Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
不審なURLの見つけ方
Search
sec-chick
February 26, 2022
Science
1
460
不審なURLの見つけ方
sec-chick
February 26, 2022
Tweet
Share
More Decks by sec-chick
See All by sec-chick
honeypot
secchick
1
850
SOCって何_公開用_-圧縮済み.pdf
secchick
6
2k
Splunkによるハニーポット監視.pdf
secchick
0
1.5k
WelComeToHoneyPOTWORLD/ 低対話型ハニーポットを調査してみた
secchick
1
1.8k
Other Decks in Science
See All in Science
論文紹介: PEFA: Parameter-Free Adapters for Large-scale Embedding-based Retrieval Models (WSDM 2024)
ynakano
0
140
20分で分かる Human-in-the-Loop 機械学習におけるアノテーションとヒューマンコンピューターインタラクションの真髄
hurutoriya
4
2.3k
様々な侵入者タイプに対応した適切な警備計画の策定 / Patrol route design considering various types of intrudes
konakalab
0
170
白金鉱業Meetup Vol.15 DMLによる条件付処置効果の推定_sotaroIZUMI_20240919
brainpadpr
1
460
統計的因果探索の方法
sshimizu2006
1
1.1k
化学におけるAI・シミュレーション活用のトレンドと 汎用原子レベルシミュレーター: Matlantisを使った素材開発
matlantis
0
220
機械学習を支える連続最適化
nearme_tech
PRO
1
130
Iniciativas independentes de divulgação científica: o caso do Movimento #CiteMulheresNegras
taisso
0
150
DEIM2024 チュートリアル ~AWSで生成AIのRAGを使ったチャットボットを作ってみよう~
yamahiro
3
1.3k
Cross-Media Information Spaces and Architectures (CISA)
signer
PRO
3
29k
科学で迫る勝敗の法則(名城大学公開講座.2024年10月) / The principle of victory discovered by science (Open lecture in Meijo Univ. 2024)
konakalab
0
190
Machine Learning for Materials (Lecture 7)
aronwalsh
0
810
Featured
See All Featured
GraphQLとの向き合い方2022年版
quramy
43
13k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
37
1.8k
Making Projects Easy
brettharned
115
5.9k
It's Worth the Effort
3n
183
27k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
27
1.9k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
Transcript
怪しいURLの見つけ方 俺たちのセキュリティはこれからだ!雰囲気セキュリティ勉強会#3
WHO AM I
名前:せっくちっく(@one_chick_sec) 仕事:プライベートSOCのアナリスト 趣味:ダンボー撮影、ハニーポット観察
注意 不審なURLを扱う場合は注意して扱ってください 今回の調査で全ての不審なURLを見つかられ る訳ではありません あくまで参考程度に聞いてください 発表は、個人の見解であり所属する組織とは無 関係です
今回の発表のモチベーション
インシデント対応にて
インシデント発生した際に感染経路が分からな いのでとりあえず、Webプロキシのログから怪し いURLがないか調査して依頼が来ることがある
すごーい人はログを目で見てなんとなく分かる らしい 目Grep出来るほど、スキルもない 調査方法を検討しておく必要がある
今回は怪しい通信先をWebプロキシから見つける 方法を調査
実験に利用したWEB プロキシのログ
今回はURLの情報から怪しい通信先を見つける方 法を検討 用意したログは適当にサイト閲覧したログに Exploit kit(EK)のURLをミックス 今回はEKに絞っていったん、調査 EKのURLは 「Malware Traffic Analysis」に2021年
度の記事に記載されているものを対象 ユニークなFQDN数は164でURL数は1399件 EKのユニークなFQDN数は6件,URL数は25件
今回利用したEKの情報 2021-03-08 - SPELEVO EXPLOIT KIT (EK) PUSHES ZLOADER MALWARE
2021-02-05 (FRIDAY) - SPELEVO EXPLOIT KIT (EK) SENDS SHARIK/SMOKELOADER https://www.malware-traffic- analysis.net/2021/03/08/index.html https://www.malware-traffic- analysis.net/2021/02/05/index.html
2021-02-04 (THURSDAY) - RIG EK SENDS POSSIBLE BUERLOADER 2021-01-05 (TUESDAY)
- PURPLEFOX EK PUSHES NUGGETPHANTOM MALWARE https://www.malware-traffic- analysis.net/2021/02/04/index.html https://www.malware-traffic- analysis.net/2021/01/05/index.html
1.VIRUSTOTALで FQDNを調査
URLの調査で不審なURLではないか調査するのに よく使うVirusTotalで調査 全てのURLを調査すると数が多いので、今回はユ ニークなFQDNに絞って調査 サイトに入力すると時間がかかる、めんどくさ いのでpythonプログラムで調査
結果 EKのURLは6件の内、5件検知することができた 検知出来ていなかったFQDNはコメントには不審 だという情報がいくつか有 VTで完璧に検知できるわけではない ただし、時間がかかるのでプログラムで回しな がら、平行しながら別の観点で調査したほうが よさそう
None
2.プロトコルでの調査
WEB閲覧では主にHTTP、HTTPSプロトコルが利 用される HTTP、HTTPSの違いで不審なURLが見つかれるか 調査
結果 HTTPSの通信は1378件でそのうちEK関連のURLは 5件 HTTPでの通信は21件でそのうち20件がEK関連の URL 通常の閲覧ではHTTPSのプロトコルがほとんどで あるため、HTTPを利用した通信から調べてみる のは有
3.IPでの調査
FQDNにIPアドレスが使われているものについて 調査
結果 FQDNにIPアドレスが使われているものは2件のみ いずれもEKで利用されているもの FQDNにIPアドレスが利用されているものは怪し い可能性がある
4. EKFIDDLEの正規表現
EK FIDDLERとは 不審なWEBトラフィックを調査してくれるツー ル Github上で公開されている HTTP/HTTPS リクエストやレスポンスの確認でき るFiddlerにセットアップして利用 Webトラフィックを Fiddler
でキャプチャし、不 審なURLであった場合はコメントに記載される
EK FIDDLERの正規表現 EK Fiddler上で検知するための正規表現が公開さ れている この正規表現を利用し、検知できるか確認
結果 検知できず。。。。 プログラムの実装方法が悪かった可能性はある が、EK Fiddler は更新が盛んに行われているた め、最新のEK以外では検知できない可能性があ るかもしれない。。。。。
結論 不審なURLを調査する方法を検討 VTである程度は検知できるか完璧ではない プロトコルやIPアドレスの利用に注目すると怪し いURLを見つけられる可能性有 ※上記の方法も完璧な調査方法ではない 機械学習で調査してみるもの面白いかも 良いアイディアがありましたら、ぜひ共有して もらえると嬉しいです。
終わり