script>alert("XSS");</script>

  7. 7 最近の動向: Roaming Mantis Campaign

  8. "偽佐川急便" 8 • 2種のMalware • MoqHao/XLoader • FakeSpy SMS Phishing

    Site Android Malware
  9. 9 Really dangerous....

  10. 10 Contacts Info (Tel No.) Installed App Info

  11. "偽佐川" - 誰かが誰かにSmishing 11 compromised Androids Actorは (1)アドレス帳など各種情報を盗み取り (2)SMSの送受信、盗聴が無料で可能 Background

    App command Contacts Info (Tel No.) "Send SMS!" Phishing SMS Command & Control Server (C&C, C2) ??
  12. How to analyze .apk 1. apk is zipfile: just extract.

    2. convert dex to jar with dex2jar • AndroidはDalvik VM/Android Runtime(ART)。フツーの Java Hotspot VMとは違う 3. jarをJD-GUI/jadx等で逆コンパイル 4. 楽しい! 12
  13. MoqHaoを軽く見る - junk classes.dex 13

  14. stringsだけでも結構行ける 14 • SNS, blog等が1st C2 • 1st C2から 2nd

    C2へ • 暗号化/難読化 • Base64 Encode • DES/CBC
  15. Analysis of Android app. •unzip, dex2jar, jadx, JD-GUI •aapt/aapt2 -

    AndroidStudio tool. •Andro Guard • 良いらしい(使ったこと無い…) •AndroidKiller • 中国のエンジニアに チャットで教えて もらった • 百度アカウントが無いと downloadできない ので試してないが…… 良いらしい 15
  16. 16 PhishKit

  17. 無造作に拾えることが多い #opendir 17

  18. Many PhishKits are simpler than you think. 18 PhishKit

  19. Antibot System - IP, IP, IP! 19 Googlebotなど検索クローラや、セキュリティベンダを 避けていることが多い

  20. 20 こんなコード で大丈夫か?? 犯人のaddress

  21. Protestation •それは本当にPhisherのメールアドレスか? Zipを展開してからサーバ上で書き換えているの では? ↓↓↓ 大量のPhishKitを集めました。 状況証拠から、そのような事例は少ないと見て います。 21

  22. (非公開) • (非公開) 22

  23. (非公開) • (非公開) 23

  24. Possibility 24 Phishing Site of ProtonMail

  25. File timestamp 25 Phishing Site was created: 2nd Jun. 2019

  26. 26 PhishKit - Deep Insight

  27. 27 Phisher PhishKit Creator

  28. もうひとひねり 28

  29. 29 Kill Punish Phisher! (Under the Law)

  30. Phishing of PayPal Japan 30

  31. In the PhishKit... ZOHO Account! 31

  32. 32

  33. Abuse 33 通報 通報 通報 通報 通報 通報

  34. Victoryyyyyyyyyyyy!! 34

  35. Abuse Type •To: Registrar •Abuse Contact (Registrar MUST display e-

    mail, Defined by ICANN) • https://www.icann.org/resources/pages/abuse-2014-01- 29-en •To: Hosting, VPS, Cloud Server •IP Address => WHOIS => Tech-Contact or Admin-Contact 35
  36. Abuse Sample: IP Address 1/2 36

  37. Abuse Sample: IP Address 2/2 37

  38. 38 Omake - funny Phishing Sites

  39. Too Long URL 39

  40. 雑すぎ 40

  41. And more? 41 https://booth.pm/ja/items/1575413

  42. Thanks to •Twitter • @ninoseki -san • @papa_anniekey -san •

    @NaomiSuzuki_ -san • @KesaGataMe0 -san • @ActorExpose -san • @dave_daves -san 42