[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか

フィッシング詐欺と
如何に戦い、
そして如何にして勝つか
ザック先生会 (2019/10/01)
@ozuma5119
[email protected]
https://ozuma.hatenablog.jp/
1
すみだセキュリティ勉強会主催

View Slide

Ecosystem 2
Phisher
(Actor)
PhishKit
Creator
PhishKit
(zip)
①
② deploy
Spammer
③
template
Victim
Botnet
④
template
set & go!
⑤
⑥
credential
Info
Phishing
Site

View Slide

3
Warming-Up time:
Let's Play with PhishKit.

View Slide

Microsoft - login.live.com with e-mail type 4
https://mkoloss.cf/of/of/ab/[email protected]

View Slide

5
https://mkoloss.cf/of/of/ab/
index.php?email=️‍
♀️@❓.com

View Slide

6
https://mkoloss.cf/of/of/ab/
index.php?email=alert("XSS");

View Slide

7
最近の動向:
Roaming Mantis Campaign

View Slide

"偽佐川急便" 8
• 2種のMalware
• MoqHao/XLoader
• FakeSpy
SMS Phishing Site
Android
Malware

View Slide

9
Really dangerous....

View Slide

10
Contacts Info (Tel No.)
Installed App Info

View Slide

"偽佐川" - 誰かが誰かにSmishing 11
compromised Androids
Actorは (1)アドレス帳など各種情報を盗み取り
(2)SMSの送受信、盗聴が無料で可能
Background App
command
Contacts
Info (Tel No.)
"Send SMS!"
Phishing
SMS
Command &
Control Server
(C&C, C2)
??

View Slide

How to analyze .apk
1. apk is zipfile: just extract.
2. convert dex to jar with dex2jar
• AndroidはDalvik VM/Android Runtime(ART)。フツーの
Java Hotspot VMとは違う
3. jarをJD-GUI/jadx等で逆コンパイル
4. 楽しい！
12

View Slide

MoqHaoを軽く見る - junk classes.dex 13

View Slide

stringsだけでも結構行ける 14
• SNS, blog等が1st C2
• 1st C2から 2nd C2へ
• 暗号化／難読化
• Base64 Encode
• DES/CBC

View Slide

Analysis of Android app.
•unzip, dex2jar, jadx, JD-GUI
•aapt/aapt2 - AndroidStudio tool.
•Andro Guard
• 良いらしい（使ったこと無い…)
•AndroidKiller
• 中国のエンジニアに
チャットで教えて
もらった
• 百度アカウントが無いと
downloadできない
ので試してないが……
良いらしい
15

View Slide

16
PhishKit

View Slide

無造作に拾えることが多い #opendir 17

View Slide

Many PhishKits are simpler than you think. 18
PhishKit

View Slide

Antibot System - IP, IP, IP! 19
Googlebotなど検索クローラや、セキュリティベンダを
避けていることが多い

View Slide

20
こんなコード
で大丈夫か??
犯人のaddress

View Slide

Protestation
•それは本当にPhisherのメールアドレスか？
Zipを展開してからサーバ上で書き換えているの
では？
↓↓↓
大量のPhishKitを集めました。
状況証拠から、そのような事例は少ないと見て
います。
21

View Slide

（非公開）
• （非公開）
22

View Slide

（非公開）
• （非公開）
23

View Slide

Possibility 24
Phishing Site of
ProtonMail

View Slide

File timestamp 25
Phishing Site was created: 2nd Jun. 2019

View Slide

26
PhishKit - Deep Insight

View Slide

27
Phisher
PhishKit Creator

View Slide

もうひとひねり 28

View Slide

29
Kill Punish Phisher!
(Under the Law)

View Slide

Phishing of PayPal Japan 30

View Slide

In the PhishKit... ZOHO Account! 31

View Slide

32

View Slide

Abuse 33
通報
通報
通報
通報
通報
通報

View Slide

Victoryyyyyyyyyyyy!! 34

View Slide

Abuse Type
•To: Registrar
•Abuse Contact (Registrar MUST display e-
mail, Defined by ICANN)
• https://www.icann.org/resources/pages/abuse-2014-01-
29-en
•To: Hosting, VPS, Cloud Server
•IP Address => WHOIS =>
Tech-Contact or Admin-Contact
35

View Slide

Abuse Sample: IP Address 1/2 36

View Slide

Abuse Sample: IP Address 2/2 37

View Slide

38
Omake - funny Phishing Sites

View Slide

Too Long URL 39

View Slide

雑すぎ 40

View Slide

And more? 41
https://booth.pm/ja/items/1575413

View Slide

Thanks to
•Twitter
• @ninoseki -san
• @papa_anniekey -san
• @NaomiSuzuki_ -san
• @KesaGataMe0 -san
• @ActorExpose -san
• @dave_daves -san
42

View Slide

[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか

[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか

Osumi, Yusuke

More Decks by Osumi, Yusuke

Other Decks in Technology

Featured

Transcript