Upgrade to Pro — share decks privately, control downloads, hide ads and more …

不審なURLの見つけ方

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for sec-chick sec-chick
February 26, 2022
Science
550
1

 不審なURLの見つけ方

Avatar for sec-chick

sec-chick

February 26, 2022

More Decks by sec-chick

See All by sec-chick
honeypot
Avatar for sec-chick secchick
1
1k
SOCって何_公開用_-圧縮済み.pdf
Avatar for sec-chick secchick
6
2.1k
Splunkによるハニーポット監視.pdf
Avatar for sec-chick secchick
0
1.6k
WelComeToHoneyPOTWORLD/ 低対話型ハニーポットを調査してみた
Avatar for sec-chick secchick
1
2.1k

Other Decks in Science

See All in Science
【論文紹介】Is CLIP ideal? No. Can we fix it?Yes! 第65回 コンピュータビジョン勉強会@関東
Avatar for Shun Makino shun6211
5
2.4k
東北地方における過去20年間の降水量の変化
Avatar for Forestgeo.info naokimuroki
1
130
フィードフォワードニューラルネットワークを用いた記号入出力制御系に対する制御器設計 / Controller Design for Augmented Systems with Symbolic Inputs and Outputs Using Feedforward Neural Network
Avatar for konakalab konakalab
0
120
人生を変えた一冊「独学大全」のはなし / Self-study ENCYCLOPEDIA: The Book Which Change My Life #独学大全 #EM推し本
Avatar for Shu OGAWARA expajp
0
140
データマイニング - グラフ埋め込み入門
Avatar for Y. Yamamoto trycycle
PRO
1
210
MATSUO Makiko
Avatar for Genomethica genomethica
0
130
AI(人工知能)の過去・現在・未来 —AIは人間を超えるのか—
Avatar for Y-h. Taguchi tagtag
PRO
1
260
SpatialRDDパッケージによる空間回帰不連続デザイン
Avatar for saltcooky saltcooky12
0
200
People who frequently use ChatGPT for writing tasks are accurate and robust detectors of AI-generated text
Avatar for hajime kiyama rudorudo11
0
220
My Little Monster
Avatar for Juzi juzishuu
0
700
データベース02: データベースの概念
Avatar for Y. Yamamoto trycycle
PRO
2
1.1k
Algorithmic Aspects of Quiver Representations
Avatar for Tasuku Soma tasusu
0
290

Featured

See All Featured
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
Avatar for Aleyda Solis aleyda
1
1.9k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
2
210
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.8k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.2k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
5.9k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
Avatar for Ines Montani inesmontani
PRO
3
3.4k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
Skip the Path - Find Your Career Trail
Avatar for Mark Kilby mkilby
1
110
Utilizing Notion as your number one productivity tool
Avatar for Mfonobong Umondia mfonobong
4
290
What’s in a name? Adding method to the madness
Avatar for The Alliance productmarketing
PRO
24
4k
Introduction to Domain-Driven Design and Collaborative software design
Avatar for Kenny Baas-Schwegler baasie
1
730

Transcript

  1. 怪しいURLの見つけ方 俺たちのセキュリティはこれからだ!雰囲気セキュリティ勉強会#3

  2. WHO AM I

  3. 名前:せっくちっく(@one_chick_sec) 仕事:プライベートSOCのアナリスト 趣味:ダンボー撮影、ハニーポット観察

  4. 注意 不審なURLを扱う場合は注意して扱ってください 今回の調査で全ての不審なURLを見つかられ る訳ではありません あくまで参考程度に聞いてください 発表は、個人の見解であり所属する組織とは無 関係です

  5. 今回の発表のモチベーション

  6. インシデント対応にて

  7. インシデント発生した際に感染経路が分からな いのでとりあえず、Webプロキシのログから怪し いURLがないか調査して依頼が来ることがある

  8. すごーい人はログを目で見てなんとなく分かる らしい 目Grep出来るほど、スキルもない 調査方法を検討しておく必要がある

  9. 今回は怪しい通信先をWebプロキシから見つける 方法を調査

  10. 実験に利用したWEB プロキシのログ

  11. 今回はURLの情報から怪しい通信先を見つける方 法を検討 用意したログは適当にサイト閲覧したログに Exploit kit(EK)のURLをミックス 今回はEKに絞っていったん、調査 EKのURLは 「Malware Traffic Analysis」に2021年

    度の記事に記載されているものを対象 ユニークなFQDN数は164でURL数は1399件 EKのユニークなFQDN数は6件,URL数は25件

  12. 今回利用したEKの情報 2021-03-08 - SPELEVO EXPLOIT KIT (EK) PUSHES ZLOADER MALWARE

    2021-02-05 (FRIDAY) - SPELEVO EXPLOIT KIT (EK) SENDS SHARIK/SMOKELOADER https://www.malware-traffic- analysis.net/2021/03/08/index.html https://www.malware-traffic- analysis.net/2021/02/05/index.html

  13. 2021-02-04 (THURSDAY) - RIG EK SENDS POSSIBLE BUERLOADER 2021-01-05 (TUESDAY)

    - PURPLEFOX EK PUSHES NUGGETPHANTOM MALWARE https://www.malware-traffic- analysis.net/2021/02/04/index.html https://www.malware-traffic- analysis.net/2021/01/05/index.html

  14. 1.VIRUSTOTALで FQDNを調査

  15. URLの調査で不審なURLではないか調査するのに よく使うVirusTotalで調査 全てのURLを調査すると数が多いので、今回はユ ニークなFQDNに絞って調査 サイトに入力すると時間がかかる、めんどくさ いのでpythonプログラムで調査

  16. 結果 EKのURLは6件の内、5件検知することができた 検知出来ていなかったFQDNはコメントには不審 だという情報がいくつか有 VTで完璧に検知できるわけではない ただし、時間がかかるのでプログラムで回しな がら、平行しながら別の観点で調査したほうが よさそう

  17. None

  18. 2.プロトコルでの調査

  19. WEB閲覧では主にHTTP、HTTPSプロトコルが利 用される HTTP、HTTPSの違いで不審なURLが見つかれるか 調査

  20. 結果 HTTPSの通信は1378件でそのうちEK関連のURLは 5件 HTTPでの通信は21件でそのうち20件がEK関連の URL 通常の閲覧ではHTTPSのプロトコルがほとんどで あるため、HTTPを利用した通信から調べてみる のは有

  21. 3.IPでの調査

  22. FQDNにIPアドレスが使われているものについて 調査

  23. 結果 FQDNにIPアドレスが使われているものは2件のみ いずれもEKで利用されているもの FQDNにIPアドレスが利用されているものは怪し い可能性がある

  24. 4. EKFIDDLEの正規表現

  25. EK FIDDLERとは 不審なWEBトラフィックを調査してくれるツー ル Github上で公開されている HTTP/HTTPS リクエストやレスポンスの確認でき るFiddlerにセットアップして利用 Webトラフィックを Fiddler

    でキャプチャし、不 審なURLであった場合はコメントに記載される

  26. EK FIDDLERの正規表現 EK Fiddler上で検知するための正規表現が公開さ れている この正規表現を利用し、検知できるか確認

  27. 結果 検知できず。。。。 プログラムの実装方法が悪かった可能性はある が、EK Fiddler は更新が盛んに行われているた め、最新のEK以外では検知できない可能性があ るかもしれない。。。。。

  28. 結論 不審なURLを調査する方法を検討 VTである程度は検知できるか完璧ではない プロトコルやIPアドレスの利用に注目すると怪し いURLを見つけられる可能性有 ※上記の方法も完璧な調査方法ではない 機械学習で調査してみるもの面白いかも 良いアイディアがありましたら、ぜひ共有して もらえると嬉しいです。

  29. 終わり