Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Days Spring 2021のOSINTに関する講演4つの簡易まとめ/os_int_webinars2021spr

C422cc033079e005fd1aa1b845b099da?s=47 meow
July 09, 2021

Security Days Spring 2021のOSINTに関する講演4つの簡易まとめ/os_int_webinars2021spr

2021/05/27(木) に 第7回 初心者のためのセキュリティ勉強会(オンライン開催) で発表した資料です。

https://sfb.connpass.com/event/213016/

■ おすすめリンク
・OSINTによるマルウェア調査ハンズオン(スレットインテリジェンスの一例)
https://speakerdeck.com/ctrl_z3r0/investigating-malware-20191030

C422cc033079e005fd1aa1b845b099da?s=128

meow

July 09, 2021
Tweet

Transcript

  1. Security Days Spring 2021の OSINTに関する講演4つのメモ 第7回 初心者のためのセキュリティ勉強会(オンライン開催) meow (id: meow_noisy)

    2021/05/27(木)
  2. 背景  今年2,3月に開催されたSecurity DaysでOSINTの講演が 4回分あったので受講  xINT CTFの対策になるかもしれないというのが主な動機  メモを取って聞いていたが、取ったままになっていたので、

    より内容を理解するためにスライドにおこした
  3. 注意点  私の発表は間違いを含んでいるかもしれません  スライドを作るにあたって一応、下調べはしていますが、あくまで メモと記憶をもとにしているので、間違った認識のままスライドを 作っているかもしれません  その時は申し訳ございません

  4. おしながき  Security Daysとは、講演者情報  共通トピック  個別:ランサムウェア  個別:パスワード

     個別:テレワーク  個別:画像
  5. Security Days  国内で開催されるセキュリティカンファレンス  最新の脅威動向とセキュリティ対策に関するセッション、展示  オンライン視聴可能なセッションもあり  主催:

    ㈱ナノオプト・メディア  4日間、複数の場所で開催  2/19 大阪  2/24 名古屋  2/26 福岡  3/3 東京
  6. OSINTの講演  講演者:  杉浦 隆幸さん(日本ハッカー協会 理事)  xINT CTFの作問・運営も携わっている

     4日程すべてに登壇。内容は共通トピックと会場ごとの個別ト ピックからなる  共通トピック  OSINT:ハッカーから見えるインターネットの世界  会場ごとの個別トピック  大阪: ランサムウェア  名古屋: IDパスワードの漏洩  福岡:クラウドサービスとテレワーク  東京: 写真と動画
  7. 共通: OSINT:ハッカーから見える インターネットの世界

  8. 共通トピックの概要  ハッカーはインターネットで何を情報収集しているか  インテリジェンス、OSINTとは  その他

  9. ハッカーはwebブラウザで何をみているか  webページのソースコード  求人情報が載っていることも  インスペクションツールを用いて、通信の内容を解析  アクセスしてるホスト 

    フォント、アナリティクス、…  cookie  web appフレームワークの標準設定だとサーバが不要な情報を送ってい ることも  サーバのメンテ頻度を伺い知ることができる  json  secretというキーをもつ値があったりする
  10. さっくりとwebページの技術調査をしたい時  Wappalyzer  ブラウザの拡張機能の1つ  特徴  webページの使用技術をクリックひとつで出すことができる 

    ライブラリバージョンから、会社のページのメンテどれくらいの間 隔で行われているかを知ることができる。
  11. DNSサーバ  注目すべきはMXレコードとTXTレコード  コマンド  $ dig – t

    MX <ドメイン>  $ dig – t TXT <ドメイン>  MX(Mail eXchange)レコード  メールサーバの場所を知らせるためのレコード  office365やgmail, salesforceを使っていることがわかる  TXTレコード  コメントを置く場所  SPFレコード  メールサーバの場所を教えている  LAN内のIPアドレスが含まれている  これらのレコードはドメインをもつ会社が、外部サービスを 使うために必ず設定しなければならない  隠したくても隠せない
  12. 写真  画像のexifチェック  exif: 写真用のメタデータを含む画像ファイルフォーマット  webサービスによっては消されていないものも  撮影日、撮影場所(右図黄色枠)がわかるかも

     exifの確認ツール  webサービスだと 『EXIF確認君』  CUIだと『ExifTool』 EXIFの例
  13. スマホアプリの遊び方  アプリで遊ぶのではなく、パッケージを解析するという 遊び

  14. 現地での情報収集  wifiからルータ情報の収集  ルータのメーカが一覧として取得できる  大阪会場はHP社が多め  iPhone 

    テザリングしたままだと「<本名>のiPhone」というSSIDになって いる  Bluetoothを通して、近くにいる人が所持している端末の型番がわ かるらしい  どうやるのかはわからなかった
  15. 使える情報へ昇華する  情報は多いほどいいわけではない  判断や行動、意思決定に使えて始めて価値がある  情報のレベルを上げていく必要がある  「情報」のレベル 

    data(図の下)  存在している情報  information (図の中)  意味のある情報  intelligence (図の上)  分析、統合を経て入手できる 利用価値のある情報 intelligence information data 情報の 意味づけ 分析・統合などで 利用価値を向上
  16. インテリジェンスのフロー 情報A 情報B 入手した情報 情報X 入手していない情報 情報C 統合 分析 情報C1

    情報C2 情報D こんな情報があるはず(仮説) 情報E ・・・ 情報の価値  複数の情報を分析、統合、仮説の検証などを経て、より利用価値のある情報に する(information→intelligenceへ情報の価値を上げていくこと)行為自体も インテリジェンスと呼ぶ 情報を元に最終的な意思 決定へ 例) 情報ZからプランPを実 施するのがよい
  17.  data  ”0312” という文字列  HDDや画面など、ただそこにあるだけの情報  information 

    “Aさんの誕生日: 0312”  0312がどういう意味なのかを添えた情報とセット  intelligence  Aさんの暗証番号  仮説: 「0312と入力するとクラックできるかも」  informationの情報を複数あつめ、仮説を立てる どういう意味か一例を考えてみる ※間違っているかもしれません。
  18. インテリジェンスの種類 https://speakerdeck.com/ctrl_z3r0/investigating-malware-20191030?slide=6

  19. OSINTの種類(対象)  ナショナルインテリジェンス  政府、軍事など  ビジネスインテリジェンス  企業情報、従業員など 

    スレットインテリジェンス  脅威のあるip, マルウェアなど  参考文献に上げたhiroさんのスライド(ばらまき型メールに対するインテリジェン ス)がスレットインテリジェンスの一例として参考になる  サイバーインテリジェンス  ドメイン、サーバ、使用している技術など OSINTはインテリジェンスの対象によって行うことが違う。 「OSINT技術」という用語を見た時は何の情報を手に入れることか 最初に確認したほうが良い
  20. OSINTの注意点  ターゲットは我々がOSINTしていることに気づいている ことを意識して調査しなければならない  サーバとの通信は1対1  ログはサーバ内に残っている  某SNSでサブ垢を作ってOSINTをしていたら本垢ごとBANされた

    事例も
  21. 個別: ランサムウェア ダークウェブの説明が多く、一次情報へリーチできませんでした

  22. ランサムウェアに対するOSINT  脅迫の種類  暗号化  機密情報の暴露  調査場所 

    ダークウェブ  何を調査するか  被害範囲  被害の深刻度  復号手段が試せるか  ツール3種類  犯行グループ
  23. 個別:IDパスワードの漏洩

  24. パスワード漏洩  パスワードはだれでも漏れる  原因  eコマース、イベントサイトなどが不正アクセスを受けて流出  パスワード使い回しをしていると、連鎖的に被害に会う https://www.ipa.go.jp/security/keihatsu/munekyun-pw/slideshow/index.html

  25. 漏洩したID,パスワードのマーケット  ダークウェブに取引所  某国の政府機関のパスワードが平文でXX万件がBTCでいくら  パスワードはだんだん割引される  相対しての取引→公開DBとして販売→無料 

    サイズでかいのでダウンロード技術が必要
  26. 漏洩しているか調査するサイト  Have I Been Pwned  https://haveibeenpwned.com/  最近だと

    facebookの電話番号流出事件にも対応  一般のユーザは黒背景のページは抵抗感をいだきやすいとのこと  入力したメアドもHIBP側に記録される  個人情報流出チェックページ | ノートン  https://jp.norton.com/breach-detection
  27. パスワードが漏れる前提での行動  二段階認証  二要素認証  Google authenticatorなど  QRコードを保存するのを忘れてしまって、アカウントリカバリが

    できなくならないように注意
  28. パスワード漏洩に関するOSINT手順 1. 漏洩情報の事実を収集  intelligenceX(有料サービス) 2. 組織内で利用しているクラウドサービスを収集 3. 分析 

    パスワードのみだとどれくらい盗まれるか推定  利用しているサービスからパスワード認証しかないサービスを特 定 4. レポート作成 5. レポートに基づいて組織は何らかのプランを実行  例「多要素認証のないサービスは乗り換える」
  29. 個別:クラウドサービスとテレワーク

  30. テレワークの形態は6種類 1. VPN + リモートデスクトップ 2. VPN + 社内ネットワーク 3.

    シンクライアント 4. クラウドサービス経由で会社の端末に入る  team viewer, logmein 5. ゼロトラスト(社内システム入らず仕事)  office365, google workspace 6. それ以外のクラウドサービス利用 どういう形で仕事をしているかOSINT→どこがセキュリティホールそうか→攻撃手段の意思決定 もしもVPNに某製品を使用していることがわかったら…
  31. DNSへのOSINT  DNSのレコードからVPNサーバを探す  会社のLANの出口が見つかる  そこをポートスキャン  TXTレコードを見て使っているサービスを探す 

    gmail, officeなど  DNSレコードからどういうサービス使っているかの一覧の載った記 事  メールドメインがOffice 365やG Suiteを使っているかどうか判定する  https://qiita.com/Okura_/items/37024fb3adb146fb0d60
  32. 社員へのOSINT  SNSの書き込みから  「slackが落ちてるっぽい」  「VPNクッソ遅い」  …など 

    こういった書き込みから、会社の先進感を掴む  M&Aや標的型攻撃の判断材料として使う
  33. 個別:写真と動画 ※動画に対するOSINTの説明は無かった

  34. 写真のOSINT方法3つ 1. 文字情報で検索 1. 店の名前を知りたければメニューで検索 2. 「画像で検索」、類似画像検索  グーグルレンズ 

    yandex  画像の一部を切り出して検索してくれる  など 3. なぜこの写真を撮ったのか考えて、これにコメントをつけ た場合の検索キーを考える(次頁) xintctf 2018より
  35. 3の補足  右の画像の撮影場所を知りたい  これにコメントをつけた場合の検索キーを 考える  例「ちょwww人の顔のビルがあって どちゃくそびびったんやがwww」 

    「ビル 人の顔」で検索  The Barak Building(豪州) であるとわかる CYBAR OSINT CTFより
  36. 観察力(視ている物の言語化)が大事  写真が与えられた時、文字情報が少ない場合は言語化する  より詳細に xINT CTF2020より

  37. 観察力(視ている物の言語化)が大事  写真を詳しく観察し、何が写っているかラベルをふる  そこからほしい情報を引き出す  撮影場所  何時? 

    など xINT CTF2020より 青空 雲 雲 山 木々 田んぼ 草むら 電信柱 ポール 道路 影 看板 電信柱 バス 標識 山 車 電線 雲 電線 電線 雲 小屋 窓 軒 電柱の取っ手 ポール
  38. 撮影時刻の推定  この画像は2019年にとられたものだが、何月何日何時何分 に撮られたか  場所はわかるが、どうするか xINT CTF2020より

  39. 太陽の位置から撮影時刻を推定可能  webサービス「日の出・日の入り時刻・方角マップ」  https://hinode.pics/

  40. 日の入り  まだ日没していないことに注意  沈む方角、沈むまでの残り時間も逆算して推定する

  41. [余談]バスのOSINTに隠れた需要…?  この回の講演があった日、いつにも増して私のブログPVが 増えていた  どういう検索ワードで流入しているか確認  “OSINT バス”で検索された方が大勢いた模様 ブログpv

    google search consoleのクリックされた検索ワード一覧より
  42. まとめ  Security Daysの講演メモ4つをスライドにおこしたものを 発表した  パスワードは使い回さないようにしよう  写真からは思っている以上に情報を引き出せる 

    公開する時は十分注意しよう
  43. 参考文献  OSINTによるマルウェア調査  https://speakerdeck.com/ctrl_z3r0/investigating-malware- 20191030  「サイバー攻撃と戦う『ホワイトハッカー』のお仕事と は?」杉浦隆幸さん ,

    近藤弥生子さん - YouTube  https://www.youtube.com/watch?v=TcVeKCgGOQk
  44. ご清聴ありがとうございました