Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up
for free
OSINT_tools-20190628.pdf
hiro
June 28, 2019
Technology
4
900
OSINT_tools-20190628.pdf
hiro
June 28, 2019
Tweet
Share
More Decks by hiro
See All by hiro
ctrl_z3r0
1
680
ctrl_z3r0
2
530
ctrl_z3r0
2
1.8k
ctrl_z3r0
0
230
ctrl_z3r0
5
790
ctrl_z3r0
4
670
ctrl_z3r0
4
950
ctrl_z3r0
2
460
ctrl_z3r0
1
470
Other Decks in Technology
See All in Technology
kadoppe
1
240
tutsunom
1
180
waka
6
3.1k
thorstenhans
0
110
oracle4engineer
0
150
yasuakiomokawa
0
270
brtriver
1
540
sei88888
5
470
finengine
0
360
prog893
0
150
kentaro
2
560
akakou
2
410
Featured
See All Featured
erikaheidi
15
4.5k
brad_frost
157
6.5k
mongodb
23
3.9k
frogandcode
128
20k
kneath
220
15k
lauravandoore
12
1.7k
geeforr
333
29k
roundedbygravity
84
7.9k
iamctodd
22
2.2k
jensimmons
208
10k
jcasabona
8
590
trallard
15
830
Transcript
偽サイトをOSINTツールで追う! 第28回ゼロから始めるセキュリティ入門 勉強会 2019/06/28 hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)
自己紹介 hiro(Twitter:@ctrl_z3r0) ※勉強会用アカウント ねこさん⚡Иow or Иever(ΦωΦ) @catnap707 ばらまきメールウォッチャー
アジェンダ 1 OSINTとは 2 OSINTツールの紹介 3 某機関 偽サイトによる詐欺事案 4 OSINTツールによる調査 5 まとめ 3
4 OSINTとは
5 OSINTとは 公開情報 OSINT (オシント) Webサイトや書籍などの公開情報 (オープン・ソース・インテリジェンス) 非公開情報 HUMINT (ヒューミント)
人から情報を収集 SIGINT (シギント) 通信、電磁波、 信号等の傍受を 利用した諜報活動 参考:第382号コラム「3つのインテリジェンス」 - デジタル・フォレンジック研究会 https://digitalforensic.jp/2015/10/05/column382/ ※OSINTを有効に利用するだけで、知るべき情報の98% は得られるという人もいる。
6 OSINTツールの紹介
7 OSINTツール(Webブラウザで利用) 参考:OSINT 用検索エンジンあれこれ - ninoseki.github.io https://ninoseki.github.io/2018/12/03/osint-search-engine.html Google Dorks (Google
Hacking) Google検索オプション を利用(inurl:、site:) 検索文字列からサイトを 検出 ポートスキャン、 バナー情報収集 shodan.io、censys.io zoomeye.org、fofa.so SSH、httpd、RDP等が返す 情報を基にサイトを検出 種類 説明(URLなど) 用途 代理アクセス aguse.jp(アグス)、urlscan.io httpstatus.io check-host.net 対象サイトに代理でアクセスし、結 果(画面、ヘッダー情報)を確認 ※こちらのIPアドレスを知られずに調査が可能(マルウェア感染のリスクも低減) 文字列操作 CyberChef (https://gchq.github.io/CyberChef/) 文字列変換、エンコード/デコード Passive DNS VirusTotal.com PassiveTotal.com ドメイン名に割り当てられたIPアド レスの履歴 RSSフィード RSSリーダー feed43.com feedly.com、inoreader.com RSSフィードの生成 RSSリーダー
8 某機関 偽サイトによる詐欺事案
9 某機関 偽サイトによる詐欺事案 ▪電話で偽サイトに誘導し、振込をさせる詐欺 ・主に20~40代の女性が被害者。(PCやスマホに詳しい世代) ・犯人側は、被害者の氏名と電話番号、住所を知っている。 ・某機関(偽サイト)に接続させ信用させる。 ▪具体的な手口 ①警視庁捜査二課を名乗り、「〇〇県〇〇市の〇〇さんで間違いない
ですか?」と電話がかかってくる。→住所も言い当てることで信用させる。 ②被害者名義の銀行口座がマネーロンダリングに悪用されている と告げられる。 ③犯人が言うIPアドレスにブラウザで接続。偽サイトが開く。 ④事件内容というリンクをクリック、氏名の入力画面。 ⑤入力後、実名の某機関を模したハンコ入りの通達事項。 「無実が証明されるまで捜査当局に協力しなければならない」と記載。 ⑥事件に関連した口座が凍結されることの回避のため、「金融庁の口座 に資金を移動させ正当性を確認する」という名目で振り込ませる。 参考:検察庁ホームページの偽サイトにご注意ください。 https://www.kensatsu.go.jp/page1000008.html
10 OSINTツールによる調査
Googleで調査してみよう! 11 ▪Googleで、URLのパス(/kakuchou/tokyo/)を検索 ・URLに特定の文字列を含む。「inurl:/kakucho/tokyo/」 ・特定のサイトを含めない。「-site:kensatsu.go.jp」
Googleで調査してみよう! 12 ▪Googleで、URLのパス(/kakuchou/tokyo/)を検索 ・URLに特定の文字列を含む。「inurl:/kakucho/tokyo/」 ・特定のサイトを含めない。「-site:kensatsu.go.jp」
Googleで調査してみよう! 13 ▪Googleで、URLのパス(/kakuchou/tokyo/)を検索 ・URLに特定の文字列を含む。「inurl:/kakucho/tokyo/」 ・特定のサイトを含めない。「-site:kensatsu.go.jp」 以前は、この検索だけで、IPアドレスを 知ることができたが、偽サイトが稼働し ている時間が短くなったことで捕捉でき なくなってきている。 (クロールに引っかからない)
同じ理由により、shodan.ioで、 http.title:〇〇〇〇〇〇庁 を検索しても目的とする情報が ヒットしない。 shodan.ioで調査してみよう! 14 ▪shodan.ioで、タイトル(http.title)を指定して検索
shodan.ioで調査してみよう! 15 ▪shodan.ioで、タイトル(http.title)を指定して検索 IPアドレス Last-Modified: コンテンツの最終更新日時 Date:アクセス日時 Date:アクセス日時 Last-Modified:ヘッダー Sat,
24 Nov 2018 07:58:34 GMT IPとDate:ヘッダー 174.139.100.70 (Date:Sun, 14 Apr 2019 09:22:52 GMT) 174.139.100.66 (Date:Fri, 19 Apr 2019 22:37:48 GMT)
PassiveDNSを調査してみよう! 16 ドメイン名 chinaaiq.com(アクセスできた日時不明) nltsc.top(2019-06-05(水) 12:05:17 JST) ▪VirusTotalとPassiveTotalでドメインの名前解決の履歴を調査
PassiveDNSを調査してみよう! 17 ▪VirusTotalとPassiveTotalでドメインの名前解決の履歴を調査 ドメイン名 chinaaiq.com(アクセスできた日時不明) nltsc.top(2019-06-05(水) 12:05:17 JST) Google(2019-06-05) VirusTotal(2019-06-12)
PassiveTotal(~2019-06-14) 98.126.9.218 が使われていたことは、ほぼ確定 (2019-06-28現在もActive)
censys.io(Last-Modified、Fingerprintをキーに) 18
censys.io(Last-Modified、Fingerprintをキーに) 19 2019年6月28日時点の稼働IPアドレス 98.126.205. 50~54 98.126. 9.218~222 98.126.187. 50~54 ※すべて同じAS35908(Krypt
Technologies) SSHのホストキーをもとに検索すると芋づる式にヒット。 (おそらく、Ansible/rsync等を使って作業の効率化を行う関係上、 ホストキーを共通にしているものと推測。) Fingerprintは、SSHサーバのホストキー(公開鍵)です。 これまでの実績から、 それぞれ5つの連続 したIPアドレスを持つ
check-host.netでポートスキャン 20 ▪censys.io、shodan.ioでも開きポートは分かるがリアルタイムではない。 DoS攻撃を仕掛けた攻撃者が証拠を示すのによく使わる(check-host.net) IPアドレス:ポート番号、とすることでポートにつながるかテストできる。
21 本物サイトと偽物サイトの違い 本物 偽物
「捜査中事件」をクリックすると… 22
「捜査中事件」をクリックすると… 23 つぶやいた次の日に 令和対応! 「深淵をのぞく時、深淵もまた こちらをのぞいているのだ」 ニーチェ
どのような仕組みなのか… 24 偽の入力画面のHTMLソースに JavaScriptが含まれている。
どのような仕組みなのか… 25 偽の入力画面のHTMLソースに JavaScriptが含まれている。
/data/source.jsonを見てみよう! 26 ▪httpstatus.ioで、同時に複数のサイトを観測
/data/source.jsonを見てみよう! 27 ▪httpstatus.ioで、同時に複数のサイトを観測
UnicodeをCyberChefでデコード 28 ▪CyberChef(https://gchq.github.io/CyberChef/) Unescape Unicode Characters
UnicodeをCyberChefでデコード 29 Unescape Unicode Characters ▪CyberChef(https://gchq.github.io/CyberChef/)
30 まとめ ◆一つの情報を足掛かりに、いろんな情報が芋づる式 に分かる場合があります。 ◆OSINT用検索エンジン(shodan.io、censys.ioなど) 面白いです!(アカウントを作ると、より良いです。) ◆IPアドレスやドメイン名は、マスキングせずに公開して もらえると大変助かります!(リプ、DMください)
ご清聴ありがとうございました。 31 フォロー待ってるニャ! @catnap707