Bank Trojan の進化

Bank Trojan の進化 Nov 2005

Bank Trojan の脅威 • オンラインバンキングのユーザー名やパスワードを盗む • PWSteal.JGinko は日本の銀行をターゲットする (Trojan-Spy.Win32.Banker.vt [Kaspersky Lab], PWS-Jginko [McAfee], TSPY_BANCOS.ANM [Trend Micro]) • これらの Trojan は Internet Explorerと密接に動作する

サンプル提出数の増加 • Symantec は年間約200万件のサンプル提出を処理します。 • サンプルの提出数は増加傾向にあります。 • Bank Trojan のサンプル提出数は増加傾向にあるのでしょうか？

PWSteal.Bancos 提出数の推移 • なぜ提出数が減少しているのでしょうか?

Bancos 提出数と Symantec 全体の提出数

サンプルの収集方法 • お客さんからのサンプル提出 • ハニーポット • Web サイトの巡回(アドウェア、スパイウェア) • ブライトメール • 掲示板

日本の銀行　対　Bank Trojan • PWSteal.Bancos は当初ブラジルの銀行をターゲットにしていた • その後ドイツの銀行やイギリスの銀行をターゲットに加えた • PWSteal.Jginko は日本の銀行のみをターゲットにする • PWSteal.Jginko は 27 ドメインを監視する • PWSteal.Bancos.T は 2746 ドメインを監視する

PWSteal.Jginko の監視するドメイン • resonabank.anser.or.jp, btm.co.jp, ebank.co.jp • japannetbank.co.jp, smbc.co.jp, yu-cho.japanpost.jp • ufjbank.co.jp, mizuhobank.co.jp • shinseibank.co.jp, iy-bank.co.jp • shinkinbanking.com, shinkin-webfb-hokkaido.jp • shinkin-webfb.jp • 他　多数

他のBank Trojanでは地方銀行も標的にしている • 82bank.co.jp, akita-bank.co.jp • all.rokin.or.jp, toyotrustbank.co.jp • hyakugo.co.jp, chibabank.co.jp • fukuibank.co.jp, gunmabank.co.jp • hirogin.co.jp, hokugin.co.jp • joyobank.co.jp, nishigin.co.jp • 他　多数

日本の銀行によって行われているセキュリティ対策日本の銀行によって行われているセキュリティ対策 • ソフトウェアキーボード • 強固なパスワード • チャレンジ・レスポンス認証 • フィッシングメール対策 • ログイン可能なIPアドレスの制限 • SSL

Bank Trojan が KeyLoggerより優れている点 • KeyLogger.Trojan とはまったくの別物 • 動作状況はタスクマネージャなどで確認できない • 情報送信の傍受 • ファイルのダウンロード動作は確認できない • Trojan の更新動作は確認できない

Bank Trojan は KeyLogger.Trojan とはまったくの別物 • 古いタイプのキーロガーはキーストロークを記録し、その情報を送信します。 • どのアプリケーションをユーザーが使っているか判別しづらい • ユーザーのタイプミスも記録してしまう (passeo[Back Space][Back Space]word ) • ユーザーがどのフィールドにデータをタイプしたのかを判別しづらい

Bank Trojan　のステルス技術 • Internet Explorer と協調して動作 • FireWall はInternet Explorer の HTTP 通信をブロックしない (BHO, Inject, layered service provider) • 他のプロセスに自分自身を注入する • Rootkit はファイルを隠したり、セキュリティアプリケーションから見えなくする • パケット通信を隠すRootkit もある

通信の傍受 • 送信動作にフックをかけて通信を傍受する • 他のアプリケーションに自分自身を注入する • データが暗号化される前後はHTTPS 通信はセキュアではない

気づかれずに自分自身のダウンロードや更新を行う気づかれずに自分自身のダウンロードや更新を行う • Trojan は Windows FireWall の警告を閉じる • Zone.Identifier 設定を削除する • 自分自身を認証済みアプリケーションリストに登録する

キーロギング

キーロギング (2)

コードの注入 • タスクマネージャはプロセスの列挙をすることができる • DLLの動作はタスクマネージャでは列挙されない • もし IEXPLORE.EXE が loadlibraryを呼び出したら? • VirtualAllocEx • WriteProcessMemory • GetProcAddress • CreateRemoteThread

BHO • ブラウザヘルパーオブジェクトはInternet Explorer が動作開始するときに読み込まれる追加コンポーネント • ブラウザヘルパーオブジェクトがデータの送信を行うと、 Internet Explorer がデータの送信を行ったように見える • ブラウザヘルパーオブジェクトの動作はタスクマネージャでは確認できない

BHO　の読み込み • どのようにして Internet Explorer はBHO を読み込み、初期化するのか

BHO (2)

通信の傍受

Secure Socket Layer は安全か? Secure Not Secure Pickup data Encrypt data

通信の傍受 (2)

通信の傍受 (3)

通信の傍受 (4)

通信の傍受 (5) • DWebBrowserEvents2, IHTMLDocument2 • Onmouseover • ユーザが “A” をタイプしたことを検知するか “A” という文字が入力欄に書かれたということを検知するか • Onsubmit

サイレントダウンロード

サイレント　アップデート

サイレント　アップデート (2) • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List • Value: ":*:Enabled:"

パスワードの盗聴

チャレンジ・レスポンス　パスワード ユーザ名を送信ユーザ名を送信ランダムなチャレンジを送信チャレンジを送信このチャレンジを使ってワンタイムパスワードを計算し、送信するワンタイムパスワードの送信通信許可偽のエラーページを表示送金指示

ありがとうございました Hiroshi Shinotsuka Hiroshi_Shintosuka@symantec.com

Bank Trojan の進化

Bank Trojan の進化

Presentation Transcript

Kookmin Bank (KB Bank) From South Korea to Russia

US Network Bank

Speakers : Mahmoud Al- Zoubi , IT Manager, YWC

PENILAIAN TINGKAT KESEHATAN BANK

Funding the Bank

LEMBAGA KEUANGAN BUKAN BANK

The Boy and the Bank Officer

Start

‘Fine’ structure in the Faroe Bank Channel Overflow

International Financial Management P G Apte

JASA-JASA BANK LAINNYA

Skema Operasional Bank ( Bank Syariah vs Bank Konvensional )

5. Suku Bunga

Table 1. Bank Deposits in percent of total bank liabilities

Aspek Hukum Perbankan

INFLATION TARGETING FRAMEWORK (ITF)

Start

Making Meaningful Use of Data

TUGAS EKONOMI Lembaga Keuangan Bukan Bank (LKBB)

Memproses Dokumen Dana Kas di Bank

Analisa DAN PENILAIAN kesehatan bank