Speaker Deck
Sign in
Sign up
for free
[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか
Yusuke OSUMI
October 01, 2019
Technology
7
1.1k
[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか
ザック先生会 (2019/10/01)
@ozuma5119
ozuma5119@gmail.com
https://ozuma.hatenablog.jp/
Yusuke OSUMI
October 01, 2019
Tweet
Share
More Decks by Yusuke OSUMI
See All by Yusuke OSUMI
ozuma
0
46
ozuma
0
53
ozuma
0
300
ozuma
2
6k
ozuma
13
9.7k
ozuma
20
19k
ozuma
0
610
Other Decks in Technology
See All in Technology
upura
1
910
arahabica
0
190
tsukubachallenge
0
140
clustervr
0
220
kyoshimoto
2
150
kikmysy4
0
130
tmnakagawa
0
730
toshimaru
29
11k
dougpuob
0
110
kawaguti
2
430
ytaka23
7
1.6k
bbrfkr
1
180
Featured
See All Featured
pauljervisheath
193
15k
holman
458
270k
andyhume
60
2.4k
bkeepers
407
57k
samlambert
236
9.7k
reverentgeek
17
1.2k
rasmusluckow
314
18k
jasonvnalue
80
7.8k
vanstee
115
4.7k
bryan
100
11k
chrislema
169
14k
sferik
606
53k
Transcript
フィッシング詐欺と 如何に戦い、 そして如何にして勝つか ザック先生会 (2019/10/01) @ozuma5119 ozuma5119@gmail.com https://ozuma.hatenablog.jp/ 1 すみだセキュリティ勉強会
主催
Ecosystem 2 Phisher (Actor) PhishKit Creator PhishKit (zip) ① ②
deploy Spammer ③ template Victim Botnet ④ template set & go! ⑤ ⑥ credential Info Phishing Site
3 Warming-Up time: Let's Play with PhishKit.
Microsoft - login.live.com with e-mail type 4 https://mkoloss.cf/of/of/ab/index.php?email=test@example.com
5 https://mkoloss.cf/of/of/ab/ index.php?email=️ ♀️@❓.com
6 https://mkoloss.cf/of/of/ab/ index.php?email=<script>alert("XSS");</script>
7 最近の動向: Roaming Mantis Campaign
"偽佐川急便" 8 • 2種のMalware • MoqHao/XLoader • FakeSpy SMS Phishing
Site Android Malware
9 Really dangerous....
10 Contacts Info (Tel No.) Installed App Info
"偽佐川" - 誰かが誰かにSmishing 11 compromised Androids Actorは (1)アドレス帳など各種情報を盗み取り (2)SMSの送受信、盗聴が無料で可能 Background
App command Contacts Info (Tel No.) "Send SMS!" Phishing SMS Command & Control Server (C&C, C2) ??
How to analyze .apk 1. apk is zipfile: just extract.
2. convert dex to jar with dex2jar • AndroidはDalvik VM/Android Runtime(ART)。フツーの Java Hotspot VMとは違う 3. jarをJD-GUI/jadx等で逆コンパイル 4. 楽しい! 12
MoqHaoを軽く見る - junk classes.dex 13
stringsだけでも結構行ける 14 • SNS, blog等が1st C2 • 1st C2から 2nd
C2へ • 暗号化/難読化 • Base64 Encode • DES/CBC
Analysis of Android app. •unzip, dex2jar, jadx, JD-GUI •aapt/aapt2 -
AndroidStudio tool. •Andro Guard • 良いらしい(使ったこと無い…) •AndroidKiller • 中国のエンジニアに チャットで教えて もらった • 百度アカウントが無いと downloadできない ので試してないが…… 良いらしい 15
16 PhishKit
無造作に拾えることが多い #opendir 17
Many PhishKits are simpler than you think. 18 PhishKit
Antibot System - IP, IP, IP! 19 Googlebotなど検索クローラや、セキュリティベンダを 避けていることが多い
20 こんなコード で大丈夫か?? 犯人のaddress
Protestation •それは本当にPhisherのメールアドレスか? Zipを展開してからサーバ上で書き換えているの では? ↓↓↓ 大量のPhishKitを集めました。 状況証拠から、そのような事例は少ないと見て います。 21
(非公開) • (非公開) 22
(非公開) • (非公開) 23
Possibility 24 Phishing Site of ProtonMail
File timestamp 25 Phishing Site was created: 2nd Jun. 2019
26 PhishKit - Deep Insight
27 Phisher PhishKit Creator
もうひとひねり 28
29 Kill Punish Phisher! (Under the Law)
Phishing of PayPal Japan 30
In the PhishKit... ZOHO Account! 31
32
Abuse 33 通報 通報 通報 通報 通報 通報
Victoryyyyyyyyyyyy!! 34
Abuse Type •To: Registrar •Abuse Contact (Registrar MUST display e-
mail, Defined by ICANN) • https://www.icann.org/resources/pages/abuse-2014-01- 29-en •To: Hosting, VPS, Cloud Server •IP Address => WHOIS => Tech-Contact or Admin-Contact 35
Abuse Sample: IP Address 1/2 36
Abuse Sample: IP Address 2/2 37
38 Omake - funny Phishing Sites
Too Long URL 39
雑すぎ 40
And more? 41 https://booth.pm/ja/items/1575413
Thanks to •Twitter • @ninoseki -san • @papa_anniekey -san •
@NaomiSuzuki_ -san • @KesaGataMe0 -san • @ActorExpose -san • @dave_daves -san 42
Yusuke OSUMI
ozuma
upura
arahabica
tsukubachallenge
clustervr
kyoshimoto
kikmysy4
tmnakagawa
toshimaru
dougpuob
kawaguti
ytaka23
bbrfkr
pauljervisheath
holman
andyhume
bkeepers
samlambert
reverentgeek
rasmusluckow
jasonvnalue
vanstee
bryan
chrislema
sferik
