不審なURLの見つけ方

怪しいURLの見つけ方俺たちのセキュリティはこれからだ！雰囲気セキュリティ勉強会#3

WHO AM I

名前：せっくちっく(@one_chick_sec) 仕事：プライベートSOCのアナリスト趣味：ダンボー撮影、ハニーポット観察

注意不審なURLを扱う場合は注意して扱ってください今回の調査で全ての不審なＵＲＬを見つかられる訳ではありませんあくまで参考程度に聞いてください発表は、個人の見解であり所属する組織とは無関係です

今回の発表のモチベーション

インシデント対応にて

インシデント発生した際に感染経路が分からないのでとりあえず、Webプロキシのログから怪しいURLがないか調査して依頼が来ることがある

すごーい人はログを目で見てなんとなく分かるらしい目Grep出来るほど、スキルもない調査方法を検討しておく必要がある

今回は怪しい通信先をWebプロキシから見つける方法を調査

実験に利用したWEB プロキシのログ

今回はURLの情報から怪しい通信先を見つける方法を検討用意したログは適当にサイト閲覧したログに Exploit kit(EK)のURLをミックス今回はEKに絞っていったん、調査 EKのURLは「Malware Traffic Analysis」に2021年
度の記事に記載されているものを対象ユニークなFQDN数は164でURL数は1399件 EKのユニークなFQDN数は6件,URL数は25件

今回利用したEKの情報 2021-03-08 - SPELEVO EXPLOIT KIT (EK) PUSHES ZLOADER MALWARE
2021-02-05 (FRIDAY) - SPELEVO EXPLOIT KIT (EK) SENDS SHARIK/SMOKELOADER https://www.malware-traffic- analysis.net/2021/03/08/index.html https://www.malware-traffic- analysis.net/2021/02/05/index.html

2021-02-04 (THURSDAY) - RIG EK SENDS POSSIBLE BUERLOADER 2021-01-05 (TUESDAY)
- PURPLEFOX EK PUSHES NUGGETPHANTOM MALWARE https://www.malware-traffic- analysis.net/2021/02/04/index.html https://www.malware-traffic- analysis.net/2021/01/05/index.html

1.VIRUSTOTALで FQDNを調査

URLの調査で不審なURLではないか調査するのによく使うVirusTotalで調査全てのURLを調査すると数が多いので、今回はユニークなFQDNに絞って調査サイトに入力すると時間がかかる、めんどくさいのでpythonプログラムで調査

結果 EKのURLは6件の内、5件検知することができた検知出来ていなかったFQDNはコメントには不審だという情報がいくつか有 VTで完璧に検知できるわけではないただし、時間がかかるのでプログラムで回しながら、平行しながら別の観点で調査したほうがよさそう

2.プロトコルでの調査

WEB閲覧では主にHTTP、HTTPSプロトコルが利用される HTTP、HTTPSの違いで不審なURLが見つかれるか調査

結果 HTTPSの通信は1378件でそのうちEK関連のURLは 5件 HTTPでの通信は21件でそのうち20件がEK関連の URL 通常の閲覧ではHTTPSのプロトコルがほとんどであるため、HTTPを利用した通信から調べてみるのは有

3.IPでの調査

FQDNにIPアドレスが使われているものについて調査

結果 FQDNにIPアドレスが使われているものは2件のみいずれもEKで利用されているもの FQDNにIPアドレスが利用されているものは怪しい可能性がある

4. EKFIDDLEの正規表現

EK FIDDLERとは不審なWEBトラフィックを調査してくれるツール Github上で公開されている HTTP/HTTPS リクエストやレスポンスの確認できるFiddlerにセットアップして利用 Webトラフィックを Fiddler
でキャプチャし、不審なURLであった場合はコメントに記載される

EK FIDDLERの正規表現 EK Fiddler上で検知するための正規表現が公開されているこの正規表現を利用し、検知できるか確認

結果検知できず。。。。プログラムの実装方法が悪かった可能性はあるが、EK Fiddler は更新が盛んに行われているため、最新のEK以外では検知できない可能性があるかもしれない。。。。。

結論不審なURLを調査する方法を検討 VTである程度は検知できるか完璧ではないプロトコルやIPアドレスの利用に注目すると怪しいＵＲＬを見つけられる可能性有 ※上記の方法も完璧な調査方法ではない機械学習で調査してみるもの面白いかも良いアイディアがありましたら、ぜひ共有してもらえると嬉しいです。

終わり

不審なURLの見つけ方

不審なURLの見つけ方

sec-chick

More Decks by sec-chick

Other Decks in Science

Featured

Transcript

怪しいURLの見つけ方俺たちのセキュリティはこれからだ！雰囲気セキュリティ勉強会#3

WHO AM I

名前：せっくちっく(@one_chick_sec) 仕事：プライベートSOCのアナリスト趣味：ダンボー撮影、ハニーポット観察

注意不審なURLを扱う場合は注意して扱ってください今回の調査で全ての不審なＵＲＬを見つかられる訳ではありませんあくまで参考程度に聞いてください発表は、個人の見解であり所属する組織とは無関係です

今回の発表のモチベーション

インシデント対応にて

インシデント発生した際に感染経路が分からないのでとりあえず、Webプロキシのログから怪しいURLがないか調査して依頼が来ることがある

すごーい人はログを目で見てなんとなく分かるらしい目Grep出来るほど、スキルもない調査方法を検討しておく必要がある

今回は怪しい通信先をWebプロキシから見つける方法を調査

実験に利用したWEB プロキシのログ

今回はURLの情報から怪しい通信先を見つける方法を検討用意したログは適当にサイト閲覧したログに Exploit kit(EK)のURLをミックス今回はEKに絞っていったん、調査 EKのURLは「Malware Traffic Analysis」に2021年

今回利用したEKの情報 2021-03-08 - SPELEVO EXPLOIT KIT (EK) PUSHES ZLOADER MALWARE

2021-02-04 (THURSDAY) - RIG EK SENDS POSSIBLE BUERLOADER 2021-01-05 (TUESDAY)

1.VIRUSTOTALで FQDNを調査

URLの調査で不審なURLではないか調査するのによく使うVirusTotalで調査全てのURLを調査すると数が多いので、今回はユニークなFQDNに絞って調査サイトに入力すると時間がかかる、めんどくさいのでpythonプログラムで調査

2.プロトコルでの調査

WEB閲覧では主にHTTP、HTTPSプロトコルが利用される HTTP、HTTPSの違いで不審なURLが見つかれるか調査

結果 HTTPSの通信は1378件でそのうちEK関連のURLは 5件 HTTPでの通信は21件でそのうち20件がEK関連の URL 通常の閲覧ではHTTPSのプロトコルがほとんどであるため、HTTPを利用した通信から調べてみるのは有

3.IPでの調査

FQDNにIPアドレスが使われているものについて調査

結果 FQDNにIPアドレスが使われているものは2件のみいずれもEKで利用されているもの FQDNにIPアドレスが利用されているものは怪しい可能性がある

4. EKFIDDLEの正規表現

EK FIDDLERとは不審なWEBトラフィックを調査してくれるツール Github上で公開されている HTTP/HTTPS リクエストやレスポンスの確認できるFiddlerにセットアップして利用 Webトラフィックを Fiddler

EK FIDDLERの正規表現 EK Fiddler上で検知するための正規表現が公開されているこの正規表現を利用し、検知できるか確認

結果検知できず。。。。プログラムの実装方法が悪かった可能性はあるが、EK Fiddler は更新が盛んに行われているため、最新のEK以外では検知できない可能性があるかもしれない。。。。。

終わり