不審なURLの見つけ方
by
sec-chick
Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
怪しいURLの見つけ方 俺たちのセキュリティはこれからだ!雰囲気セキュリティ勉強会#3
Slide 2
Slide 2 text
WHO AM I
Slide 3
Slide 3 text
名前:せっくちっく(@one_chick_sec) 仕事:プライベートSOCのアナリスト 趣味:ダンボー撮影、ハニーポット観察
Slide 4
Slide 4 text
注意 不審なURLを扱う場合は注意して扱ってください 今回の調査で全ての不審なURLを見つかられ る訳ではありません あくまで参考程度に聞いてください 発表は、個人の見解であり所属する組織とは無 関係です
Slide 5
Slide 5 text
今回の発表のモチベーション
Slide 6
Slide 6 text
インシデント対応にて
Slide 7
Slide 7 text
インシデント発生した際に感染経路が分からな いのでとりあえず、Webプロキシのログから怪し いURLがないか調査して依頼が来ることがある
Slide 8
Slide 8 text
すごーい人はログを目で見てなんとなく分かる らしい 目Grep出来るほど、スキルもない 調査方法を検討しておく必要がある
Slide 9
Slide 9 text
今回は怪しい通信先をWebプロキシから見つける 方法を調査
Slide 10
Slide 10 text
実験に利用したWEB プロキシのログ
Slide 11
Slide 11 text
今回はURLの情報から怪しい通信先を見つける方 法を検討 用意したログは適当にサイト閲覧したログに Exploit kit(EK)のURLをミックス 今回はEKに絞っていったん、調査 EKのURLは 「Malware Traffic Analysis」に2021年 度の記事に記載されているものを対象 ユニークなFQDN数は164でURL数は1399件 EKのユニークなFQDN数は6件,URL数は25件
Slide 12
Slide 12 text
今回利用したEKの情報 2021-03-08 - SPELEVO EXPLOIT KIT (EK) PUSHES ZLOADER MALWARE 2021-02-05 (FRIDAY) - SPELEVO EXPLOIT KIT (EK) SENDS SHARIK/SMOKELOADER https://www.malware-traffic- analysis.net/2021/03/08/index.html https://www.malware-traffic- analysis.net/2021/02/05/index.html
Slide 13
Slide 13 text
2021-02-04 (THURSDAY) - RIG EK SENDS POSSIBLE BUERLOADER 2021-01-05 (TUESDAY) - PURPLEFOX EK PUSHES NUGGETPHANTOM MALWARE https://www.malware-traffic- analysis.net/2021/02/04/index.html https://www.malware-traffic- analysis.net/2021/01/05/index.html
Slide 14
Slide 14 text
1.VIRUSTOTALで FQDNを調査
Slide 15
Slide 15 text
URLの調査で不審なURLではないか調査するのに よく使うVirusTotalで調査 全てのURLを調査すると数が多いので、今回はユ ニークなFQDNに絞って調査 サイトに入力すると時間がかかる、めんどくさ いのでpythonプログラムで調査
Slide 16
Slide 16 text
結果 EKのURLは6件の内、5件検知することができた 検知出来ていなかったFQDNはコメントには不審 だという情報がいくつか有 VTで完璧に検知できるわけではない ただし、時間がかかるのでプログラムで回しな がら、平行しながら別の観点で調査したほうが よさそう
Slide 17
Slide 17 text
No content
Slide 18
Slide 18 text
2.プロトコルでの調査
Slide 19
Slide 19 text
WEB閲覧では主にHTTP、HTTPSプロトコルが利 用される HTTP、HTTPSの違いで不審なURLが見つかれるか 調査
Slide 20
Slide 20 text
結果 HTTPSの通信は1378件でそのうちEK関連のURLは 5件 HTTPでの通信は21件でそのうち20件がEK関連の URL 通常の閲覧ではHTTPSのプロトコルがほとんどで あるため、HTTPを利用した通信から調べてみる のは有
Slide 21
Slide 21 text
3.IPでの調査
Slide 22
Slide 22 text
FQDNにIPアドレスが使われているものについて 調査
Slide 23
Slide 23 text
結果 FQDNにIPアドレスが使われているものは2件のみ いずれもEKで利用されているもの FQDNにIPアドレスが利用されているものは怪し い可能性がある
Slide 24
Slide 24 text
4. EKFIDDLEの正規表現
Slide 25
Slide 25 text
EK FIDDLERとは 不審なWEBトラフィックを調査してくれるツー ル Github上で公開されている HTTP/HTTPS リクエストやレスポンスの確認でき るFiddlerにセットアップして利用 Webトラフィックを Fiddler でキャプチャし、不 審なURLであった場合はコメントに記載される
Slide 26
Slide 26 text
EK FIDDLERの正規表現 EK Fiddler上で検知するための正規表現が公開さ れている この正規表現を利用し、検知できるか確認
Slide 27
Slide 27 text
結果 検知できず。。。。 プログラムの実装方法が悪かった可能性はある が、EK Fiddler は更新が盛んに行われているた め、最新のEK以外では検知できない可能性があ るかもしれない。。。。。
Slide 28
Slide 28 text
結論 不審なURLを調査する方法を検討 VTである程度は検知できるか完璧ではない プロトコルやIPアドレスの利用に注目すると怪し いURLを見つけられる可能性有 ※上記の方法も完璧な調査方法ではない 機械学習で調査してみるもの面白いかも 良いアイディアがありましたら、ぜひ共有して もらえると嬉しいです。
Slide 29
Slide 29 text
終わり