UJP - ツールカテゴリのエントリ

I hope this helps.

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ ツール の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - ツールカテゴリのエントリ

RedEye

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/10/24 13:57
 メモ.

米CISA、レッドチーム演習の可視化ツールを公開 - 意思決定など支援
https://www.security-next.com/140603

引用:
レッドチームの活動によって侵害がどのように発生するか、複雑なデータをわかりやすく可視化するもので、評価や意思決定などを支援する。

F-Secureルーターチェッカー

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/10/24 0:21
 こんなサービスがあったので使ってみた.

ルーターの設定が安全かどうかを無料でチェック
https://www.f-secure.com/jp-ja/home/free-tools/router-checker



 使い方は,このボタンを押すだけ.


 「すべて順調に見えますが、チェックが不完全でした。結果の詳細を表示.」とのこと.


 「無料のDNSハイジャックテストで、ルーターの設定が安全かどうかをチェックします」ということで,ルータの外部DNSにGoogleのDNSサーバを指定しているから,微妙なものになった模様.

 どこかのフリーWi-Fiを使うときにこのサイトでチェックしてみても良いのかもしれないな.

RouterScanを使おうとしたら

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/10/21 15:29
 ここで紹介した記事にあったRouterScanを使ってみようと思ったんですが,ちょっと怖い状態なので尻込み中.

 まず,公式サイトの情報はこれ.



引用:
Router Scan умеет находить и определять различные устройства из большого числа известных роутеров/маршрутизаторов и, что самое главное, - вытаскивать из них полезную информацию, в частности характеристики беспроводной сети: способ защиты точки доступа (шифрование), имя точки доступа (SSID) и ключ точки доступа (парольная фраза). Также получает информацию о WAN соединении (удобно при сканировании локальной сети) и выводит марку и модель роутера. Получение информации происходит по двум возможным путям: программа попытается подобрать пару логин/пароль к маршрутизатору из списка стандартных паролей, в результате чего получит доступ. Либо будут использованы неразрушающие уязвимости (или баги) для конкретной модели маршрутизатора, позволяющие получить необходимую информацию и/или обойти процесс авторизации.

ルータースキャンは、多数の既知のルーター/ルーターから様々なデバイスを発見・識別し、特に無線ネットワークの特徴であるアクセスポイントのセキュリティ方式(暗号化)、アクセスポイント名(SSID)、アクセスポイント・キー(パスフレーズ)などの有用な情報を引き出すことができます。また、WAN接続情報を取得し(LANスキャンに有効)、ルーターのメーカーや機種を表示します。この情報を取得する方法は2つあります。ソフトウェアは、デフォルトパスワードのリストからルーターのログイン/パスワードのペアを推測しようとし、その結果アクセスを取得します。あるいは、特定のルーターモデルの非破壊的な脆弱性(またはバグ)を悪用して、必要な情報の取得や認証プロセスの迂回を可能にする。

 そう.ロシア語.
 そして公式サイトやミラーからソフトウェアをダウンロードするとこの有様.

...続きを読む

RouterSploitやRouterScan

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/10/20 11:39
 諸刃の剣かなって思うよ.

米政府、「中国政府のハッカー」が利用するツールや脆弱性を警告
https://forbesjapan.com/articles/detail/48084

引用:
米国のNSA(国家安全保障局)やFBI(連邦捜査局)らは、6月7日の共同声明の中で、ハッカーがRouterSploitやRouterScanなどのオープンソースのツールを使用して、既知の脆弱性を持つデバイスを特定していると報告した。


Router Scan

引用:
Router Scanは、多数の既知のルーターから様々なデバイスを見つけて識別することができ、最も重要なことは、それらから有用な情報、特に無線ネットワークの特性:アクセスポイントの保護方法(暗号化)、アクセスポイント名(SSID)、アクセスポイント・キー(パスフレーズ)を取得することである。

また、WAN接続に関する情報(ローカルネットワークのスキャン時に有効)や、ルーターのモデルも表示されます。

情報の取得は、2つの方法で行われます。

プログラムは、標準的なパスワードのリストから、ルータへのユーザー名/パスワードのペアを推測しようとし、それによってアクセスを取得します。
または、ルーターのモデルに対して脆弱性(バグ)が使用され、必要な情報を取得したり、認証プロセスを迂回することが可能になります。
802.11a/b/g/n 規格を含むバージョン 2.60 から無線ネットワークの検出と監査が追加されましたが、これらの機能を使用するには、統合または外部 WiFi インターフェースが必要です。

3WiFiサービス機能は、最高の無線監査結果、WPA/WPA2ネットワークキーのブルートフォースとWPS PIN監査、およびPixie Dust攻撃を達成するために追加されました。

RouterSploit

引用:
侵入テストの運用を支援する様々なモジュールで構成されています。

exploits - 識別された脆弱性を利用するモジュール。
creds - ネットワークサービスに対するクレデンシャルをテストするために設計されたモジュール
スキャナ - ターゲットが脆弱であるかどうかをチェックするモジュール。
payloads - 様々なアーキテクチャとインジェクションポイントのためのペイロードの生成を担当するモジュール
generic - 一般的な攻撃を行うモジュール

routersploitをインストール on macOS BigSur

SCAMADVISERを使ってみた

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/10/11 18:29
 ScamAdviserというオランダの会社の提供するサイトを使ってみました.「消費者のオンラインショッピングの意思決定を支援する」という事で,Amazonや楽天などのメジャーなショッピングサイト以外で買い物をするときに役に立つかもしれません.

ScamAdviser.com 偽サイト・詐欺サイト確認
https://www.scamadviser.com/jp/check-website

引用:
このウェブサイトは、2012年にMarcによって設立されました。Marcはオンラインでゴルフクラブを購入しましたが、すぐにそれが偽物であることに気づきました。彼はお金を取り戻そうとしましたが、無駄でした。その悔しさから、彼はオンラインショッピングをする人がオンラインで購入する前に、より多くの情報を得た上で決断できるようにとScamAdviserを立ち上げました。

 切実ですね.
 まずは,当サイトを評価してみます.


 スコア77です.ショッピングサイトでは無いけれど,信頼度スコアは100には成ら無いのね.

ちなみに日本のAmazonを調査.

...続きを読む

 詐欺サイトのURLを見つけたので,詐欺サイトチェッカーを使ってみました.

 サンプルとして用意したのは,このサイト.

【くれぐれもご注意ください】merry jenny 違法サイトについて
https://www.mark-styler.co.jp/important/32.html

...続きを読む

 ソフトバンク系の,BBソフトサービス株式会社が無料で詐欺サイト判別サービスを提供を始めたそうです.

詐欺サイトチェッカー パワード by 詐欺ウォール
https://checker.sagiwall.jp/

引用:
詐欺ウォールが収集したブラックリストを元に無料で気になるサイトをチェックします。

・怪しいwebサイトのURLが、ネット詐欺サイトとして報告されているかをチェック
・判定は詐欺ウォールおよび各公的団体から入手・分析したデータと照合
・既知のネット詐欺サイトを簡易にチェックできる無料コンテンツサービス

 早速試してみました. 


 使い方は,URLを入力するだけです.


 うちのサイトは詐欺サイトでは無いということになりました.

 という事で,フィッシングメールの誘導先URLを入れてみます.
 こんなメール.


 URLがGoogle翻訳経由で偽装しているタイプ.


 安全な可能性が高いとなりました.
 Google翻訳部分を除去して再度検証.


 こちらも安全なサイトになりました.

 これは,フィッシングサイトであって詐欺サイトでは無いという事ですかね.

JSON Crack

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/10/3 16:15
 JSONファイルを視覚的によく見えるように整形してくれるWebサービス.

JSON -Crack Seamlessly visualize your JSON data instantly into graphs.-
https://jsoncrack.com/

 「JSONデータを瞬時にグラフ化し、シームレスに可視化します。」という事で,身近にあるJSONデータとしては,新型コロナウイルス接触確認アプリのCOCOAから取り出せるJSONデータを可視化してみた.


 iPhoneからmacにデータをAirDrop.JSONファイルがダウンロードフォルダに保存されるので,テキストエディタで開いてJSON Crackのサイト上にコピペするとこのグラフが表示される.
 デフォルトでは全体図が見えるようになっているけれど,拡大・縮小に対応していますね.


 拡大すると項目名も値も十分見えるので,こういう視覚的にJSONファイルを見られれば,アプリ開発にも便利でしょう.

 ちなみに,JSONファイルの編集機能がある事が大事.
 謎の絵を入手したので,ステガノグラフィー解析なるものをやってみようと.
 とりあえずあまり何も考えずに,そう言うサイトを検索.

 このAperi'Solveというのが出来が良さそうな雰囲気.

https://www.aperisolve.com/



引用:
Aperi'Solve is an online platform which performs layer analysis on image. The platform also uses zsteg, steghide, outguess, exiftool, binwalk, foremost and strings for deeper steganography analysis. The platform supports the following images format: .png, .jpg, .gif, .bmp, .jpeg, .jfif, .jpe, .tiff...

Aperi'Solveは、画像のレイヤー解析を行うオンラインプラットフォームです。また、zsteg, steghide, outguess, exiftool, binwalk, foremost, stringsを使用して、より深いステガノグラフィーの解析を行うことができます。このプラットフォームは、次の画像フォーマットをサポートしています: .png, .jpg, .gif, .bmp, .jpeg, .jfif, .jpe, .tiff...

 まずは調査対象の画像をアップロードしてみた.

...続きを読む

Detectreeを動かしてみた

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/8/5 0:56
 WithSecure(旧F-Secure)がGitHubで可視化ツールを公開したというので,ちょっとみてみようかと.

インシデント関連データの可視化ツールをGitHubで公開 - WithSecure
https://www.security-next.com/138434

引用:
同ツールは、ログデータを構造化し、疑わしいアクティビティや関連するプロセス、宛先となるネットワーク、ファイル、レジストリーキーなどの関係性について可視化を図るツール。

GitHub - WithSeureLabs/detectree:Data visualization for blue teams
https://github.com/WithSecureLabs/detectree

 インストール方法は書いてないんだけれど,JavaScriptフレームワークの「Svelte」の環境を整えれば,何かしらが動くところまで実行できました.


 あとはデータを入れるだけかな・・・

 バックエンドアダプタを定義することによって,データを取り出せるってことかなぁ.今ひとつ説明がないので判らないな.
 最初から入っているバックエンドアダプタを見ると,Elastic Searchのものが設定されています...
$ cat /Users/ujpadmin/bin/detectree/src/backend_adapters/elastic.ts🆑
import { Client } from '@elastic/elasticsearch';

export async function query(config: any, id: string, start: string, end: string): Promise<any> {
	const result = await getData(config.backend, id, start, end, config.mappings);

	return result;
}

// extract the value specified in str using dot notation from the object in obj
function getValue(str, obj) {
	return str.split('.').reduce((o, d) => o[d], obj);
}

WarpDriveをつこてみた

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/6/30 8:09
 NICTの実証実験だと言うことで,Chrome拡張機能をインストールしてみた.

「WarpDrive」が再始動 - 「タチコマSA」がChrome拡張機能に
https://www.security-next.com/136943

引用:
「WarpDrive」は、「Web-based Attack Response with Practical and Deployable Research InitiatiVE」より名付けられたプロジェクト。特定のウェブサイトを閲覧すると攻撃が行われるウェブ媒介型攻撃の実態把握と対策技術向上を目指している。
 常識に反して?普段,ChromeはWebミーティングでしか使ってないのだけれど,これしか対応してないと言うのだから仕方ない.

 まずはプロジェクトのサイトにアクセス.

WARPDRIVE
https://www.warpdrive-project.jp/index.html

 使用許諾に同意して拡張機能をインストールしたら,普通に分析対象のWebサイトにアクセス.


 拡張機能のボタンを押すと,オーバレイで画面が出てきてタチコマというキャラが分析結果を表示してくれます.うちのサイトは「異常なしであります!」だそう.
 「ページを解析する」ボタンを押すと,次のような画面に.


 ページとそれを取り巻く構成要素などがビジュアライズされて表示されます.掴んでぐるぐると回したりして全体を俯瞰して見ることができます.

BuiltWith

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/6/24 17:56
 手っ取り早く調査対象のサイトがどんなツールを使っているか外形からわかる部分をリストしてくれるサイト.

BuiltWith Technology Lookup
https://builtwith.com/

 利用は無料.



 調査するにはURLを入れるだけ.


  Usage Statisticsで利用している技術のトレンドもわかりますね.ま,うちの場合スタンダードなやつです.

Gitリポジトリのシークレットスキャンに

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/6/6 17:44
 Gitはデータの不正持ち出し先として車内からアクセス出来ないよう制限している会社はいくつかみた.
 利便性から使っているところもあるようだけれど,使っているなら意図せずアップするものを検出できるようにする,という対策ツールが提供されているそうです.

Gitリポジトリにパスワードをコミットするのを防ぐ9つのツール
https://news.mynavi.jp/techplus/article/20220325-2300218/

オープンリゾルバ確認サイト

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/4/25 15:05
自分の使っているルータがDDoS攻撃の踏み台になっている可能性をチェックすることができるというので,試してみました.

オープンリゾルバー確認サイト
https://www.v2.openresolver.jp/

引用:
DNSサーバー)となっているDNSサーバーが日本国内に多く存在していることを確認しています。 オープンリゾルバーは国内外に多数存在し、大規模なDDoS攻撃の踏み台として悪用されているとの報告があります。 また、DNSサーバーとして運用しているホストだけではなく、ブロードバンドルーターなどのネットワーク機器が意図せずオープンリゾルバーになっている事例があることを確認しています。

本確認サイトでは、お使いのPCに設定されているDNSサーバーと、本確認サイトへの接続元となっているブロードバンドルーターなどのネットワーク機器がオープンリゾルバーとなっていないかを確認することが可能です。 本サイトの詳細についてはこちらをご参照ください。


 同意ボタンを押すだけ. しばらくすると結果サイトが表示されます.

 一番手前にあるルータと,その先にあるDNSサーバもチェックされる様ですね.

Certificate Search

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/3/16 17:26
 証明書の履歴が調査できる.

crt.sh | Certificate Search
https://crt.sh/



 「今」だけでなく「昔」を知ることも大事.

Certificate Transparency(証明書の透明性)

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/3/16 17:01
 SSL証明書の透明性を調査するサイト.

ウェブ上での HTTPS 暗号化
https://transparencyreport.google.com/https/certificates

 残念ながら,「この証明書検索ページは、2022 年 5 月 15 日にサービスを終了します。」と記載がある...

 以下のフィッシングメールを例に,どんな感じか使ってみた.

...続きを読む

 以前紹介したRealtime Blackhole ListPostfixでSubmissionポートを有効にするで使ったツールがサービス終了しているので類似の別のサイトを探してみた.

open relay checker
http://check.jippg.org/

ANTISPAM-UFRJ
http://www.antispam-ufrj.pads.ufrj.br/

Anonymous Testを使ってテスト.

Suspicious Site Reporter

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/2/24 16:23
Chrome ウェブストアにGoogle Safa Browsingに通報するための拡張機能があるというのでインストール.


 ブラウザのアドレスばーの横に旗マークが出るので,該当のサイトを閲覧中にこの旗アイコンをクリックする.


 自動的にスクリーンショットやリファラーを取得しているので,Send Reportボタンを選択.


 これで終了.評判的には,これでどうなるものでもない模様...

DNSBL その2

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/2/23 16:18
 2012年にチェックしたDNSBLというDNSのブラックリストですが,現在状態を確認してみました.
 するとなんということでしょう...1つのブラックリストに登録されていました.



 ブラックリストを運用しているサイトは,削除申請する受付窓口があると思うのでサイトにアクセスしてみる.

...続きを読む

Cybershef

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/1/12 17:57
 簡単にエンコード,デコードできるサイトが,github上で提供されているのを教えてもらいました.

CyberChef
https://gchq.github.io/CyberChef/


 使い方は簡単.変換方法をOperationからDrag&Dropするだけ.複数の変換もできます.

 ちなみに,正規表現も.

 タイトルの通り,このサイト.

regular expressions 101
https://regex101.com/


 便利便利.サンプルデータをペーストする際には,重要なデータは置かないようにしなければいけないが.

GreenSnow

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2021/11/5 1:54
 素性のよろしくないIPアドレスのチェックを行うサイト.

https://greensnow.co

引用:
GreenSnowは、コンピュータセキュリティの最高のスペシャリストで構成されたチームで、世界中にあるさまざまなコンピュータから大量のIPを採取しています。GreenSnowは、SpamHaus.orgと比較して、スパム以外のあらゆる種類の攻撃を受けています。リストは自動的に更新され、リストに掲載されたIPアドレスはいつでも撤回することができます。
近々、Fail2BanやConfigServer Security & Firewallでこのリストを使用するためのガイドができる予定です。

モニターされる攻撃/ブルートフォースは以下の通りです。スキャンポート、FTP、POP3、mod_security、IMAP、SMTP、SSH、cPanel ...
詳細やリストへの参加については、お問い合わせください。

 まだちょっと精度(登録情報)が低いかなぁ.

 ブラックリストが提供されているので,定期的にこれを取得してブロックしても良いのかもしれない.

https://blocklist.greensnow.co/greensnow.txt

icat for JSON

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2021/10/20 11:46
 以下のツールをこのサイトに組み込もうとしているのだけれど,エラーになってうまくいかない.
 エラーコードが出てくるけれど,調べるとgithubのソースコードにたどり着く...

IPA、サイバーセキュリティ注意喚起サービス「icat for JSON」公開
https://japan.zdnet.com/article/35078287/

プリフェッチの解析

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2021/8/26 23:00
 フォレンジックの解析の中に,Windowsのプログラム実行を高速化するOS機能のプリフェッチを使う方法があります.

 以下,参考メモ.

PECmd - Windows Prefetchの解析
https://tsalvia.hatenablog.com/entry/2019/02/25/005319

パフォーマンスログ収集

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2021/8/21 23:00
 パフォーマンスログを取得すること自体がパフォーマンスに影響するのだけれど,最初からパフォーマンスログ収集する仕組みを入れていれば,変化がわかりますね.


パフォーマンス ログ収集
https://jpwinsup.github.io/blog/2021/06/07/Performance/SystemResource/PerformanceLogging/
引用:
本記事では、Windows の標準機能であるパフォーマンス モニターによるシステムのパフォーマンス情報を常時取得する方法をご紹介します。紹介しているコマンドは、すべて管理者として起動したコマンドプロンプトで実行してください。

パフォーマンス カウンターの警告
https://jpwinsup.github.io/blog/2021/07/19/Performance/PerformanceCounterAlert/

引用:
Windows の標準アプリであるパフォーマンス モニターには、パフォーマンス カウンターが設定した閾値を上回る、または下回った時にプログラムを実行できる機能があります。本記事では、利用可能な物理メモリが 1024MB 以下になった時に PowerShell スクリプトを実行する手順をご紹介いたします。
サイバーセキュリティ経営可視化ツールWeb版(V1.0版)を公開しました
https://www.meti.go.jp/press/2021/08/20210817002/20210817002.html

Excelよりは良いかな.

Ransomware Readiness Assessment

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2021/8/12 0:50
 いつか必要になったときに試そうの件.

米政府サイバーセキュリティ機関CISA、ランサムウェア対策を自己評価できるツールを公開
https://japan.zdnet.com/article/35173371/

セキュリティ更新プログラム ガイド

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2021/7/31 23:10
 Microsoft製品に関わる脆弱性とその対策などが一覧で手でいます.

セキュリティ更新プログラム ガイド
https://msrc.microsoft.com/update-guide/ja-jp


 こんな画面.

ランサムウェア攻撃の兆候

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2021/6/17 0:57
 ちょっと古いけれどこの記事.

攻撃は突然始まるわけではない ランサムウェア攻撃の可能性を示す5つの兆候
https://techtarget.itmedia.co.jp/tt/news/2010/19/news01.html

 以下のようなツールが入っていることを見つけたら・・・あとあるが.

  • Process Hacker タスクマネージャの高機能版
  • IOBit Uninstaller アンインストールできるソフトウェア
  • GMER ルートキット検出ツール
  • PC Hunter タスクマネージャの高機能版.オブジェクト呼び出しも確認できる模様

     悪い人がいるのか優秀な人がいるのかは,紙一重かな.
  • Fiddlerの使い方

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2021/5/18 10:13
     mintproxyを使ってモニタリングなどをしていたのだけど,WindowsでもFiddlerを使うと良い模様.

    AppGoatを利用した集合教育補助資料 -Fiddlerの使い方-
    https://www.ipa.go.jp/files/000077215.pdf

     そもそも,AppGoatって?で調べると,こんな.

    脆弱性体験学習ツール AppGoat
    https://www.ipa.go.jp/security/vuln/appgoat/

    Symantec Site Review

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2021/3/30 23:04
    PaloAltoじゃなくてSymantecのWebPulseを使って,自分のサイトがどういうカテゴリに設定されているか確認できる.

    WebPulse サイト評価リクエスト
    https://sitereview.bluecoat.com/


     当サイトがどうなっているか確認.


     テクノロジーとインターネットか.ポケモンGOの記事が多いので「ゲーム」とかになるのかとおもってたら,そうは成らない模様.

     今朝きたJCBを騙るフィッシングメールの誘導先のサイトが,どう評価されているか確認.


     Suspicious/疑わしい というレベル.たぶんSuspiciousになっていれば,サイトにアクセスする際に遮断となるはず.


     でももうこれはフィッシングサイトなので,そういうカテゴリに分類するように設定してみた.
     メアドは差し出す必要があるようだが.


     決定され次第,通知が来る模様.カテゴリ変更されるのとロックダウンされるのとどっちが速いかな.

    Google セーフ ブラウジング

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2021/3/15 10:04
     フィッシングサイトにアクセスすると,Google セーフ ブラウジングがブロックしてくれたりしますが,自分で能動的にチェックもできることを知りました.

    Google透明性レポート セーフ ブラウジング
    https://transparencyreport.google.com/safe-browsing/overview

     自分の管理するサイトが,Google的にどうなっているかは,サイトステータスの確認でチェックできます.

    セーフ ブラウジングのサイト ステータス
    https://transparencyreport.google.com/safe-browsing/search


     一応今のところは,No Detectになっている.

    Microsoft リモート接続アナライザ

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2021/3/15 1:41
     比較的Microsoft Exchange寄りだけれど,メール系の調査に使えるWebツールがたくさんありました.

    Microsoft リモート接続アナライザ
    https://testconnectivity.microsoft.com/tests/o365

     ガチガチにWebアクセスが強化されてMicrosoft 365を使っている人以外は,あまり用がない気もするけれど,メモ程度に.
     メールヘッダの可視化だけなら,MicrosoftのMessage Header Analyzerを使えば良いのだけれど,どちらかというとデバッグ用かな.
     mxtoolboxの提供するEmail Header Analyzerを使うと,悪性分析もしてくれる.

    Email Header Analyzer
    https://mxtoolbox.com/Public/Tools/EmailHeaders.aspx

     ただし,分析したメールヘッダはmxtoolboxに保存されているようなので,身元がバレると困る組織の場合,分析対象のメールヘッダの一部をマスクしておくのが良いでしょう.(ほとんどの大企業は困るのだと思うけど)

     それで今回使ったのは前回と同じこういう迷惑メールのヘッダ.


     使い方は簡単.メールヘッダをペーストしてAnalyze Headerボタンを押すだけ.
     次のような詳細レポートがでます.


     かなり高機能.

  • メールサーバ間の遅延状況を確認できる.
  • 通過しているメールサーバがブラックリストに登録されている事が確認できる
  • ヘッダにある時間を判別している(Microsoft版は分析失敗してた)

     送信元のIPアドレスがブラックリストだとわかる時点で十分有能だな.
  •  迷惑メールがどこから送られてきたかをトレースするには,メールヘッダをみるのが良いのだけれど,通過したメールサーバによって色々付くので読みにくい.
     それをコピペだけで整形してくれるWebツールをMicrosoftが用意していたので使ってみた.

    Message Header Analyzer
    https://mha.azurewebsites.net/

     今回使ったのはこういうカミさんのところに届いたフィッシングメール.


     古典的.すでにプロバイダのHi-Hoで迷惑メール扱いされて件名に[meiwaku]が付加されているし,Apple Mailも迷惑メールトイ判断している.

     まずは,Webブラウザで,Message Header Analyzerのサイトにアクセス.


     メールからメールヘッダをコピペして,Analyze headersボタンを押すだけ.


     表組みされて表示されるだけだけれど,生のメールヘッダを見るよりずいぶん楽.

     このメールを見ると,Return-Pathが実際の企業向けにしてあるので,宛先不明メールを受け取るようにしていれば,企業側でもフィッシングメール被害が出ていることを把握できちゃうね.

    Responder-Windows

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2021/3/3 1:36
     悪用されがちツール.

    Responder And MultiRelay For Windows
    https://github.com/lgandx/Responder-Windows

     仕組みの理解.

    LLMNRとNBTとは – DNS サーバが無いのに名前解決ができる理由
    https://turningp.jp/server-client/windows/windows-llmnr-netbios

    $ git clone https://github.com/lgandx/Responder-Windows🆑
    Cloning into 'Responder-Windows'...
    remote: Enumerating objects: 151, done.
    remote: Total 151 (delta 0), reused 0 (delta 0), pack-reused 151
    Receiving objects: 100% (151/151), 7.73 MiB | 9.68 MiB/s, done.
    Resolving deltas: 100% (43/43), done.
    [macmini2014:ujpadmin 01:31:08 ~/bin ]
    $ ls -la Responder-Windows/🆑
    total 4
    drwxr-xr-x  6 ujpadmin staff  192  3  3 01:31 .
    drwxr-xr-x 10 ujpadmin staff  320  3  3 01:31 ..
    drwxr-xr-x 12 ujpadmin staff  384  3  3 01:31 .git
    -rwxr-xr-x  1 ujpadmin staff 3290  3  3 01:31 README.md
    drwxr-xr-x  3 ujpadmin staff   96  3  3 01:31 binaries
    drwxr-xr-x 16 ujpadmin staff  512  3  3 01:31 src
    [macmini2014:ujpadmin 01:31:18 ~/bin ]
    $ tree Responder-Windows/🆑
    Responder-Windows/
    ├── README.md
    ├── binaries
    │   └── Responder
    │       ├── MultiRelay.exe🈁
    │       ├── Responder.conf
    │       ├── Responder.exe
    │       ├── logs
    │       └── relay-dumps
    └── src
        ├── LICENSE
        ├── Responder.conf
        ├── Responder.py
        ├── certs
        │   ├── gen-self-signed-cert.sh
        │   ├── responder.crt
        │   └── responder.key
        ├── files
        │   ├── AccessDenied.html
        │   └── BindShell.exe
        ├── fingerprint.py
        ├── logs
        ├── odict.py
        ├── packets.py
        ├── poisoners
        │   ├── LLMNR.py
        │   ├── MDNS.py
        │   ├── NBTNS.py
        │   └── __init__.py
        ├── servers
        │   ├── Browser.py
        │   ├── DNS.py
        │   ├── FTP.py
        │   ├── HTTP.py
        │   ├── HTTP_Proxy.py
        │   ├── IMAP.py
        │   ├── Kerberos.py
        │   ├── LDAP.py
        │   ├── MSSQL.py
        │   ├── POP3.py
        │   ├── Proxy_Auth.py
        │   ├── SMB.py
        │   ├── SMTP.py
        │   └── __init__.py
        ├── settings.py
        ├── tools
        │   ├── BrowserListener.py
        │   ├── DHCP.py
        │   ├── DHCP_Auto.sh
        │   ├── FindSMB2UPTime.py
        │   ├── FindSQLSrv.py
        │   ├── Icmp-Redirect.py
        │   ├── MultiRelay
        │   │   ├── MultiRelay.py
        │   │   ├── RelayMultiCore.py
        │   │   ├── RelayMultiPackets.py
        │   │   ├── SMBFinger
        │   │   │   ├── Finger.py
        │   │   │   ├── __init__.py
        │   │   │   └── odict.py
        │   │   ├── creddump
        │   │   │   ├── CHANGELOG
        │   │   │   ├── COPYING
        │   │   │   ├── README
        │   │   │   ├── __init__.py
        │   │   │   ├── cachedump.py
        │   │   │   ├── framework
        │   │   │   │   ├── __init__.py
        │   │   │   │   └── win32
        │   │   │   │       ├── __init__.py
        │   │   │   │       ├── addrspace.py
        │   │   │   │       ├── domcachedump.py
        │   │   │   │       ├── hashdump.py
        │   │   │   │       ├── lsasecrets.py
        │   │   │   │       ├── newobj.py
        │   │   │   │       ├── object.py
        │   │   │   │       ├── rawreg.py
        │   │   │   │       └── types.py
        │   │   │   ├── lsadump.py
        │   │   │   └── pwdump.py
        │   │   ├── odict.py
        │   │   └── relay-dumps
        │   ├── RunFinger.py
        │   └── odict.py
        └── utils.py
    
    17 directories, 67 files
    [macmini2014:ujpadmin 01:31:29 ~/bin ]
    $
    

    dnsdumpster

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2021/2/25 1:46
    FQDNから怪しさを調査するツールは色々とあるけれど,今時のダークモードでチャートが出てくるのが新しい感じがする.

    dnsdumpster
    https://dnsdumpster.com

     例えば,このような古臭い迷惑メール.


     本文にあるFQDNを入れて調べてみる.


     まぁわかりやすくロシアのトップドメインを使っているから,そうなるでしょうと.


     DNSレコードの可視化がよくできている気がする.

    Process Hacker

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2021/2/17 11:37
    Process Hacker
    https://processhacker.sourceforge.io

    https://shimimin.hatenablog.com/entry/2019/03/17/200323


    Windows セキュリティに除外を追加する
    https://support.microsoft.com/ja-jp/office/windows-セキュリティに除外を追加する-811816c0-4dfd-af4a-47e4-c301afe13b26

    https://faq.nec-lavie.jp/qasearch/1007/app/servlet/relatedqa?QID=018507

    TrebdMicro Site Safety Center

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2021/2/16 12:14
     FQDNを入力するだけで簡単にWebサイトの安全性を教えてくれるサイト.

    TrebdMicro Site Safety Center
    https://global.sitesafety.trendmicro.com/?cc=jp

     早速,当サイトを検査.



     「電子機器の販売・評価」を行うとある.販売はしてないけどなぁ...

    漏洩したメアドの検索に

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2021/2/9 23:17
     pwnedと同じようなサービスがある模様.

    _IntelligenceX
    https://intelx.io

     うちの場合,MySpaceとピーティックスで漏洩したメアドがそれぞれ検出されました

    GTUBE

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2021/1/7 12:55
     メールサーバで,スパム判定機能が動作しているかチェックするための呪文.

    GTUBE
    https://ja.wikipedia.org/wiki/GTUBE

     文字列はこれ.
    XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
    
     Gmailから,新メールサーバへGTUBEの文字列を入れたメールを送付したところ,スパム判定しました.


     これで少しは安心かな.

    テスト環境で使えるクレジットカード番号

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2020/12/28 11:37
     フィッシングサイトでクレカ情報の入力を求められることが多いから,その時に使うツールとして,テスト用のクレカ番号.

    テスト環境で使えるクレジットカード番号
    https://qiita.com/mimoe/items/8f5d9ce46b72b7fecff5

     テイクダウンされてないサイトの分析に活用可能かな.

    Subdomain Finder

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2020/12/7 1:18
     その名の通り.サブドメインを探索するツール.


    Subdomain Finder
    https://subdomainfinder.c99.nl
     自分用ToDoです.

    緊急レポート】Microsoft社のデジタル署名ファイルを悪用する「SigLoader」による標的型攻撃を確認
    https://www.lac.co.jp/lacwatch/report/20201201_002363.html

    Sigcheck ツールでファイルの署名をテキスト出力する
    http://tooljp.com/Windows10/doc/Sysinternals/sigcheck.exe.html

    ばらまきメール回収の会

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2020/12/1 10:42
     情報修習先として利用価値はたかそうです.ありがとうございます.

    ばらまきメール回収の会
    https://twitter.com/retrieve_member

    ばらまき型メールから日本を守る、知られざる善意の50人
    https://xtech.nikkei.com/atcl/nxt/column/18/00138/072700596/

    www.BlockList.de

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2020/12/1 10:38
     いくつかある中のの無料のブラックリストサービス.

    www.BlockList.de
    http://www.blocklist.de/en/index.html

    引用:

    www.blocklist.de is a free and voluntary service provided by a Fraud/Abuse-specialist, whose servers are often attacked via SSH-, Mail-Login-, FTP-, Webserver- and other services.
    The mission is to report any and all attacks to the respective abuse departments of the infected PCs/servers, to ensure that the responsible provider can inform their customer about the infection and disable the attacker.

    www.blocklist.de は、SSH-、Mail-Login-、FTP-、Webserver-などを経由して攻撃されることが多いサーバーを対象に、詐欺/悪用の専門家が提供する無料・任意のサービスです。
    ミッションは、感染したPC/サーバのそれぞれの不正利用部門にあらゆる攻撃を報告し、責任あるプロバイダが顧客に感染を知らせ、攻撃者を無効化できるようにすることです。

     目的別にIPアドレスリストを入手できますね.

    Export all blocked IPs
    http://www.blocklist.de/en/export.html

     サブネットでまとめられるものはまとめて欲しいところですけどねぇ...

    DMARC Record Checker

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2020/11/9 2:09
     メールサーバにDMARCレコードが設定されているか否かをチェックする.

    DMARC Record Checker
    https://dmarcian.com/dmarc-inspector/

     digコマンドでも調べられるけど,設定値についてアドバイスももらえるから,外部のツールを使うのもよかろう.

    サイバー空間をめぐる脅威の情勢等

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2020/10/22 0:01
     警視庁のサイトに統計情報がでてました.

    サイバー空間に関する統計等
    https://www.npa.go.jp/publications/statistics/cybersecurity/index.html

     Excelで生データを取り出せるのはありがたいかもしれないね.

    認証方法のアンケート結果

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2020/9/16 11:02
     フィッシング対策協議会で実施されたアンケートが掲載されています.

    インターネットサービス利用者に対する 「認証方法」に関するアンケート調査結果報告書を公開 (2020/09/09)
    https://www.antiphishing.jp/news/info/20200909.html

  • ブラウザへのパスワード保存
  • ログインしっぱなしにしている
  • パスワードは8文字以上で安全と53%が思っている
  • 顔認証は2割の人は嫌い
  • 「ワンタイムパスワード」が分からないのは5%
  • 本人認証が何となく不安と思う人が45%

     ワンタイムパスワードは,結構認知度が高いのか.PayPayやドコモ口座の件などで「安全な2段階認証の施策を入れる,入れてなかった」的な報道もワイドショーでもよく見かけたしね.

     キャッシュカードの暗証番号を4桁にしておくと,リバースブルートフォースアタックで効率的に突破されることもわかったので,
  • web Insight

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2020/9/8 14:43
     あやしいURLを知っている時に,自分のブラウザでアクセスすると危ない時がある.そう言う時は外部の検査ツールを使うのだけれど,また新しく見つけた. 

    Web Insight
    http://webint.io/

     Web Insightを使って当サイトを検査.


     危なく無いので? Webサイトのスクショが取られた程度.

     このサイトのツールを使ってチェックしたと言うログが残る程度かなぁ.


     まだまだ情報収集中のようで,怪しいサイトにアクセスしても警告も何も出てこない.

    引用:
    Web Insight is Website investigation tool to reveal all Website related information including domain, IP and structure of contents. This service is intended to use for security investigation in order to reduce the risk of cyber crime such as Phishing, Malware via Website, however this is still under alpha testing. Any feedback would be appreciated.

    Web Insightは、Webサイトのドメイン、IP、コンテンツの構造など、Webサイトに関連するすべての情報を明らかにするWebサイト調査ツールです。フィッシングやWebサイト経由のマルウェアなどのサイバー犯罪のリスクを軽減するためのセキュリティ調査に利用することを目的としたサービスですが、まだアルファテスト中です。ご意見・ご感想をお待ちしております。
     今すぐ使うツールではなさそう.(成長を見守るw)

    広告スペース
    Google