Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up
for free
OSINT_tools-20190628.pdf
hiro
June 28, 2019
Technology
4
870
OSINT_tools-20190628.pdf
hiro
June 28, 2019
Tweet
Share
More Decks by hiro
See All by hiro
ctrl_z3r0
1
640
ctrl_z3r0
2
500
ctrl_z3r0
2
1.7k
ctrl_z3r0
0
190
ctrl_z3r0
5
750
ctrl_z3r0
4
640
ctrl_z3r0
4
930
ctrl_z3r0
2
440
ctrl_z3r0
1
440
Other Decks in Technology
See All in Technology
nwiizo
1
120
kraj
0
3.5k
nozomiito
0
120
clustervr
0
200
kyonmm
1
2.3k
neo_analytics
1
1.1k
muras
0
110
oyakata2438
0
100
k1low
0
220
chaspy
1
220
yoshiki0705
0
160
sugimomoto
1
370
Featured
See All Featured
chriscoyier
780
240k
philhawksworth
190
17k
frogandcode
127
20k
deanohume
295
27k
trishagee
20
2.1k
cromwellryan
101
5.9k
carmenhchung
26
1.3k
samlambert
237
9.9k
destraynor
223
47k
tenderlove
52
3.4k
schacon
145
6.6k
roundedbygravity
241
21k
Transcript
偽サイトをOSINTツールで追う! 第28回ゼロから始めるセキュリティ入門 勉強会 2019/06/28 hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)
自己紹介 hiro(Twitter:@ctrl_z3r0) ※勉強会用アカウント ねこさん⚡Иow or Иever(ΦωΦ) @catnap707 ばらまきメールウォッチャー
アジェンダ 1 OSINTとは 2 OSINTツールの紹介 3 某機関 偽サイトによる詐欺事案 4 OSINTツールによる調査 5 まとめ 3
4 OSINTとは
5 OSINTとは 公開情報 OSINT (オシント) Webサイトや書籍などの公開情報 (オープン・ソース・インテリジェンス) 非公開情報 HUMINT (ヒューミント)
人から情報を収集 SIGINT (シギント) 通信、電磁波、 信号等の傍受を 利用した諜報活動 参考:第382号コラム「3つのインテリジェンス」 - デジタル・フォレンジック研究会 https://digitalforensic.jp/2015/10/05/column382/ ※OSINTを有効に利用するだけで、知るべき情報の98% は得られるという人もいる。
6 OSINTツールの紹介
7 OSINTツール(Webブラウザで利用) 参考:OSINT 用検索エンジンあれこれ - ninoseki.github.io https://ninoseki.github.io/2018/12/03/osint-search-engine.html Google Dorks (Google
Hacking) Google検索オプション を利用(inurl:、site:) 検索文字列からサイトを 検出 ポートスキャン、 バナー情報収集 shodan.io、censys.io zoomeye.org、fofa.so SSH、httpd、RDP等が返す 情報を基にサイトを検出 種類 説明(URLなど) 用途 代理アクセス aguse.jp(アグス)、urlscan.io httpstatus.io check-host.net 対象サイトに代理でアクセスし、結 果(画面、ヘッダー情報)を確認 ※こちらのIPアドレスを知られずに調査が可能(マルウェア感染のリスクも低減) 文字列操作 CyberChef (https://gchq.github.io/CyberChef/) 文字列変換、エンコード/デコード Passive DNS VirusTotal.com PassiveTotal.com ドメイン名に割り当てられたIPアド レスの履歴 RSSフィード RSSリーダー feed43.com feedly.com、inoreader.com RSSフィードの生成 RSSリーダー
8 某機関 偽サイトによる詐欺事案
9 某機関 偽サイトによる詐欺事案 ▪電話で偽サイトに誘導し、振込をさせる詐欺 ・主に20~40代の女性が被害者。(PCやスマホに詳しい世代) ・犯人側は、被害者の氏名と電話番号、住所を知っている。 ・某機関(偽サイト)に接続させ信用させる。 ▪具体的な手口 ①警視庁捜査二課を名乗り、「〇〇県〇〇市の〇〇さんで間違いない
ですか?」と電話がかかってくる。→住所も言い当てることで信用させる。 ②被害者名義の銀行口座がマネーロンダリングに悪用されている と告げられる。 ③犯人が言うIPアドレスにブラウザで接続。偽サイトが開く。 ④事件内容というリンクをクリック、氏名の入力画面。 ⑤入力後、実名の某機関を模したハンコ入りの通達事項。 「無実が証明されるまで捜査当局に協力しなければならない」と記載。 ⑥事件に関連した口座が凍結されることの回避のため、「金融庁の口座 に資金を移動させ正当性を確認する」という名目で振り込ませる。 参考:検察庁ホームページの偽サイトにご注意ください。 https://www.kensatsu.go.jp/page1000008.html
10 OSINTツールによる調査
Googleで調査してみよう! 11 ▪Googleで、URLのパス(/kakuchou/tokyo/)を検索 ・URLに特定の文字列を含む。「inurl:/kakucho/tokyo/」 ・特定のサイトを含めない。「-site:kensatsu.go.jp」
Googleで調査してみよう! 12 ▪Googleで、URLのパス(/kakuchou/tokyo/)を検索 ・URLに特定の文字列を含む。「inurl:/kakucho/tokyo/」 ・特定のサイトを含めない。「-site:kensatsu.go.jp」
Googleで調査してみよう! 13 ▪Googleで、URLのパス(/kakuchou/tokyo/)を検索 ・URLに特定の文字列を含む。「inurl:/kakucho/tokyo/」 ・特定のサイトを含めない。「-site:kensatsu.go.jp」 以前は、この検索だけで、IPアドレスを 知ることができたが、偽サイトが稼働し ている時間が短くなったことで捕捉でき なくなってきている。 (クロールに引っかからない)
同じ理由により、shodan.ioで、 http.title:〇〇〇〇〇〇庁 を検索しても目的とする情報が ヒットしない。 shodan.ioで調査してみよう! 14 ▪shodan.ioで、タイトル(http.title)を指定して検索
shodan.ioで調査してみよう! 15 ▪shodan.ioで、タイトル(http.title)を指定して検索 IPアドレス Last-Modified: コンテンツの最終更新日時 Date:アクセス日時 Date:アクセス日時 Last-Modified:ヘッダー Sat,
24 Nov 2018 07:58:34 GMT IPとDate:ヘッダー 174.139.100.70 (Date:Sun, 14 Apr 2019 09:22:52 GMT) 174.139.100.66 (Date:Fri, 19 Apr 2019 22:37:48 GMT)
PassiveDNSを調査してみよう! 16 ドメイン名 chinaaiq.com(アクセスできた日時不明) nltsc.top(2019-06-05(水) 12:05:17 JST) ▪VirusTotalとPassiveTotalでドメインの名前解決の履歴を調査
PassiveDNSを調査してみよう! 17 ▪VirusTotalとPassiveTotalでドメインの名前解決の履歴を調査 ドメイン名 chinaaiq.com(アクセスできた日時不明) nltsc.top(2019-06-05(水) 12:05:17 JST) Google(2019-06-05) VirusTotal(2019-06-12)
PassiveTotal(~2019-06-14) 98.126.9.218 が使われていたことは、ほぼ確定 (2019-06-28現在もActive)
censys.io(Last-Modified、Fingerprintをキーに) 18
censys.io(Last-Modified、Fingerprintをキーに) 19 2019年6月28日時点の稼働IPアドレス 98.126.205. 50~54 98.126. 9.218~222 98.126.187. 50~54 ※すべて同じAS35908(Krypt
Technologies) SSHのホストキーをもとに検索すると芋づる式にヒット。 (おそらく、Ansible/rsync等を使って作業の効率化を行う関係上、 ホストキーを共通にしているものと推測。) Fingerprintは、SSHサーバのホストキー(公開鍵)です。 これまでの実績から、 それぞれ5つの連続 したIPアドレスを持つ
check-host.netでポートスキャン 20 ▪censys.io、shodan.ioでも開きポートは分かるがリアルタイムではない。 DoS攻撃を仕掛けた攻撃者が証拠を示すのによく使わる(check-host.net) IPアドレス:ポート番号、とすることでポートにつながるかテストできる。
21 本物サイトと偽物サイトの違い 本物 偽物
「捜査中事件」をクリックすると… 22
「捜査中事件」をクリックすると… 23 つぶやいた次の日に 令和対応! 「深淵をのぞく時、深淵もまた こちらをのぞいているのだ」 ニーチェ
どのような仕組みなのか… 24 偽の入力画面のHTMLソースに JavaScriptが含まれている。
どのような仕組みなのか… 25 偽の入力画面のHTMLソースに JavaScriptが含まれている。
/data/source.jsonを見てみよう! 26 ▪httpstatus.ioで、同時に複数のサイトを観測
/data/source.jsonを見てみよう! 27 ▪httpstatus.ioで、同時に複数のサイトを観測
UnicodeをCyberChefでデコード 28 ▪CyberChef(https://gchq.github.io/CyberChef/) Unescape Unicode Characters
UnicodeをCyberChefでデコード 29 Unescape Unicode Characters ▪CyberChef(https://gchq.github.io/CyberChef/)
30 まとめ ◆一つの情報を足掛かりに、いろんな情報が芋づる式 に分かる場合があります。 ◆OSINT用検索エンジン(shodan.io、censys.ioなど) 面白いです!(アカウントを作ると、より良いです。) ◆IPアドレスやドメイン名は、マスキングせずに公開して もらえると大変助かります!(リプ、DMください)
ご清聴ありがとうございました。 31 フォロー待ってるニャ! @catnap707