Upgrade to Pro — share decks privately, control downloads, hide ads and more …

不審なURLの見つけ方

C3dc96f43b11b8b40420fa3380836d94?s=47 sec-chick
February 26, 2022
Science
1
200

 不審なURLの見つけ方

C3dc96f43b11b8b40420fa3380836d94?s=128

sec-chick

February 26, 2022
Tweet

More Decks by sec-chick

See All by sec-chick
honeypot
C3dc96f43b11b8b40420fa3380836d94?s=48 secchick
1
550
SOCって何_公開用_-圧縮済み.pdf
C3dc96f43b11b8b40420fa3380836d94?s=48 secchick
6
1.8k
Splunkによるハニーポット監視.pdf
C3dc96f43b11b8b40420fa3380836d94?s=48 secchick
0
1.1k
WelComeToHoneyPOTWORLD/ 低対話型ハニーポットを調査してみた
C3dc96f43b11b8b40420fa3380836d94?s=48 secchick
1
1.5k

Other Decks in Science

See All in Science
抵抗にあったっていいじゃないか、にんげんだもの / Principles of Human Resistance
055e63a40190884fdc17b918c6f6aa7e?s=48 aki_moon
0
550
20220216_球体周りの流れ抗力係数1_FreeCADで球体モデル作成
Afcf52f6df4e2856cc0fce598c4af4e1?s=48 kamakiri1225
0
250
CrossWalk: Fairness-enhanced Node Representation Learning
59d6ec9d4308628a6009b2ec5bc6d2d8?s=48 sansan_randd
2
980
Information law about COVID-19
9e301e7ea0c63e925e0dd48ca180a280?s=48 yoshimine77
0
150
Accumulated Local Effects(ALE)で機械学習モデルを解釈する / TokyoR95
7a0892afffbcbd35fd84d46508b3a914?s=48 dropout009
2
2.9k
CompilerGym CGO'22
0d2bf4a55ccf5ca212897c2c09e18c94?s=48 chriscummins
0
220
ロボット研究のための脳と心のモデル
004c1e03f88da32e3baf5faf854a11e0?s=48 ykamit
3
2.1k
Camtrap DP: A frictionless data exchange format for camera trapping data
6f6914b1cdb438695ec1aaabba7463bb?s=48 peterdesmet
0
130
実験ノートをどう取るべきか
4fab9460c60d5175ce7819391a796835?s=48 rinabouk
PRO
1
1.7k
Elix, CBI, フォーカストセッション, はじめてのAI創薬とElixにおける事例紹介
F675784cbcef4d50b7f348c27cdb8031?s=48 elix
0
160
20220217_球体周りの流れ抗力係数3_snappyHexMeshで球体周りのメッシュ作成
Afcf52f6df4e2856cc0fce598c4af4e1?s=48 kamakiri1225
0
160
(2013) Le problème des distances de Erdős
8cf59cc7e34759839f1686c65361c1f8?s=48 mansuy
0
110

Featured

See All Featured
Become a Pro
828ace851b606e1206900f26459f55ad?s=48 speakerdeck
PRO
3
840
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
B3ace07412a5178ea778e7eec161fc0a?s=48 jcasabona
12
920
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
E195ae45320d9202eaa01c9f1d31a416?s=48 marktimemedia
15
940
Designing for Performance
245cee81a9c424266e5e401d844ea881?s=48 lara
597
63k
How New CSS Is Changing Everything About Graphic Design on the Web
D83926c323d4f9289f947b4b4e76b939?s=48 jensimmons
213
11k
CSS Pre-Processors: Stylus, Less & Sass
7559f6cff1f5efc2d210965febd4d71c?s=48 bermonpainter
349
27k
Support Driven Design
1519587b1a0febb658c36c94f6272b0d?s=48 roundedbygravity
86
8.5k
Debugging Ruby Performance
D47656e20ff5e42f125fc5ea0fd636c6?s=48 tmm1
65
10k
Three Pipe Problems
11c84dff30266b907714802088852677?s=48 jasonvnalue
89
8.7k
The Brand Is Dead. Long Live the Brand.
A415db3ac9e9668acbc1fb36eead84ac?s=48 mthomps
46
2.7k
Build The Right Thing And Hit Your Dates
016edace78ffe826f2348d1e0c504afd?s=48 maggiecrowley
19
1.2k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
95d9f37115fbb0d13135d0f77132f856?s=48 morganepeng
104
16k

Transcript

  1. 怪しいURLの見つけ方 俺たちのセキュリティはこれからだ!雰囲気セキュリティ勉強会#3

  2. WHO AM I

  3. 名前:せっくちっく(@one_chick_sec) 仕事:プライベートSOCのアナリスト 趣味:ダンボー撮影、ハニーポット観察

  4. 注意 不審なURLを扱う場合は注意して扱ってください 今回の調査で全ての不審なURLを見つかられ る訳ではありません あくまで参考程度に聞いてください 発表は、個人の見解であり所属する組織とは無 関係です

  5. 今回の発表のモチベーション

  6. インシデント対応にて

  7. インシデント発生した際に感染経路が分からな いのでとりあえず、Webプロキシのログから怪し いURLがないか調査して依頼が来ることがある

  8. すごーい人はログを目で見てなんとなく分かる らしい 目Grep出来るほど、スキルもない 調査方法を検討しておく必要がある

  9. 今回は怪しい通信先をWebプロキシから見つける 方法を調査

  10. 実験に利用したWEB プロキシのログ

  11. 今回はURLの情報から怪しい通信先を見つける方 法を検討 用意したログは適当にサイト閲覧したログに Exploit kit(EK)のURLをミックス 今回はEKに絞っていったん、調査 EKのURLは 「Malware Traffic Analysis」に2021年

    度の記事に記載されているものを対象 ユニークなFQDN数は164でURL数は1399件 EKのユニークなFQDN数は6件,URL数は25件

  12. 今回利用したEKの情報 2021-03-08 - SPELEVO EXPLOIT KIT (EK) PUSHES ZLOADER MALWARE

    2021-02-05 (FRIDAY) - SPELEVO EXPLOIT KIT (EK) SENDS SHARIK/SMOKELOADER https://www.malware-traffic- analysis.net/2021/03/08/index.html https://www.malware-traffic- analysis.net/2021/02/05/index.html

  13. 2021-02-04 (THURSDAY) - RIG EK SENDS POSSIBLE BUERLOADER 2021-01-05 (TUESDAY)

    - PURPLEFOX EK PUSHES NUGGETPHANTOM MALWARE https://www.malware-traffic- analysis.net/2021/02/04/index.html https://www.malware-traffic- analysis.net/2021/01/05/index.html

  14. 1.VIRUSTOTALで FQDNを調査

  15. URLの調査で不審なURLではないか調査するのに よく使うVirusTotalで調査 全てのURLを調査すると数が多いので、今回はユ ニークなFQDNに絞って調査 サイトに入力すると時間がかかる、めんどくさ いのでpythonプログラムで調査

  16. 結果 EKのURLは6件の内、5件検知することができた 検知出来ていなかったFQDNはコメントには不審 だという情報がいくつか有 VTで完璧に検知できるわけではない ただし、時間がかかるのでプログラムで回しな がら、平行しながら別の観点で調査したほうが よさそう

  17. None

  18. 2.プロトコルでの調査

  19. WEB閲覧では主にHTTP、HTTPSプロトコルが利 用される HTTP、HTTPSの違いで不審なURLが見つかれるか 調査

  20. 結果 HTTPSの通信は1378件でそのうちEK関連のURLは 5件 HTTPでの通信は21件でそのうち20件がEK関連の URL 通常の閲覧ではHTTPSのプロトコルがほとんどで あるため、HTTPを利用した通信から調べてみる のは有

  21. 3.IPでの調査

  22. FQDNにIPアドレスが使われているものについて 調査

  23. 結果 FQDNにIPアドレスが使われているものは2件のみ いずれもEKで利用されているもの FQDNにIPアドレスが利用されているものは怪し い可能性がある

  24. 4. EKFIDDLEの正規表現

  25. EK FIDDLERとは 不審なWEBトラフィックを調査してくれるツー ル Github上で公開されている HTTP/HTTPS リクエストやレスポンスの確認でき るFiddlerにセットアップして利用 Webトラフィックを Fiddler

    でキャプチャし、不 審なURLであった場合はコメントに記載される

  26. EK FIDDLERの正規表現 EK Fiddler上で検知するための正規表現が公開さ れている この正規表現を利用し、検知できるか確認

  27. 結果 検知できず。。。。 プログラムの実装方法が悪かった可能性はある が、EK Fiddler は更新が盛んに行われているた め、最新のEK以外では検知できない可能性があ るかもしれない。。。。。

  28. 結論 不審なURLを調査する方法を検討 VTである程度は検知できるか完璧ではない プロトコルやIPアドレスの利用に注目すると怪し いURLを見つけられる可能性有 ※上記の方法も完璧な調査方法ではない 機械学習で調査してみるもの面白いかも 良いアイディアがありましたら、ぜひ共有して もらえると嬉しいです。

  29. 終わり