不審なURLの見つけ方

by sec-chick

Slide 1

Slide 1 text

怪しいURLの見つけ方俺たちのセキュリティはこれからだ！雰囲気セキュリティ勉強会#3

Slide 2

Slide 2 text

WHO AM I

Slide 3

Slide 3 text

名前：せっくちっく(@one_chick_sec) 仕事：プライベートSOCのアナリスト趣味：ダンボー撮影、ハニーポット観察

Slide 4

Slide 4 text

注意不審なURLを扱う場合は注意して扱ってください今回の調査で全ての不審なＵＲＬを見つかられる訳ではありませんあくまで参考程度に聞いてください発表は、個人の見解であり所属する組織とは無関係です

Slide 5

Slide 5 text

今回の発表のモチベーション

Slide 6

Slide 6 text

インシデント対応にて

Slide 7

Slide 7 text

インシデント発生した際に感染経路が分からないのでとりあえず、Webプロキシのログから怪しいURLがないか調査して依頼が来ることがある

Slide 8

Slide 8 text

すごーい人はログを目で見てなんとなく分かるらしい目Grep出来るほど、スキルもない調査方法を検討しておく必要がある

Slide 9

Slide 9 text

今回は怪しい通信先をWebプロキシから見つける方法を調査

Slide 10

Slide 10 text

実験に利用したWEB プロキシのログ

Slide 11

Slide 11 text

今回はURLの情報から怪しい通信先を見つける方法を検討用意したログは適当にサイト閲覧したログに Exploit kit(EK)のURLをミックス今回はEKに絞っていったん、調査 EKのURLは「Malware Traffic Analysis」に2021年度の記事に記載されているものを対象ユニークなFQDN数は164でURL数は1399件 EKのユニークなFQDN数は6件,URL数は25件

Slide 12

Slide 12 text

今回利用したEKの情報 2021-03-08 - SPELEVO EXPLOIT KIT (EK) PUSHES ZLOADER MALWARE 2021-02-05 (FRIDAY) - SPELEVO EXPLOIT KIT (EK) SENDS SHARIK/SMOKELOADER https://www.malware-traffic- analysis.net/2021/03/08/index.html https://www.malware-traffic- analysis.net/2021/02/05/index.html

Slide 13

Slide 13 text

2021-02-04 (THURSDAY) - RIG EK SENDS POSSIBLE BUERLOADER 2021-01-05 (TUESDAY) - PURPLEFOX EK PUSHES NUGGETPHANTOM MALWARE https://www.malware-traffic- analysis.net/2021/02/04/index.html https://www.malware-traffic- analysis.net/2021/01/05/index.html

Slide 14

Slide 14 text

1.VIRUSTOTALで FQDNを調査

Slide 15

Slide 15 text

URLの調査で不審なURLではないか調査するのによく使うVirusTotalで調査全てのURLを調査すると数が多いので、今回はユニークなFQDNに絞って調査サイトに入力すると時間がかかる、めんどくさいのでpythonプログラムで調査

Slide 16

Slide 16 text

結果 EKのURLは6件の内、5件検知することができた検知出来ていなかったFQDNはコメントには不審だという情報がいくつか有 VTで完璧に検知できるわけではないただし、時間がかかるのでプログラムで回しながら、平行しながら別の観点で調査したほうがよさそう

Slide 17

Slide 17 text

No content

Slide 18

Slide 18 text

2.プロトコルでの調査

Slide 19

Slide 19 text

WEB閲覧では主にHTTP、HTTPSプロトコルが利用される HTTP、HTTPSの違いで不審なURLが見つかれるか調査

Slide 20

Slide 20 text

結果 HTTPSの通信は1378件でそのうちEK関連のURLは 5件 HTTPでの通信は21件でそのうち20件がEK関連の URL 通常の閲覧ではHTTPSのプロトコルがほとんどであるため、HTTPを利用した通信から調べてみるのは有

Slide 21

Slide 21 text

3.IPでの調査

Slide 22

Slide 22 text

FQDNにIPアドレスが使われているものについて調査

Slide 23

Slide 23 text

結果 FQDNにIPアドレスが使われているものは2件のみいずれもEKで利用されているもの FQDNにIPアドレスが利用されているものは怪しい可能性がある

Slide 24

Slide 24 text

4. EKFIDDLEの正規表現

Slide 25

Slide 25 text

EK FIDDLERとは不審なWEBトラフィックを調査してくれるツール Github上で公開されている HTTP/HTTPS リクエストやレスポンスの確認できるFiddlerにセットアップして利用 Webトラフィックを Fiddler でキャプチャし、不審なURLであった場合はコメントに記載される

Slide 26

Slide 26 text

EK FIDDLERの正規表現 EK Fiddler上で検知するための正規表現が公開されているこの正規表現を利用し、検知できるか確認

Slide 27

Slide 27 text

結果検知できず。。。。プログラムの実装方法が悪かった可能性はあるが、EK Fiddler は更新が盛んに行われているため、最新のEK以外では検知できない可能性があるかもしれない。。。。。

Slide 28

Slide 28 text

結論不審なURLを調査する方法を検討 VTである程度は検知できるか完璧ではないプロトコルやIPアドレスの利用に注目すると怪しいＵＲＬを見つけられる可能性有 ※上記の方法も完璧な調査方法ではない機械学習で調査してみるもの面白いかも良いアイディアがありましたら、ぜひ共有してもらえると嬉しいです。

Slide 29

Slide 29 text

終わり