VB2011講演(その3、最終回)

このブログは、私が参加したVB2011カンファレンスの最終報告です。

リバースIPおよびリバースWhoisクエリでのプロアクティブな拡張フィルタリング - Claudiu Musat(講演)、Alin Octavian Damian

スパムメールをフィルタする最も一般的な方法は、スパムメールに含まれるURLやドメイン名を使用することです。これらの方法の大きな問題は、フィルタが有効になるまでに遅延が発生することです。誰かがURLまたはドメインが不正であると判断しても、その決定がなされるまでスパムメールはブロックされません。よりプロアクティブ(能動的)な方法もあります。

たとえばリバースWhois手法では、ドメイン登録者データを使用して、同じデータを持つ他のドメイン名をブロックします。特に、登録者の電子メールのデータベースを構築して、同じ登録者の電子メールのすべてのドメイン名をブロックできます。

この調査は、2つの方法を組み合わせて使用することで、以前よりも早期にスパムURLを検出できるようになることを示しています。

携帯電話でのマネーロンダリング - Denis Maslennikov

ロシアでは、サイバー犯罪者は携帯電話向けマルウェアを使用してお金を不正に入手しています。その方法は、以下のとおりです。

ロシアでは、ほとんどの人が前払い式SIMカードを使用しており、ほんの数ドル相当額を前払いします(多額ではありませんが、サイバー犯罪を行うには十分です)。SIMカードは非常に簡単に入手でき、通りのいたるところで、身分証明書なしで購入できます。大量のSIMカードをハッキングWebサイトから購入することもできます。価格は、1枚当たり約0.15米ドルです。

SIMカードを入手したら、以下のような手法を使用して、被害者が特定の電話番号にSMSを送信するように仕向けます。ランサムウェア、オレオレ詐欺(「母さん、困ったことになってしまった。俺の口座にお金を振り込んでくれる?」)など。実際、特別な番号3116にSMSを送信することで口座にお金を振り込むことができます(SymbOS/Flockerと同じようなシナリオです)。Java/Smmerなどの一部のマルウェアは、この機能を使用して携帯電話から自動的にお金をサイバー犯罪者の前払いカードに送信します。もちろんのこと、携帯電話事業者はいくつかのセキュリティ措置を講じており、特定の口座に何十回も振り込みが発生すると、それらはブロックされます。このため、サイバー犯罪者は、異なる複数の番号を使用する必要があります。

しばらくすると、サイバー犯罪者のSIMカードに多額のお金が蓄積されます。ここで、彼らは、お金を取り出し、ロンダリング(洗浄)する必要があります。これには、以下のような方法が使用されます。

  • SIMカードのお金を銀行のクレジットカードに送金します。もちろん、サイバー犯罪者は有効なクレジットカードを地下ネットワークから取得する必要があります。
  • 銀行アカウントに、またはUnistream(送金サービスの名称)を使用して送金します。これは可能でありますが、匿名ではできません。
  • お金がサイバー犯罪組織に流れる別のショートナンバーに電話します。いくつかのハッカーフォーラムは、これをサービスとして実際に提供しています。(不正な)サードパーティは、手数料(~30%)を差し引いてお金をロンダリングします。手数料は、金額、迅速性、きれいな現金であるかどうかによって変動します。

IEEEソフトウェア追跡システム - Mark Kennedy、Igor Muttik

多くのマルウェアが、実行可能ファイルのリバースエンジニアリングを困難にするために、パッカー(Packer)を使用しています。追跡システムの目標は、マルウェア作成者がパッカーを使用できないようにし、最終的には彼らがパッカーを使用しないようにすることです。

追跡システムでは、すべての(正規の)パッカーの出力で、パッカーの正規使用と不正使用を区別できるようにします。パックされた出力は、パッカーによってタグ付けされ、このタグにはライセンス情報も含まれます。識別情報は、PKIと次の暗号を使用します。それは、重要な部分のハッシュと、ファイル全体のデフォルトハッシュです。

このシステムについては、不明な点があるため、設計を詳細に調査する必要があります。現時点では、次の2つの疑問点があります。

  1. 重要な部分のハッシュと全体のハッシュが行われますが、これは冗長ではないでしょうか。ちなみに、実行可能ファイルの一部に対して部分的に署名する機能については特許が認定されています(これがこのシステムに適用されるかは不明ですが、これは既存の機能で目新しいものではありません)。
  2. IEEEの公開鍵が(正規の)会員にライセンスされることに疑問を感じます。個人的な意見として、鍵は完全に公開されているか、秘密にされているべきであって、その中間はあり得ません。これが私の誤解であり、講演者が秘密鍵を意味していたとしても、秘密鍵をライセンスすることには疑問があります。

- the Crypto Girl