Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
OSINT_tools-20190628.pdf
hiro
June 28, 2019
Technology
4
1.1k
OSINT_tools-20190628.pdf
hiro
June 28, 2019
Tweet
Share
More Decks by hiro
See All by hiro
Observe_C2Servers_Phorpiex_Avaddon_-20200630.pdf
ctrl_z3r0
1
880
Observe_C2Servers_via_MonitoringService-20200330.pdf
ctrl_z3r0
2
680
Remove_obfuscation_in_Emotet_PowershellScript-20200129.pdf
ctrl_z3r0
2
2.1k
Honeypot-on-GCP-20191201.pdf
ctrl_z3r0
0
480
HackingDojo_De-Ice_1.110_-20191203.pdf
ctrl_z3r0
5
1k
Investigating-Malware-20191030
ctrl_z3r0
4
960
Honeypot_on_GCP-20191006.pdf
ctrl_z3r0
4
1.1k
AntiPortscan-20190925
ctrl_z3r0
2
660
Honeypot on GCE (Google Compute Engine)
ctrl_z3r0
1
660
Other Decks in Technology
See All in Technology
SlackBotで あらゆる業務を自動化。問い合わせ〜DevOpsまで #CODT2022
kogatakanori
0
990
プログラマがオブジェクト指向しても幸せになれない理由
shirayanagiryuji
0
160
The Fractal Geometry of Software Design
vladikk
1
1.3k
ラブグラフ紹介資料 〜プロダクト解体新書〜 / Lovegraph Product Deck
lovegraph
0
310
DeepL の用語集が(いつのまにか)日本語に対応してたので試してみた
irokawah0
0
180
Implementing Kubernetes operators in Java with Micronaut - TechWeek Java Summit 2022
alvarosanchez
0
120
Introduction To Technical Writing
olawanle_joel
0
100
Google Cloud Updates 2022/05/16-05/31
no24oka
2
110
セキュリティ 開運研修2022 / security 2022
cybozuinsideout
PRO
3
3.9k
LINEのB2Bプラットフォームにおけるトラブルシューティング2選
line_developers
PRO
4
310
JAWS-UG re:Habilitaion 報告 / JAWS-UG OITA rehabilitation
hiranofumio
0
130
現状のFedCMの動作解説と OIDCとの親和性について- OpenID TechNight vol.19
ritou
2
460
Featured
See All Featured
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
100
5.9k
Scaling GitHub
holman
451
140k
Become a Pro
speakerdeck
PRO
3
850
Designing on Purpose - Digital PM Summit 2013
jponch
106
5.6k
Producing Creativity
orderedlist
PRO
334
37k
JazzCon 2018 Closing Keynote - Leadership for the Reluctant Leader
reverentgeek
172
8.4k
10 Git Anti Patterns You Should be Aware of
lemiorhan
638
52k
Gamification - CAS2011
davidbonilla
75
3.9k
From Idea to $5000 a Month in 5 Months
shpigford
373
44k
Automating Front-end Workflow
addyosmani
1351
200k
Making Projects Easy
brettharned
98
4.3k
The Invisible Customer
myddelton
110
11k
Transcript
偽サイトをOSINTツールで追う! 第28回ゼロから始めるセキュリティ入門 勉強会 2019/06/28 hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)
自己紹介 hiro(Twitter:@ctrl_z3r0) ※勉強会用アカウント ねこさん⚡Иow or Иever(ΦωΦ) @catnap707 ばらまきメールウォッチャー
アジェンダ 1 OSINTとは 2 OSINTツールの紹介 3 某機関 偽サイトによる詐欺事案 4 OSINTツールによる調査 5 まとめ 3
4 OSINTとは
5 OSINTとは 公開情報 OSINT (オシント) Webサイトや書籍などの公開情報 (オープン・ソース・インテリジェンス) 非公開情報 HUMINT (ヒューミント)
人から情報を収集 SIGINT (シギント) 通信、電磁波、 信号等の傍受を 利用した諜報活動 参考:第382号コラム「3つのインテリジェンス」 - デジタル・フォレンジック研究会 https://digitalforensic.jp/2015/10/05/column382/ ※OSINTを有効に利用するだけで、知るべき情報の98% は得られるという人もいる。
6 OSINTツールの紹介
7 OSINTツール(Webブラウザで利用) 参考:OSINT 用検索エンジンあれこれ - ninoseki.github.io https://ninoseki.github.io/2018/12/03/osint-search-engine.html Google Dorks (Google
Hacking) Google検索オプション を利用(inurl:、site:) 検索文字列からサイトを 検出 ポートスキャン、 バナー情報収集 shodan.io、censys.io zoomeye.org、fofa.so SSH、httpd、RDP等が返す 情報を基にサイトを検出 種類 説明(URLなど) 用途 代理アクセス aguse.jp(アグス)、urlscan.io httpstatus.io check-host.net 対象サイトに代理でアクセスし、結 果(画面、ヘッダー情報)を確認 ※こちらのIPアドレスを知られずに調査が可能(マルウェア感染のリスクも低減) 文字列操作 CyberChef (https://gchq.github.io/CyberChef/) 文字列変換、エンコード/デコード Passive DNS VirusTotal.com PassiveTotal.com ドメイン名に割り当てられたIPアド レスの履歴 RSSフィード RSSリーダー feed43.com feedly.com、inoreader.com RSSフィードの生成 RSSリーダー
8 某機関 偽サイトによる詐欺事案
9 某機関 偽サイトによる詐欺事案 ▪電話で偽サイトに誘導し、振込をさせる詐欺 ・主に20~40代の女性が被害者。(PCやスマホに詳しい世代) ・犯人側は、被害者の氏名と電話番号、住所を知っている。 ・某機関(偽サイト)に接続させ信用させる。 ▪具体的な手口 ①警視庁捜査二課を名乗り、「〇〇県〇〇市の〇〇さんで間違いない
ですか?」と電話がかかってくる。→住所も言い当てることで信用させる。 ②被害者名義の銀行口座がマネーロンダリングに悪用されている と告げられる。 ③犯人が言うIPアドレスにブラウザで接続。偽サイトが開く。 ④事件内容というリンクをクリック、氏名の入力画面。 ⑤入力後、実名の某機関を模したハンコ入りの通達事項。 「無実が証明されるまで捜査当局に協力しなければならない」と記載。 ⑥事件に関連した口座が凍結されることの回避のため、「金融庁の口座 に資金を移動させ正当性を確認する」という名目で振り込ませる。 参考:検察庁ホームページの偽サイトにご注意ください。 https://www.kensatsu.go.jp/page1000008.html
10 OSINTツールによる調査
Googleで調査してみよう! 11 ▪Googleで、URLのパス(/kakuchou/tokyo/)を検索 ・URLに特定の文字列を含む。「inurl:/kakucho/tokyo/」 ・特定のサイトを含めない。「-site:kensatsu.go.jp」
Googleで調査してみよう! 12 ▪Googleで、URLのパス(/kakuchou/tokyo/)を検索 ・URLに特定の文字列を含む。「inurl:/kakucho/tokyo/」 ・特定のサイトを含めない。「-site:kensatsu.go.jp」
Googleで調査してみよう! 13 ▪Googleで、URLのパス(/kakuchou/tokyo/)を検索 ・URLに特定の文字列を含む。「inurl:/kakucho/tokyo/」 ・特定のサイトを含めない。「-site:kensatsu.go.jp」 以前は、この検索だけで、IPアドレスを 知ることができたが、偽サイトが稼働し ている時間が短くなったことで捕捉でき なくなってきている。 (クロールに引っかからない)
同じ理由により、shodan.ioで、 http.title:〇〇〇〇〇〇庁 を検索しても目的とする情報が ヒットしない。 shodan.ioで調査してみよう! 14 ▪shodan.ioで、タイトル(http.title)を指定して検索
shodan.ioで調査してみよう! 15 ▪shodan.ioで、タイトル(http.title)を指定して検索 IPアドレス Last-Modified: コンテンツの最終更新日時 Date:アクセス日時 Date:アクセス日時 Last-Modified:ヘッダー Sat,
24 Nov 2018 07:58:34 GMT IPとDate:ヘッダー 174.139.100.70 (Date:Sun, 14 Apr 2019 09:22:52 GMT) 174.139.100.66 (Date:Fri, 19 Apr 2019 22:37:48 GMT)
PassiveDNSを調査してみよう! 16 ドメイン名 chinaaiq.com(アクセスできた日時不明) nltsc.top(2019-06-05(水) 12:05:17 JST) ▪VirusTotalとPassiveTotalでドメインの名前解決の履歴を調査
PassiveDNSを調査してみよう! 17 ▪VirusTotalとPassiveTotalでドメインの名前解決の履歴を調査 ドメイン名 chinaaiq.com(アクセスできた日時不明) nltsc.top(2019-06-05(水) 12:05:17 JST) Google(2019-06-05) VirusTotal(2019-06-12)
PassiveTotal(~2019-06-14) 98.126.9.218 が使われていたことは、ほぼ確定 (2019-06-28現在もActive)
censys.io(Last-Modified、Fingerprintをキーに) 18
censys.io(Last-Modified、Fingerprintをキーに) 19 2019年6月28日時点の稼働IPアドレス 98.126.205. 50~54 98.126. 9.218~222 98.126.187. 50~54 ※すべて同じAS35908(Krypt
Technologies) SSHのホストキーをもとに検索すると芋づる式にヒット。 (おそらく、Ansible/rsync等を使って作業の効率化を行う関係上、 ホストキーを共通にしているものと推測。) Fingerprintは、SSHサーバのホストキー(公開鍵)です。 これまでの実績から、 それぞれ5つの連続 したIPアドレスを持つ
check-host.netでポートスキャン 20 ▪censys.io、shodan.ioでも開きポートは分かるがリアルタイムではない。 DoS攻撃を仕掛けた攻撃者が証拠を示すのによく使わる(check-host.net) IPアドレス:ポート番号、とすることでポートにつながるかテストできる。
21 本物サイトと偽物サイトの違い 本物 偽物
「捜査中事件」をクリックすると… 22
「捜査中事件」をクリックすると… 23 つぶやいた次の日に 令和対応! 「深淵をのぞく時、深淵もまた こちらをのぞいているのだ」 ニーチェ
どのような仕組みなのか… 24 偽の入力画面のHTMLソースに JavaScriptが含まれている。
どのような仕組みなのか… 25 偽の入力画面のHTMLソースに JavaScriptが含まれている。
/data/source.jsonを見てみよう! 26 ▪httpstatus.ioで、同時に複数のサイトを観測
/data/source.jsonを見てみよう! 27 ▪httpstatus.ioで、同時に複数のサイトを観測
UnicodeをCyberChefでデコード 28 ▪CyberChef(https://gchq.github.io/CyberChef/) Unescape Unicode Characters
UnicodeをCyberChefでデコード 29 Unescape Unicode Characters ▪CyberChef(https://gchq.github.io/CyberChef/)
30 まとめ ◆一つの情報を足掛かりに、いろんな情報が芋づる式 に分かる場合があります。 ◆OSINT用検索エンジン(shodan.io、censys.ioなど) 面白いです!(アカウントを作ると、より良いです。) ◆IPアドレスやドメイン名は、マスキングせずに公開して もらえると大変助かります!(リプ、DMください)
ご清聴ありがとうございました。 31 フォロー待ってるニャ! @catnap707