Upgrade to Pro — share decks privately, control downloads, hide ads and more …

osint-profiling-20190712.pdf

8b87ad1460f4051001d3b70211f05576?s=47 hiro
July 12, 2019

 osint-profiling-20190712.pdf

8b87ad1460f4051001d3b70211f05576?s=128

hiro

July 12, 2019
Tweet

Transcript

  1. 偽サイトをOSINTツールで追う!
 ~犯人像をプロファイリング~
 第24回 セキュリティ共有勉強会
 2019/07/12
 hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)


  2. 自己紹介
 hiro(Twitter:@ctrl_z3r0) ※勉強会用アカウント
 ねこさん⚡Иow or Иever(ΦωΦ)  @catnap707 ばらまきメールウォッチャー


  3. アジェンダ
 1 OSINTとは
 2 OSINTツールの紹介
 3 某機関 偽サイトによる詐欺事案
 4 OSINTツールによる調査
 5 犯人像についてプロファイリング
 6 OSINTで容疑者を特定したケース
 7 まとめ
 3

  4. 4 OSINTとは


  5. 5 OSINTとは
 公開情報
 OSINT
  (オシント)
 Webサイトや書籍などの公開情報
 (オープン・ソース・インテリジェンス)
 非公開情報
 HUMINT
  (ヒューミント)


    人から情報を収集
 SIGINT
  (シギント)
 通信、電磁波、
 信号等の傍受を
 利用した諜報活動
 参考:第382号コラム「3つのインテリジェンス」 - デジタル・フォレンジック研究会
    https://digitalforensic.jp/2015/10/05/column382/
 ※OSINTを有効に利用するだけで、知るべき情報の98%
  は得られるという人もいる。

  6. 6 OSINTツールの紹介


  7. 7 OSINTツール(Webブラウザで利用)
 参考:OSINT 用検索エンジンあれこれ - ninoseki.github.io
    https://ninoseki.github.io/2018/12/03/osint-search-engine.html
 Google Dorks
 (Google

    Hacking)
 Google検索オプション
 を利用(inurl:、site:)
 検索文字列からサイトを
 検出
 ポートスキャン、
 バナー情報収集
 shodan.io、censys.io
 zoomeye.org、fofa.so
 SSH、httpd、RDP等が返す
 情報を基にサイトを検出
 種類
 説明(URLなど)
 用途
 代理アクセス
 aguse.jp(アグス)、urlscan.io
 httpstatus.io
 check-host.net
 対象サイトに代理でアクセスし、結 果(画面、ヘッダー情報)を確認
 ※こちらのIPアドレスを知られずに調査が可能(マルウェア感染のリスクも低減)
 文字列操作
 CyberChef
 (https://gchq.github.io/CyberChef/) 
 文字列変換、エンコード/デコード
 Passive DNS
 VirusTotal.com
 PassiveTotal.com
 ドメイン名に割り当てられたIPアド レスの履歴
 RSSフィード
 RSSリーダー
 feed43.com
 feedly.com、inoreader.com
 RSSフィードの生成
 RSSリーダー

  8. 8 某機関
 偽サイトによる詐欺事案


  9. 9 某機関 偽サイトによる詐欺事案
 ▪電話で偽サイトに誘導し、振込をさせる詐欺 
  ・主に20~40代の女性が被害者。(PCやスマホに詳しい世代)
  ・犯人側は、被害者の氏名と電話番号、住所を知っている。
  ・某機関(偽サイト)に接続させ信用させる。
 ▪具体的な手口
  ①警視庁捜査二課を名乗り、「〇〇県〇〇市の〇〇さんで間違いない


      ですか?」と電話がかかってくる。→住所も言い当てることで信用させる。
  ②被害者名義の銀行口座がマネーロンダリングに悪用されている
   と告げられる。
  ③犯人が言うIPアドレスにブラウザで接続。偽サイトが開く。
  ④事件内容というリンクをクリック、氏名の入力画面。
  ⑤入力後、実名の某機関を模したハンコ入りの通達事項。
   「無実が証明されるまで捜査当局に協力しなければならない」と記載。
  ⑥事件に関連した口座が凍結されることの回避のため、「金融庁の口座
   に資金を移動させ正当性を確認する」という名目で振り込ませる。
 参考:検察庁ホームページの偽サイトにご注意ください。
    https://www.kensatsu.go.jp/page1000008.html

  10. 10 OSINTツールによる調査


  11. Googleで調査してみよう!
 11 ▪Googleで、URLのパス(/kakuchou/tokyo/)を検索
  ・URLに特定の文字列を含む。「inurl:/kakucho/tokyo/」
  ・特定のサイトを含めない。「-site:kensatsu.go.jp」


  12. Googleで調査してみよう!
 12 ▪Googleで、URLのパス(/kakuchou/tokyo/)を検索
  ・URLに特定の文字列を含む。「inurl:/kakucho/tokyo/」
  ・特定のサイトを含めない。「-site:kensatsu.go.jp」


  13. Googleで調査してみよう!
 13 ▪Googleで、URLのパス(/kakuchou/tokyo/)を検索
  ・URLに特定の文字列を含む。「inurl:/kakucho/tokyo/」
  ・特定のサイトを含めない。「-site:kensatsu.go.jp」
 以前は、この検索だけで、IPアドレスを 知ることができたが、偽サイトが稼働し ている時間が短くなったことで捕捉でき なくなってきている。
 (クロールに引っかからない)


  14. 同じ理由により、shodan.ioで、
  http.title:〇〇〇〇〇〇庁
 を検索しても目的とする情報が ヒットしない。
 shodan.ioで調査してみよう!
 14 ▪shodan.ioで、タイトル(http.title)を指定して検索


  15. shodan.ioで調査してみよう!
 15 ▪shodan.ioで、タイトル(http.title)を指定して検索
 IPアドレス
 Last-Modified:
 コンテンツの最終更新日時
 Date:アクセス日時
 Date:アクセス日時
 Last-Modified:ヘッダー
 Sat,

    24 Nov 2018 07:58:34 GMT
 IPとDate:ヘッダー
 174.139.100.70 (Date:Sun, 14 Apr 2019 09:22:52 GMT)
 174.139.100.66 (Date:Fri, 19 Apr 2019 22:37:48 GMT)

  16. PassiveDNSを調査してみよう!
 16 ドメイン名
 chinaaiq.com(アクセスできた日時不明)
 nltsc.top(2019-06-05(水) 12:05:17 JST)
 ▪VirusTotalとPassiveTotalでドメインの名前解決の履歴を調査


  17. PassiveDNSを調査してみよう!
 17 ▪VirusTotalとPassiveTotalでドメインの名前解決の履歴を調査
 ドメイン名
 chinaaiq.com(アクセスできた日時不明)
 nltsc.top(2019-06-05(水) 12:05:17 JST)
 Google(2019-06-05)
 VirusTotal(2019-06-12)


    PassiveTotal(~2019-06-14)
  98.126.9.218 が使われていたことは、ほぼ確定
 (2019-07-12時点もActive)

  18. censys.io(Last-Modified、Fingerprintをキーに)
 18

  19. censys.io(Last-Modified、Fingerprintをキーに)
 19 2019年7月12日時点の稼働IPアドレス
  98.126.1. 58~62
  98.126.9.218~222
 
 ※すべて同じAS35908(Krypt Technologies)
 SSHのホストキーをもとに検索すると芋づる式にヒット。


    (おそらく、Ansible/rsync等を使って作業の効率化を行う関係上、
 ホストキーを共通にしているものと推測。)
 Fingerprintは、SSHサーバのホストキー(公開鍵)です。
 これまでの実績から、
 それぞれ5つの連続
 したIPアドレスを持つ

  20. check-host.netでポートスキャン
 20 ▪censys.io、shodan.ioでも開きポートは分かるがリアルタイムではない。
  DoS攻撃を仕掛けた攻撃者が証拠を示すのによく使わる(check-host.net)
  IPアドレス:ポート番号、とすることでポートにつながるかテストできる。


  21. 21 本物サイトと偽物サイトの違い
 本物
 偽物


  22. 「捜査中事件」をクリックすると…
 22

  23. 「捜査中事件」をクリックすると…
 23 つぶやいた次の日に
 令和対応!
 「深淵をのぞく時、深淵もまた
 こちらをのぞいているのだ」
 ニーチェ


  24. どのような仕組みなのか…
 24 偽の入力画面のHTMLソースに JavaScriptが含まれている。


  25. どのような仕組みなのか…
 25 偽の入力画面のHTMLソースに JavaScriptが含まれている。


  26. /data/source.jsonを見てみよう!
 26 ▪httpstatus.ioで、同時に複数のサイトを観測


  27. /data/source.jsonを見てみよう!
 27 ▪httpstatus.ioで、同時に複数のサイトを観測


  28. UnicodeをCyberChefでデコード
 28 ▪CyberChef(https://gchq.github.io/CyberChef/)
 Unescape Unicode Characters


  29. UnicodeをCyberChefでデコード
 29 Unescape Unicode Characters
 ▪CyberChef(https://gchq.github.io/CyberChef/)


  30. 30 犯人像について
 プロファイリング


  31. ◆サーバの管理は中国人?
  ドキュメントルートにアクセス
  した際に、リダイレクトする
  コードに中国語が含まれる。
 
 観測の中で見えてきた犯人像
 31 ◆httpdが返すヘッダー時刻はGMTだが、日本と17時間
  の時差がある。
  ⇒サーバの所在は、アメリカ西海岸(PST)


      ISPは、VPLSNET - Krypt Technologies(AS35908)
 
 ◆電話を掛けているのは日本人。
  あえてPCやスマホに詳しい世代の女性を狙っている。
  (オレオレ詐欺とはターゲットが違う。)
  

  32. 偽サイト稼働状況
 32

  33. ちょっと深堀りしてみると…
 33 岩林(いわばやし)さんじゃなく、
 実は若林(わかばやし)さん。
 普通は若林(わかばやし:270位 約 81,900人)。岩林(いわばやし:19,594位 約240人)は、日本人なら思わない
 ⇒あっ、察し。
 【仮説】


    ・メールやメッセンジャーからのコピペじゃなく、FAXで
  指示されたものが読みづらく手入力したのでミスった?
 ・名前を入力しているのは、老眼の中国人のおっさん。
 宮崎(おお崎)か、
 宮﨑(立つ埼)か、
 分からんから、両方 入れとけ!

  34. 34 OSINTで容疑者を
 特定したケース


  35. 35 漫画村の容疑者をCheena氏が特定
 ◆約2年前(2017-08-02)に「星野ロミ」を特定
 参考:漫画違法配信サイト「漫画村」の黒幕に迫る - 
    https://blog.cheena.net/179
 ◆どのようなポイントに着目して調査するのか、とても参考
  になります。(Whois情報が足掛かりです。)
  読み物としても面白いので御一読をお勧めします。


  36. 36 まとめ
 ◆一つの情報を足掛かりに、いろんな情報が芋づる式
  に分かる場合があります。
 ◆OSINT用検索エンジン(shodan.io、censys.ioなど)
  面白いです!(アカウントを作ると、より良いです。)
 ◆IPアドレスやドメイン名は、マスキングせずに公開して
  もらえると大変助かります!(リプ、DMください)


  37. ご清聴ありがとうございました。
 37 フォロー待ってるニャ!
 @catnap707