Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OSINTによる標的型攻撃に関する情報収集

Akira Miyata(seraph)
October 23, 2016
Technology
1
1k

 OSINTによる標的型攻撃に関する情報収集

AVTOKYO2015の講演資料です。

標的型攻撃のキャンペーンやその攻撃者に関する情報をOSINTによりどのように収集するかについて紹介します。

http://ja.avtokyo.org/avtokyo2015/speakers#seraph
(一部のスライドは公開していません。)

Akira Miyata(seraph)

October 23, 2016
Tweet

More Decks by Akira Miyata(seraph)

See All by Akira Miyata(seraph)
SHA-1ハッシュ値の衝突
seraph
1
1.1k
関西のセキュリティ業界を盛り上げていこう!
seraph
0
370
攻撃者グループ名をつけてみよう!
seraph
1
1.8k
Collecting information of targeted attacks by OSINT
seraph
0
160
Let's name an APT group name!
seraph
0
140

Other Decks in Technology

See All in Technology
エンジニア人生の拡張性を高める 「探索型キャリア設計」の提案
tenshoku_draft
1
120
オープンソースAIとは何か? --「オープンソースAIの定義 v1.0」詳細解説
shujisado
9
910
【Pycon mini 東海 2024】Google Colaboratoryで試すVLM
kazuhitotakahashi
2
500
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
750
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
TypeScript、上達の瞬間
sadnessojisan
46
13k
SREによる隣接領域への越境とその先の信頼性
shonansurvivors
2
520
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
170
The Role of Developer Relations in AI Product Success.
giftojabu1
0
120
Lexical Analysis
shigashiyama
1
150
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
生成AIが変えるデータ分析の全体像
ishikawa_satoru
0
110

Featured

See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
VelocityConf: Rendering Performance Case Studies
addyosmani
325
24k
Gamification - CAS2011
davidbonilla
80
5k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k
A better future with KSS
kneath
238
17k
Six Lessons from altMBA
skipperchong
27
3.5k
Being A Developer After 40
akosma
86
590k
Faster Mobile Websites
deanohume
305
30k
Become a Pro
speakerdeck
PRO
25
5k

Transcript

  1. OSINTによる標的型攻撃 に関する情報収集 seraph(宮田明良) AVTOKYO 2015 2015/11/14

  2. Who am I?   seraph(宮田明良)   Twitter: @Seraph39   なんちゃってマルウェアアナリスト

      SANS Lethal Forensicator Coin Folder   2014 Washington D.C. (FOR610)   https://digital-forensics.sans.org/community/lethal-forensicator/ coin-holders/m

  3. Intelligence   HUMINT(HUMan INTelligence)   人的に情報を収集(大使館など)   協力者によるものも含む   SIGINT(SIGnals

    INTelligence)   通信傍受   短波通信や衛星通信   PRISM   Upstream 米軍三沢基地 象の檻とエシェロン https://www.google.co.jp/maps/@40.7203821,141.3233764,1281m/data=!3m1!1e3

  4. Intelligence   IMINT(IMagery INTelligence)   偵察衛星や偵察機による撮影による情報収集 ロシア軍 ウラジオストク基地 https://www.google.co.jp/maps/@43.1072317,131.9145565,1466m/data=!3m1!1e3

  5. Intelligence   OSINT(Open Source INTelligence)   公開情報から情報を収集   新聞、テレビ、ラジオ、書籍、インターネット等  

    注意点: 公開情報は、誤っている可能性がある。   他にも   MASINT(Measurement And Signatures INTelligence)   TECHINT(TECHnical INTelligence)

  6. 攻撃者属性を 把握するための流れ 不審メールの 解析 メール本文のリン ク、マルウェア、 ツールの解析 接続先 (C2サーバ) の調査

    公開情報の 調査 収集した情報の 分析

  7. 不審メールの解析   メール本文   特徴的な文字列や文章   送信元のIPアドレス   残っていない場合  

    乗っ取られている場合   中継メールサーバ   フリーメール   特徴的なメーラー

  8. マルウェア解析   拡張子   exe, scr, cplなど   圧縮方式  

    zip, lzh, rar, 7zなど   C2サーバとのパスワード   言語情報   コンパイル日時

  9. マルウェアの解析   Sandboxes VirusTotal   Malwr   #totalhash   PAYLOAD

    SECURITY ThreatExpert threatcrowd   User Agent String.com https://totalhash.cymru.com/ https://www.threatcrowd.org/

  10. 接続先(C2サーバ)の調査   PASSIVE TOTAL   DNSDB   DomainTools VirusTotal PassiveDNSとして動作しており、過去に使用されたIPアドレス

    を調査できる。 https://www.passivetotal.org

  11. 漏洩した情報の調査   PASTEBIN   コードの流出   C2サーバ情報   WikiLeaks  

    最近だとジョン・ブレナンCIA長官のメール EmdiviのC2サーバ と思われるドメイン名 http://pastebin.com/j4a1xxtR https://wikileaks.org/cia-emails/

  12. SNSの調査   SNSからC2サーバのWhois情報を調査すると攻撃者が判明す るかも・・・   Facebook   Twitter   LinkedIn

      QQ   Weibo etc

  13. APTに関する情報   APT Notes   APTに関するレポート情報等を収集したサイト   インディケータは、CSV, JSON, yaraの形式で公開

      例えば、インシデントが起こり、その際に使用されていたマルウェ アの接続先であるC2サーバのドメイン名やIPアドレスをAPT Notesにあるインディケータと照合することで、既存のどのような攻 撃者グループかやキャンペーンに関係があるか把握できる。   マッチしない情報の場合は、誰も知らないキャンペーン・攻撃者グ ループの可能性がある。

  14. APT Notes https://aptnotes.malwareconfig.com/

  15. 収集した情報の分析   収集した情報の照合・精査   分析・可視化   Analyst’s Notebook/iBase   Maltego

  16. Example Only conference attendee

  17. まとめ   OSINTにより、誰でも簡単にAPTに関する情報収集が可能。   ポイント   その情報が正しいかどうかチェックすることは難しい。   例えば、マルウェア解析だけでは攻撃者像やキャンペーンはわか りづらい。メールや侵入された際に使用されたツールの解析、マ

    ルウェアの解析C2サーバの調査等を組み合わせた調査が必要で ある。   調査する際は、調査の痕跡がログに残ってしまうということを考え ながら調査する必要がある。   マルウェアといったサンプルが多ければ多いほど、調査の精度が 向上する。

  18. Questions?

  19. Thank you