UJP - ツールカテゴリのエントリ

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ ツール の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - ツールカテゴリのエントリ

Burp Suite日本語ドキュメント

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2024/5/30 0:48
 開発用デバッガーとして使っている人も多いプロキシ.

Burp Suite日本語ドキュメント
https://burp-resources-ja.webappsec.jp

なぜ、ハッカーはBurp Suiteを利用するのですか?(2) Reflective XSSの脆弱性を発見する方法の操作
https://whitemarkn.com/burp-suite/reflective-xss/#google_vignette

GlassWire

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2024/5/30 0:46
 かなり前の記事になるけど,インストールしてみているけど不具合なし.

トラフィック監視ツール「GlassWire」がアカウント不要に、上位機能の多くが無料開放
https://forest.watch.impress.co.jp/docs/news/1475172.html
 このAMEXを騙るフィッシングメール.ヘッダや本文にある日付を毎日変えたものを送ってくる.
 メールヘッダを見ると003_Dragonなのでツールがちょっと進化したのかな?なんて思ってる.
 誘導先は既にテイクダウンされているので,遅延配送されているのかな.



引用:
2024年4月10日 まで、カードの利用が一時停止されました。

カードの一時利用停止:
カードの一時利用停止を解除すると、以前と同様にカードを利用できます。カードの一時利用停止を解除する場合は、
こちら。

■ご利用確認はこちら

※24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

ご不便とご心配をおかけして申し訳ございません。

※ このメールは、取引受信メールアドレスの通知のためのものであり、再送要請は受け付けておりません。

顧客プライバシー | お問い合わせ窓口 | 配信アドレスの変更

【ご留意点】

利用停止期間の日数は米国山岳部標準時(GMT-07:00)を基準に計算されます。米国山岳部標準時が0:00になる日本時間の16:00に、残りの利用停止期間の日数が1日減ります。そのため表示の日付は、日本時間と1日ずれている場合があります。

※本Eメールはカード会員様の受信設定にかかわらず、配信しております。
※本Eメールは送信専用Eメールアドレスから配信されています。ご返信いただいてもお応えいたしかねますのでご了承ください。
※本サービスについての詳細および登録の解除・変更は、

こちら よりご確認ください。

【発行】アメリカン・エキスプレス・インターナショナル, Inc.
〒105-6920 東京都港区虎ノ門4丁目1番1号
americanexpress.co.jp
Copyright (c) 2024 American Express International, Inc. All Rights Reserved.
JPNJAALEFRZ0025
 メールヘッダを確認.

...続きを読む

phishurl-list

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2024/2/22 12:41
 JPCERT/CCが把握しているフィッシングサイトのURLリストがgithubに公開されているというので入手してみた.

$ git clone https://github.com/JPCERTCC/phishurl-list/🆑
Cloning into 'phishurl-list'...
remote: Enumerating objects: 197, done.
remote: Counting objects: 100% (197/197), done.
remote: Compressing objects: 100% (148/148), done.
remote: Total 197 (delta 82), reused 144 (delta 43), pack-reused 0
Receiving objects: 100% (197/197), 2.16 MiB | 8.29 MiB/s, done.
Resolving deltas: 100% (82/82), done.
$ cd phishurl-list/🆑
$ ls -la
total 60
drwxr-xr-x 14 ujpadmin staff   448  2 22 12:11 .
drwxr-xr-x 51 ujpadmin staff  1632  2 22 12:11 ..
drwxr-xr-x 12 ujpadmin staff   384  2 22 12:11 .git
drwxr-xr-x  3 ujpadmin staff    96  2 22 12:11 .github
-rw-r--r--  1 ujpadmin staff   105  2 22 12:11 .gitignore
drwxr-xr-x 14 ujpadmin staff   448  2 22 12:11 2019
drwxr-xr-x 14 ujpadmin staff   448  2 22 12:11 2020
drwxr-xr-x 14 ujpadmin staff   448  2 22 12:11 2021
drwxr-xr-x 14 ujpadmin staff   448  2 22 12:11 2022
drwxr-xr-x 14 ujpadmin staff   448  2 22 12:11 2023🈁
-rw-r--r--  1 ujpadmin staff   239  2 22 12:11 README.md
-rw-r--r--  1 ujpadmin staff 23484  2 22 12:11 index.html
-rw-r--r--  1 ujpadmin staff  2561  2 22 12:11 statistic.py
-rw-r--r--  1 ujpadmin staff 21456  2 22 12:11 template.html
$ cd 2023🆑
$ ls -la🆑
total 4124
drwxr-xr-x 14 ujpadmin staff    448  2 22 12:11 .
drwxr-xr-x 14 ujpadmin staff    448  2 22 12:11 ..
-rw-r--r--  1 ujpadmin staff 136327  2 22 12:11 202301.csv
-rw-r--r--  1 ujpadmin staff 157753  2 22 12:11 202302.csv
-rw-r--r--  1 ujpadmin staff 296911  2 22 12:11 202303.csv
-rw-r--r--  1 ujpadmin staff 302824  2 22 12:11 202304.csv
-rw-r--r--  1 ujpadmin staff 515049  2 22 12:11 202305.csv
-rw-r--r--  1 ujpadmin staff 694739  2 22 12:11 202306.csv
-rw-r--r--  1 ujpadmin staff 373045  2 22 12:11 202307.csv
-rw-r--r--  1 ujpadmin staff 411706  2 22 12:11 202308.csv
-rw-r--r--  1 ujpadmin staff 316962  2 22 12:11 202309.csv
-rw-r--r--  1 ujpadmin staff 282193  2 22 12:11 202310.csv
-rw-r--r--  1 ujpadmin staff 297317  2 22 12:11 202311.csv
-rw-r--r--  1 ujpadmin staff 416192  2 22 12:11 202312.csv🈁
$ head 202312.csv🆑
date,URL,description
2023/12/01 10:32:00,https://beet-u5s1-1h6y.p6ndza0z.workers.dev/,三井住友カード
2023/12/01 10:32:00,https://strawberry-qo68-yl4y.oah2c2h4.workers.dev/,三井住友カード
2023/12/01 10:47:00,https://smcodenpass.jtlf4rg.cn/,三井住友カード
2023/12/01 10:47:00,https://smcodenpass.udknela.cn/,三井住友カード
2023/12/01 11:56:00,https://asasion.63928.cn/,SAISON CARD
2023/12/01 11:56:00,https://emv1.virfxjg.cn/,SAISON CARD
2023/12/01 11:56:00,https://emv1.ynmghkw.cn/,SAISON CARD
2023/12/01 11:56:00,https://mta-sts.virfxjg.cn/,SAISON CARD
2023/12/01 11:56:00,https://mta-sts.ynmghkw.cn/,SAISON CARD
$
 昨日公開されたのが2023年10月から12月のデータ.
 どういう利用方法が良いのだろうと考えたのだけど,社内のWeb ProxyのNGリストにロードしておけば,古いフィッシングメールをみて誤って誘導先URLをリンクした時にブロックできるという意味があるかな,という感じか.

 2023年のcsvデータから,どのサービスを騙っているフィッシングサイトが多いのかトップ30を集計してみた.
$ cat *|cut -d "," -f 3|sort|uniq -c|sort -r|head -n 30🆑
   8753 Amazon
   6560 SAISON CARD
   5071 えきねっと
   4441 Apple ID
   4033 エポスカード
   3932 ETC利用照会サービス
   3791 イオン銀行
   3378 三井住友カード
   2428 softbank
   2349 ヤマト運輸
   2188 総務省
   1649 イオンカード
    993 au
    779 三井住友信託銀行
    748 BIGLOBE
    675 NHK
    596 MICARD
    503 メルカリ
    494 American Express
    487 楽天
    412 PayPay
    405 ポケットカード
    397 楽天カード
    339 Viewcard
    331 Microsoft
    321 Orico
    281 TEPCO
    271 横浜銀行
    242 TS CUBIC CARD_MY TS3
    231 国税庁
$
 うちではポケットカードを騙ったメールは目立つほど来てないかな.何かメアドリストに偏りがあるのだろう.
 もう1つ,トップレベルドメインを調べてみた.
$ cat *|cut -d "," -f 2|sed 's/\./,/g'|sed 's/\///g'|rev|cut -d ',' -f 1|rev|sort|uniq -c|sort -r|head -n 30🆑
  15725 com
   9213 cn
   7061 org
   3253 dev
   2788 cfd
   2383 top
   1728 php
   1427 xyz
   1161 coma3IwMDY1P3🈁
   1153 php?id=*
   1000 php?id=
    952 icu
    767 php?sinvu7yfte=*
    586 html?id=*
    551 orgjamain
    505 html
    322 jp
    321 cncaonige
    299 shop
    296 net
    296 comjp
    252 one
    235 cnjp
    216 shopa3IwMDY1P3🈁
    200 php?info=*
    190 ink
    180 cyou
    173 onea3IwMDY1P3🈁
    149 cc
    136 buzz

$
 phpがあるけどこれは抽出コマンドが悪いので無視.ドメインcom,cnは良いけど,cfd(Clothing Fashin Design)というのはみない感じだ.うちでは.cnと.topが多いかな.
 興味深いのはa3IwMDY1P3というパラメータみたいなのが多くあるところかな.

追記2024/02/22
 加工パラメータを工夫してFQDNを抽出して集計してみた.
$ cat *|cut -d "," -f 2|sed 's/\//,/g'|cut -d "," -f 3|rev|cut -d "." -f 1|rev|sort|uniq -c|sort -r|head -n 30
  20754 com
  11016 cn
   7761 org
   4423 cfd
   3496 dev
   3001 top
   1592 xyz
   1187 icu
    659 shop
    635 asia
    580 cc
    496 cyou
    473 one
    456 net
    430 ly
    220 jp
    203 ink
    200 monster
    174 buzz
    144 life
    142 co
    138 vip
    134 info
    129 sbs
    123 club
    105 fit
    104 gd
    102 art
     97 us
     79 tokyo
$
 ハードディスクを買ったらレジの人が「PC部品買った方にお配りしてまーす」とパソコンゲームのパンフレットと一緒に渡されたので黙ってもらって帰ったんだけど,普通にノートンセキュリティのライセンスだった.


 無料で配って更新費用で収益化するビジネスモデルなのかな.
 2023年12月末にMxToolboxでブラックリスト登録を監視してもらってたら通知が来た件の続報.

 無償で登録しているのでレポートは1週間に1回だけど,Removed from UCEPROTECTL2というメールがきました.



引用:
Removed from UCEPROTECTL2 at 2/6/2024 1:06:56 PM (UTC+09:00) Osaka, Sapporo, Tokyo after being down for 40 days, 5 hours, 58 minutes, 1 seconds

UCEPROTECTL2 から削除されました 2/6/2024 1:06:56 PM (UTC+09:00) 大阪, 札幌, 東京 40日と5時間58分1秒の停止の後

 UCEPROTECTLのレベルは次の通り.

UCEPROTECTL1 : 単一の特定の IP アドレスのリスト。
UCEPROTECTL2 : ISP / ホスト / ドメインプロバイダーの複数の IP アドレスのリスト。
UCEPROTECTL3 : ISP / ホスト / ドメイン プロバイダーの IP アドレスの全範囲のリスト。

 UCEPROTECTL3は出たり入ったりを繰り返していたけど,UCEPROTECTL2を抜けるのは40日ぶりの模様.ちなみに同じプロバイダが管理するIPアドレスたいからは,まだUCEPROTECTL Level1のIPアドレスは1つ存在しているようだけど.

 プロバイダ側が何かやったかどうかは,声明が無いので不明です.

dmarc-report-converter

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2024/2/6 23:47
 最近DMARCレポートがたくさん送られてくるので,XMLファイルを読むのも面倒だと思っていたけど,ちゃんと視認性を良くするツールが用意されていました.

Converter dmarc reports from xml to human-readable formats
https://github.com/tierpod/dmarc-report-converter

 インストールして早速使ってみたのですが,macOSだとビルドが必要でした.

 作成されたレポートはこんな感じ.


 DMARCの設定ではrejectとしているので,ちゃんとした企業のメールドメインを騙っていたらリジェクトされているだろうと思うけど,うちにもたくさん,なりすまししたメールが届くからまだまだ一般化してないのでしょう.

 この流れもあるし.

新潮流になるか?GoogleとYahooが発表した「今後は受信しないメール」の条件
https://ent.iij.ad.jp/articles/6076/
 MxToolboxでブラックリスト登録を監視してもらってたら通知が来たのが2023年末だったけど,その後も通知がされているけど,UCEPROTECTL3に3入ったり出たりしている.

 メールの件名はこんな感じ.

blacklist: - Added to UCEPROTECTL3
blacklist: - Removed from UCEPROTECTL3

 メール本文はこんな感じ.



 最初に通知が来た時はUCEPROTECTL2だったけど,UCEPROTECTLには3つのレベルがあり,次のように分類されている.

UCEPROTECTL1 : 単一の特定の IP アドレスのリスト。
UCEPROTECTL2 : ISP / ホスト / ドメインプロバイダーの複数の IP アドレスのリスト。
UCEPROTECTL3 : ISP / ホスト / ドメイン プロバイダーの IP アドレスの全範囲のリスト。

 つまりより広範囲のUCEPROTECTL3に範囲が広げられたが,また絞られたという感じ.UCEPROTECTL3に入ったり出たりしているけど,UCEPROTECTL2には入ったままの状態.



 詳細を見ると,一応自分の管理するIPアドレスは入ってないことがわかります...
 2023年8月からMxToolboxでブラックリスト登録を監視してもらうということで登録していたのだけど,ブラックリストに登録されていると連絡メールが来た.



blacklist:XXX.XX.XXX.20
Added to UCEPROTECTL2 at 12/28/2023 7:08:54 AM (UTC+09:00) Osaka, Sapporo, Tokyo
	
Blacklist Severity: 	Very Low 🈁
MxRep Current Score: 	99
Delisting link: 	http://www.uceprotect.net/en/rblcheck.php
Get more information: 	blacklist:XXX.XX.XXX.20
Learn more about this problem: 	UCEPROTECTL2 🈁
Current Checks failing: 	1
Email Sent On: 	12/27/2023 4:08:56 PM (UTC-06:00:00)
	Check 	Severity 	Blacklist Detail 	Delisting Link
problem icon 	On UCEPROTECTL2 	Very Low 	Learn more 	Delist
MxToolBox, Inc. 	Upgrade to access powerful monitoring features!
Click here to edit or unsubscribe.
 UCEPROTECTL2というサイトに登録されいてるそう.Very Lowとの評価.ちなみに該当IPアドレスはWebサーバだが管理用のメールを特定メアドに送っているのみの利用だけど毎日大量の攻撃があるので毎日集計ログをチェックしているので何か不正な通信をしていたらわかるしログイン監査もしているしプロセスも監視している...

 MxToolboxからのメールにあるリンク先のページでUCEPROTECTL2について説明があったので把握してみる.

...続きを読む

GREYNOISE

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2023/10/26 0:36
 今回は,GREYNOISEというWebツールを使ってみた.

 まず,どういうWebツールなのかは,サイトの説明から引用.
引用:
Solving internet noise.
We collect, analyze, and label data on IPs that scan the internet and saturate security tools with noise. This unique perspective helps analysts spend less time on irrelevant or harmless activity, and more time on targeted and emerging threats.

インターネット・ノイズの解決
インターネットをスキャンし、セキュリティツールをノイズで飽和させるIPのデータを収集、分析、ラベル付けします。このユニークな視点は、アナリストが無関係または無害なアクティビティに費やす時間を減らし、標的を絞った新たな脅威により多くの時間を費やすのに役立ちます。

 ということで早速うちのサーバをポートスキャンしてログインしてこようとしているIPアドレスを1つ使って調査してみました.

https://viz.greynoise.io/

...続きを読む

Microsoft SBOM Tool

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2023/10/14 1:13
 ソフトウェアに脆弱性があると「対策された修正アップデートを適用」「入れ替える」「利用を止める」などの対策があるけど,ソフトウェア本体ならまだしも,ライブラリとかどこで何が使われているか分からな場合,それを管理するのがSBOM.


 マイクロソフトが公開している,Windows,Linux,macOSに対応しているツール.

SBOM Tool
https://github.com/microsoft/sbom-tool

引用:
The SBOM tool is a highly scalable and enterprise ready tool to create SPDX 2.2 compatible SBOMs for any variety of artifacts. The tool uses the Component Detection libraries to detect components and the ClearlyDefined API to populate license information for these components.

SBOMツールは、様々なアーティファクトに対してSPDX 2.2互換のSBOMを作成する、拡張性の高いエンタープライズ対応ツールです。このツールは、コンポーネント検出ライブラリを使用してコンポーネントを検出し、ClearlyDefined APIを使用してこれらのコンポーネントのライセンス情報を入力します(Safariで翻訳)

SBOMツールは、さまざまなアーティファクト用のSPDX 2.2互換SBOMを作成するための、高度にスケーラブルでエンタープライズ対応のツールです。このツールは、コンポーネント検出ライブラリを使用してコンポーネントを検出し、ClearlyDefined APIを使用してこれらのコンポーネントのライセンス情報を入力します。(DeepLで翻訳)

引用:
SBOMとは 「SBOM」とは、「Software Bill Of Materials」の略で、「ソフトウェア部品表」という意味があります。 SBOMはアプリケーションなどの製品に含まれるすべてのソフトウェアコンポーネントや、ライセンスなどをリスト化したもので、食品の成分表のようなものです

ドメインやサブドメインを調査する

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2023/9/26 16:29
 こういう情報を使って,自分が管理しているドメインから何を知ることができるのか,を調べるておくというのも重要ですね.

ドメインやサブドメインを調査する話(前編)
https://www.mbsd.jp/research/20230822/domain-enumeration/

SOC Multi-tool

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2023/9/3 18:01
 ブラウザに調査ツールをつける拡張機能.
 自分は専用のブラウザにブックマークして即時呼び出しているけど,今のところその方が楽かな.
 AbuseIPDBとVirusTotalを同時に検査してくれるのは良いような気もするけど.

SOC Multi-tool
https://chrome.google.com/webstore/detail/soc-multi-tool/diagjgnagmnjdfnfcciocmjcllacgkab/

引用:

SOC Multi-toolは、セキュリティ専門家のための調査を合理化する強力でユーザーフレンドリーなブラウザ拡張機能です。
SOC Multi-toolは、セキュリティ専門家のための調査を合理化する強力でユーザーフレンドリーなツールです。さまざまな機能と性能を備えたこのオープンソースツールを使用すると、さまざまなリソースを使用して、ハイライトしたテキストをすばやく簡単に調査できます。

SOC Multi-toolの主な機能には、次のようなものがあります:

- VirusTotalとAbuseIPDBを使用したIPレピュテーション検索
- TorリレーチェッカーとWHOISを使用したIP情報検索
- VirusTotalを使用したハッシュレピュテーション検索
- VirusTotalとAbuseIPDBを使用したドメインレピュテーション検索
- Alienvaultを使用したドメイン情報検索
- LOLBasプロジェクトを使用したLiving off the landバイナリ検索
- CyberChefを使用したBase64とHEXのデコード
- fileinfo.comとFile.netを使用したファイル拡張子とファイル名の検索
- maclookup.comを使用したMACアドレスメーカールックアップ
- user-agents.netを使用したUserAgentの解析
- MicrosoftのDBを使用したMicrosoftエラーコードの検索
- イベントID検索(Windows、Sharepoint、SQL Server、Exchange、Sysmon)

www.DeepL.com/Translator(無料版)で翻訳しました。

Log Parser 2.2 日本語版

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2023/8/17 16:42
 メモ.

Log Parser 2.2 日本語版
https://www.microsoft.com/ja-jp/download/details.aspx?id=24659

引用:
Log Parser はログファイル、XML ファイル、CSV ファイルといったテキストデータだけではなく、イベントログ、レジストリ、ファイルシステム、Active Directory® といった Windows® オペレーティングシステム上のデータソースに対し一般的なクエリアクセスを提供する強力で多目的に利用できるツールです。

引用:
インストール方法
 1.上部右隅にあるダウンロードをクリックし、ダウンロードを開始します。
 2.以下のいずれかを実行します。:
  1.実行をクリックし、インストールを開始します。
  2.保存をクリックし、コンピュータにインストール ファイルを保存します。
  3.キャンセルをクリックしインストールを中断します。
 え?

Visual Sitemaps

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2023/8/14 23:00
 調査対象のURLを設定すると,自動で画面遷移のスクショを撮ってくれるサービス.

Visual Sitemaps
https://visualsitemaps.com/

 ペネトレーションテストとかでテスト範囲を調べるのに良いかも.大規模なサイトだと特にね.
 きっかけは忘れたけれど,メールヘッダの分析に便利だったから無料アカウントを作ってサインインしていたと思う.そして毎週のようにメールが届くのだけれど,よくみると・・・


 ブラックリスト登録のモニタを設定してないことに気づいた.ずっと毎週0になっている所だけ目視確認して読んで無かった!
 
 ということで登録してみることに.
 誘導先のリンクを訪れるとこんな感じに.(当然ログインが必要)

...続きを読む

Google ダークウェブレポート

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2023/8/1 17:52
 Google の「ダークウェブ レポート」が日本でも利用可能になったというので試してみた.

 一部機能はGoogle Oneという有料サービスの契約が必要だそうだけど,普通のGoogleアカウントでも試せた.

 次のような手順.

 ログインして右上の自分のアイコンから
 [Google アカウントの管理画面]
  →[セキュリティ]
   → [メールアドレスがダークウェブ上にないかどうかを確認]
    →[Google Oneでスキャンを実行する]

 そうするとこんな感じの画面になる.


 電話番号などの漏洩は,Google Oneに契約が必要とのこと.
 そして結果を見ると,こんな感じ.

...続きを読む

search.0t.rocks

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2023/7/5 12:16
 情報漏洩したメアドやパスワードは,have i been pwned?を使って確認できるけれど,それに似たような新しいツールがあったのでご紹介.

 ツールのサイトは次のとおり.

https://search.0t.rocks/

 アクセスすると,シンプルな検索画面が表示される.

...続きを読む

Top 35 Cybersecurity Tools

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2023/6/26 19:19
 某Twitterから.
 知っているものやそうでないものも色々あるなぁ.無選別って感じ.



テキストでメモ.

Top 35 Cybersecurity Tools

1.Nmap
2.Metaspoilt
3.Cain and Abel
4.Wireshark
5.Kali Linux
6.John the Ripper
7.Nikto
8.Forcepoint
9.Burp Suite
10.Tor
11.Tcpdump
12.Aircrack-ng
13.Splunk
14.Netstumbler
15.Acunetix
16.OSSEC
17.VIPRE
18.Avira
19.Naggios
20.Snort
21.Argus
22.Keypass
23.KisMAC
24.Truecrypt
25.Nessus
26.Webroo
27.Lifelock
28.Mimecast
29.Malwarebytes
30.POf
31.Paros Proxy
32.OpenVAS
33.BluVector
34.OSSIM
35.ClamA

Untitled Goose Tool

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2023/4/14 0:46
 メモ.

米政府、「AzureAD」や「MS365」環境向けのインシデント調査ツールを公開
https://www.security-next.com/144770


https://github.com/cisagov/untitledgoosetool
 Maltego,SHODANなどがあるけれど,興味深いのだけピックアップ.

CyberSecurity Tools: 21 Research Tools For Threat Intelligence
https://informationsecuritybuzz.com/cybersecurity-tools-research-tools-threat-intelligence/


引用:
逆画像検索のためのTinEye:

TinEyeは、画像の原点と使用履歴を見つけるためのソリューションを提供する逆画像検索エンジンです。このツールを使用すると、ユーザーは画像を検索して、それが使用された場所、画像の異なるバージョン、およびそれをホストするウェブサイトを見つけることができます。

 フィッシングサイトを検知できるのかもしれないな.

offsec.tools

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2023/3/24 17:09
 メモ.

セキュリティに関する様々なツールを収集、カテゴライズしている・「offsec.tools」
http://kachibito.net/useful-resource/offsec-tools

引用:
offsec.toolsはセキュリティに関する様々なツールをコレクション、カテゴライズしているWebサイトです。

脆弱性、スキャン、バープスイート、クラウド、パスワード、ファジング、DNSや通信などのタグ付けや、サービス、CMS、情報、技術などのカテゴリに分けられていて、用途や目的に合わせて探せるようになっており、現在まで630ほどのセキュリティ関係のツールが纏められています。

offsec.tools
A vast collection of security tools for bug bounty, pentest and red teaming
https://offsec.tools/
 Twitterを見ていたら流れてきたので試してみた.

HOW TO LAUNCH COMMAND PROMPT AND POWERSHELL FROM MS PAINT
https://tzusec.com/how-to-launch-command-prompt-and-powershell-from-ms-paint/

引用:
This guide will show you how you can launch cmd and Powershell with help from Microsoft Paint. Sometimes organisations environments are being locked down and are preventing users from right clicking and opening tools such as cmd.exe or powershell.exe. When I face that during a penetration test I usually try this simple mspaint hack to check if I can get around the organisations defensive measures.

このガイドでは、Microsoft Paintの助けを借りてcmdやPowershellを起動する方法を紹介します。組織の環境がロックされ、ユーザーが右クリックしてcmd.exeやpowershell.exeなどのツールを開くことができない場合があります、侵入テストでこのような状況に直面した場合、私は通常、このシンプルなmspaintハックを試して、組織の防御策を回避できるかどうかを確認します。



・MSペイントで6ドット分のキャンバスを作ってドット編集
・1ドットづつ指定のRGB番号の色をつける
・24itのBMPとしてファイルを保存してファイル名をbatにする
・コマンドプロンプトで作成したbatファイルを実行.

 実行してみたらこのような感じ.

...続きを読む

Log Analysis Training

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2023/1/28 0:54
 積ん読的な.

JPCERT/CC、ログ解析の訓練コンテンツを公開 - 痕跡発見のコツも
https://www.security-next.com/117000

Log Analysis Training
https://jpcertcc.github.io/log-analysis-training/

引用:
このコンテンツはセキュリティインシデントを調査する際に、Windowsイベントログ (セキュリティログおよびSysmonログ) やプロキシログを活用する方法をトレーニング形式で学ぶことができるコンテンツです。

RedEye

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/10/24 13:57
 メモ.

米CISA、レッドチーム演習の可視化ツールを公開 - 意思決定など支援
https://www.security-next.com/140603

引用:
レッドチームの活動によって侵害がどのように発生するか、複雑なデータをわかりやすく可視化するもので、評価や意思決定などを支援する。

F-Secureルーターチェッカー

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/10/24 0:21
 こんなサービスがあったので使ってみた.

ルーターの設定が安全かどうかを無料でチェック
https://www.f-secure.com/jp-ja/home/free-tools/router-checker



 使い方は,このボタンを押すだけ.


 「すべて順調に見えますが、チェックが不完全でした。結果の詳細を表示.」とのこと.


 「無料のDNSハイジャックテストで、ルーターの設定が安全かどうかをチェックします」ということで,ルータの外部DNSにGoogleのDNSサーバを指定しているから,微妙なものになった模様.

 どこかのフリーWi-Fiを使うときにこのサイトでチェックしてみても良いのかもしれないな.

RouterScanを使おうとしたら

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/10/21 15:29
 ここで紹介した記事にあったRouterScanを使ってみようと思ったんですが,ちょっと怖い状態なので尻込み中.

 まず,公式サイトの情報はこれ.



引用:
Router Scan умеет находить и определять различные устройства из большого числа известных роутеров/маршрутизаторов и, что самое главное, - вытаскивать из них полезную информацию, в частности характеристики беспроводной сети: способ защиты точки доступа (шифрование), имя точки доступа (SSID) и ключ точки доступа (парольная фраза). Также получает информацию о WAN соединении (удобно при сканировании локальной сети) и выводит марку и модель роутера. Получение информации происходит по двум возможным путям: программа попытается подобрать пару логин/пароль к маршрутизатору из списка стандартных паролей, в результате чего получит доступ. Либо будут использованы неразрушающие уязвимости (или баги) для конкретной модели маршрутизатора, позволяющие получить необходимую информацию и/или обойти процесс авторизации.

ルータースキャンは、多数の既知のルーター/ルーターから様々なデバイスを発見・識別し、特に無線ネットワークの特徴であるアクセスポイントのセキュリティ方式(暗号化)、アクセスポイント名(SSID)、アクセスポイント・キー(パスフレーズ)などの有用な情報を引き出すことができます。また、WAN接続情報を取得し(LANスキャンに有効)、ルーターのメーカーや機種を表示します。この情報を取得する方法は2つあります。ソフトウェアは、デフォルトパスワードのリストからルーターのログイン/パスワードのペアを推測しようとし、その結果アクセスを取得します。あるいは、特定のルーターモデルの非破壊的な脆弱性(またはバグ)を悪用して、必要な情報の取得や認証プロセスの迂回を可能にする。

 そう.ロシア語.
 そして公式サイトやミラーからソフトウェアをダウンロードするとこの有様.

...続きを読む

RouterSploitやRouterScan

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/10/20 11:39
 諸刃の剣かなって思うよ.

米政府、「中国政府のハッカー」が利用するツールや脆弱性を警告
https://forbesjapan.com/articles/detail/48084

引用:
米国のNSA(国家安全保障局)やFBI(連邦捜査局)らは、6月7日の共同声明の中で、ハッカーがRouterSploitやRouterScanなどのオープンソースのツールを使用して、既知の脆弱性を持つデバイスを特定していると報告した。


Router Scan

引用:
Router Scanは、多数の既知のルーターから様々なデバイスを見つけて識別することができ、最も重要なことは、それらから有用な情報、特に無線ネットワークの特性:アクセスポイントの保護方法(暗号化)、アクセスポイント名(SSID)、アクセスポイント・キー(パスフレーズ)を取得することである。

また、WAN接続に関する情報(ローカルネットワークのスキャン時に有効)や、ルーターのモデルも表示されます。

情報の取得は、2つの方法で行われます。

プログラムは、標準的なパスワードのリストから、ルータへのユーザー名/パスワードのペアを推測しようとし、それによってアクセスを取得します。
または、ルーターのモデルに対して脆弱性(バグ)が使用され、必要な情報を取得したり、認証プロセスを迂回することが可能になります。
802.11a/b/g/n 規格を含むバージョン 2.60 から無線ネットワークの検出と監査が追加されましたが、これらの機能を使用するには、統合または外部 WiFi インターフェースが必要です。

3WiFiサービス機能は、最高の無線監査結果、WPA/WPA2ネットワークキーのブルートフォースとWPS PIN監査、およびPixie Dust攻撃を達成するために追加されました。

RouterSploit

引用:
侵入テストの運用を支援する様々なモジュールで構成されています。

exploits - 識別された脆弱性を利用するモジュール。
creds - ネットワークサービスに対するクレデンシャルをテストするために設計されたモジュール
スキャナ - ターゲットが脆弱であるかどうかをチェックするモジュール。
payloads - 様々なアーキテクチャとインジェクションポイントのためのペイロードの生成を担当するモジュール
generic - 一般的な攻撃を行うモジュール

routersploitをインストール on macOS BigSur

SCAMADVISERを使ってみた

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/10/11 18:29
 ScamAdviserというオランダの会社の提供するサイトを使ってみました.「消費者のオンラインショッピングの意思決定を支援する」という事で,Amazonや楽天などのメジャーなショッピングサイト以外で買い物をするときに役に立つかもしれません.

ScamAdviser.com 偽サイト・詐欺サイト確認
https://www.scamadviser.com/jp/check-website

引用:
このウェブサイトは、2012年にMarcによって設立されました。Marcはオンラインでゴルフクラブを購入しましたが、すぐにそれが偽物であることに気づきました。彼はお金を取り戻そうとしましたが、無駄でした。その悔しさから、彼はオンラインショッピングをする人がオンラインで購入する前に、より多くの情報を得た上で決断できるようにとScamAdviserを立ち上げました。

 切実ですね.
 まずは,当サイトを評価してみます.


 スコア77です.ショッピングサイトでは無いけれど,信頼度スコアは100には成ら無いのね.

ちなみに日本のAmazonを調査.

...続きを読む

 詐欺サイトのURLを見つけたので,詐欺サイトチェッカーを使ってみました.

 サンプルとして用意したのは,このサイト.

【くれぐれもご注意ください】merry jenny 違法サイトについて
https://www.mark-styler.co.jp/important/32.html

...続きを読む

 ソフトバンク系の,BBソフトサービス株式会社が無料で詐欺サイト判別サービスを提供を始めたそうです.

詐欺サイトチェッカー パワード by 詐欺ウォール
https://checker.sagiwall.jp/

引用:
詐欺ウォールが収集したブラックリストを元に無料で気になるサイトをチェックします。

・怪しいwebサイトのURLが、ネット詐欺サイトとして報告されているかをチェック
・判定は詐欺ウォールおよび各公的団体から入手・分析したデータと照合
・既知のネット詐欺サイトを簡易にチェックできる無料コンテンツサービス

 早速試してみました. 


 使い方は,URLを入力するだけです.


 うちのサイトは詐欺サイトでは無いということになりました.

 という事で,フィッシングメールの誘導先URLを入れてみます.
 こんなメール.


 URLがGoogle翻訳経由で偽装しているタイプ.


 安全な可能性が高いとなりました.
 Google翻訳部分を除去して再度検証.


 こちらも安全なサイトになりました.

 これは,フィッシングサイトであって詐欺サイトでは無いという事ですかね.

JSON Crack

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/10/3 16:15
 JSONファイルを視覚的によく見えるように整形してくれるWebサービス.

JSON -Crack Seamlessly visualize your JSON data instantly into graphs.-
https://jsoncrack.com/

 「JSONデータを瞬時にグラフ化し、シームレスに可視化します。」という事で,身近にあるJSONデータとしては,新型コロナウイルス接触確認アプリのCOCOAから取り出せるJSONデータを可視化してみた.


 iPhoneからmacにデータをAirDrop.JSONファイルがダウンロードフォルダに保存されるので,テキストエディタで開いてJSON Crackのサイト上にコピペするとこのグラフが表示される.
 デフォルトでは全体図が見えるようになっているけれど,拡大・縮小に対応していますね.


 拡大すると項目名も値も十分見えるので,こういう視覚的にJSONファイルを見られれば,アプリ開発にも便利でしょう.

 ちなみに,JSONファイルの編集機能がある事が大事.
 謎の絵を入手したので,ステガノグラフィー解析なるものをやってみようと.
 とりあえずあまり何も考えずに,そう言うサイトを検索.

 このAperi'Solveというのが出来が良さそうな雰囲気.

https://www.aperisolve.com/



引用:
Aperi'Solve is an online platform which performs layer analysis on image. The platform also uses zsteg, steghide, outguess, exiftool, binwalk, foremost and strings for deeper steganography analysis. The platform supports the following images format: .png, .jpg, .gif, .bmp, .jpeg, .jfif, .jpe, .tiff...

Aperi'Solveは、画像のレイヤー解析を行うオンラインプラットフォームです。また、zsteg, steghide, outguess, exiftool, binwalk, foremost, stringsを使用して、より深いステガノグラフィーの解析を行うことができます。このプラットフォームは、次の画像フォーマットをサポートしています: .png, .jpg, .gif, .bmp, .jpeg, .jfif, .jpe, .tiff...

 まずは調査対象の画像をアップロードしてみた.

...続きを読む

Detectreeを動かしてみた

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/8/5 0:56
 WithSecure(旧F-Secure)がGitHubで可視化ツールを公開したというので,ちょっとみてみようかと.

インシデント関連データの可視化ツールをGitHubで公開 - WithSecure
https://www.security-next.com/138434

引用:
同ツールは、ログデータを構造化し、疑わしいアクティビティや関連するプロセス、宛先となるネットワーク、ファイル、レジストリーキーなどの関係性について可視化を図るツール。

GitHub - WithSeureLabs/detectree:Data visualization for blue teams
https://github.com/WithSecureLabs/detectree

 インストール方法は書いてないんだけれど,JavaScriptフレームワークの「Svelte」の環境を整えれば,何かしらが動くところまで実行できました.


 あとはデータを入れるだけかな・・・

 バックエンドアダプタを定義することによって,データを取り出せるってことかなぁ.今ひとつ説明がないので判らないな.
 最初から入っているバックエンドアダプタを見ると,Elastic Searchのものが設定されています...
$ cat /Users/ujpadmin/bin/detectree/src/backend_adapters/elastic.ts🆑
import { Client } from '@elastic/elasticsearch';

export async function query(config: any, id: string, start: string, end: string): Promise<any> {
	const result = await getData(config.backend, id, start, end, config.mappings);

	return result;
}

// extract the value specified in str using dot notation from the object in obj
function getValue(str, obj) {
	return str.split('.').reduce((o, d) => o[d], obj);
}

WarpDriveをつこてみた

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/6/30 8:09
 NICTの実証実験だと言うことで,Chrome拡張機能をインストールしてみた.

「WarpDrive」が再始動 - 「タチコマSA」がChrome拡張機能に
https://www.security-next.com/136943

引用:
「WarpDrive」は、「Web-based Attack Response with Practical and Deployable Research InitiatiVE」より名付けられたプロジェクト。特定のウェブサイトを閲覧すると攻撃が行われるウェブ媒介型攻撃の実態把握と対策技術向上を目指している。
 常識に反して?普段,ChromeはWebミーティングでしか使ってないのだけれど,これしか対応してないと言うのだから仕方ない.

 まずはプロジェクトのサイトにアクセス.

WARPDRIVE
https://www.warpdrive-project.jp/index.html

 使用許諾に同意して拡張機能をインストールしたら,普通に分析対象のWebサイトにアクセス.


 拡張機能のボタンを押すと,オーバレイで画面が出てきてタチコマというキャラが分析結果を表示してくれます.うちのサイトは「異常なしであります!」だそう.
 「ページを解析する」ボタンを押すと,次のような画面に.


 ページとそれを取り巻く構成要素などがビジュアライズされて表示されます.掴んでぐるぐると回したりして全体を俯瞰して見ることができます.

BuiltWith

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/6/24 17:56
 手っ取り早く調査対象のサイトがどんなツールを使っているか外形からわかる部分をリストしてくれるサイト.

BuiltWith Technology Lookup
https://builtwith.com/

 利用は無料.



 調査するにはURLを入れるだけ.


  Usage Statisticsで利用している技術のトレンドもわかりますね.ま,うちの場合スタンダードなやつです.

Gitリポジトリのシークレットスキャンに

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/6/6 17:44
 Gitはデータの不正持ち出し先として車内からアクセス出来ないよう制限している会社はいくつかみた.
 利便性から使っているところもあるようだけれど,使っているなら意図せずアップするものを検出できるようにする,という対策ツールが提供されているそうです.

Gitリポジトリにパスワードをコミットするのを防ぐ9つのツール
https://news.mynavi.jp/techplus/article/20220325-2300218/

オープンリゾルバ確認サイト

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/4/25 15:05
自分の使っているルータがDDoS攻撃の踏み台になっている可能性をチェックすることができるというので,試してみました.

オープンリゾルバー確認サイト
https://www.v2.openresolver.jp/

引用:
DNSサーバー)となっているDNSサーバーが日本国内に多く存在していることを確認しています。 オープンリゾルバーは国内外に多数存在し、大規模なDDoS攻撃の踏み台として悪用されているとの報告があります。 また、DNSサーバーとして運用しているホストだけではなく、ブロードバンドルーターなどのネットワーク機器が意図せずオープンリゾルバーになっている事例があることを確認しています。

本確認サイトでは、お使いのPCに設定されているDNSサーバーと、本確認サイトへの接続元となっているブロードバンドルーターなどのネットワーク機器がオープンリゾルバーとなっていないかを確認することが可能です。 本サイトの詳細についてはこちらをご参照ください。


 同意ボタンを押すだけ. しばらくすると結果サイトが表示されます.

 一番手前にあるルータと,その先にあるDNSサーバもチェックされる様ですね.

Certificate Search

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/3/16 17:26
 証明書の履歴が調査できる.

crt.sh | Certificate Search
https://crt.sh/



 「今」だけでなく「昔」を知ることも大事.

Certificate Transparency(証明書の透明性)

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/3/16 17:01
 SSL証明書の透明性を調査するサイト.

ウェブ上での HTTPS 暗号化
https://transparencyreport.google.com/https/certificates

 残念ながら,「この証明書検索ページは、2022 年 5 月 15 日にサービスを終了します。」と記載がある...

 以下のフィッシングメールを例に,どんな感じか使ってみた.

...続きを読む

 以前紹介したRealtime Blackhole ListPostfixでSubmissionポートを有効にするで使ったツールがサービス終了しているので類似の別のサイトを探してみた.

open relay checker
http://check.jippg.org/

ANTISPAM-UFRJ
http://www.antispam-ufrj.pads.ufrj.br/

Anonymous Testを使ってテスト.

Suspicious Site Reporter

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/2/24 16:23
Chrome ウェブストアにGoogle Safa Browsingに通報するための拡張機能があるというのでインストール.


 ブラウザのアドレスばーの横に旗マークが出るので,該当のサイトを閲覧中にこの旗アイコンをクリックする.


 自動的にスクリーンショットやリファラーを取得しているので,Send Reportボタンを選択.


 これで終了.評判的には,これでどうなるものでもない模様...

DNSBL その2

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/2/23 16:18
 2012年にチェックしたDNSBLというDNSのブラックリストですが,現在状態を確認してみました.
 するとなんということでしょう...1つのブラックリストに登録されていました.



 ブラックリストを運用しているサイトは,削除申請する受付窓口があると思うのでサイトにアクセスしてみる.

...続きを読む

Cybershef

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2022/1/12 17:57
 簡単にエンコード,デコードできるサイトが,github上で提供されているのを教えてもらいました.

CyberChef
https://gchq.github.io/CyberChef/


 使い方は簡単.変換方法をOperationからDrag&Dropするだけ.複数の変換もできます.

 ちなみに,正規表現も.

 タイトルの通り,このサイト.

regular expressions 101
https://regex101.com/


 便利便利.サンプルデータをペーストする際には,重要なデータは置かないようにしなければいけないが.

GreenSnow

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2021/11/5 1:54
 素性のよろしくないIPアドレスのチェックを行うサイト.

https://greensnow.co

引用:
GreenSnowは、コンピュータセキュリティの最高のスペシャリストで構成されたチームで、世界中にあるさまざまなコンピュータから大量のIPを採取しています。GreenSnowは、SpamHaus.orgと比較して、スパム以外のあらゆる種類の攻撃を受けています。リストは自動的に更新され、リストに掲載されたIPアドレスはいつでも撤回することができます。
近々、Fail2BanやConfigServer Security & Firewallでこのリストを使用するためのガイドができる予定です。

モニターされる攻撃/ブルートフォースは以下の通りです。スキャンポート、FTP、POP3、mod_security、IMAP、SMTP、SSH、cPanel ...
詳細やリストへの参加については、お問い合わせください。

 まだちょっと精度(登録情報)が低いかなぁ.

 ブラックリストが提供されているので,定期的にこれを取得してブロックしても良いのかもしれない.

https://blocklist.greensnow.co/greensnow.txt

icat for JSON

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2021/10/20 11:46
 以下のツールをこのサイトに組み込もうとしているのだけれど,エラーになってうまくいかない.
 エラーコードが出てくるけれど,調べるとgithubのソースコードにたどり着く...

IPA、サイバーセキュリティ注意喚起サービス「icat for JSON」公開
https://japan.zdnet.com/article/35078287/

プリフェッチの解析

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2021/8/26 23:00
 フォレンジックの解析の中に,Windowsのプログラム実行を高速化するOS機能のプリフェッチを使う方法があります.

 以下,参考メモ.

PECmd - Windows Prefetchの解析
https://tsalvia.hatenablog.com/entry/2019/02/25/005319

パフォーマンスログ収集

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2021/8/21 23:00
 パフォーマンスログを取得すること自体がパフォーマンスに影響するのだけれど,最初からパフォーマンスログ収集する仕組みを入れていれば,変化がわかりますね.


パフォーマンス ログ収集
https://jpwinsup.github.io/blog/2021/06/07/Performance/SystemResource/PerformanceLogging/
引用:
本記事では、Windows の標準機能であるパフォーマンス モニターによるシステムのパフォーマンス情報を常時取得する方法をご紹介します。紹介しているコマンドは、すべて管理者として起動したコマンドプロンプトで実行してください。

パフォーマンス カウンターの警告
https://jpwinsup.github.io/blog/2021/07/19/Performance/PerformanceCounterAlert/

引用:
Windows の標準アプリであるパフォーマンス モニターには、パフォーマンス カウンターが設定した閾値を上回る、または下回った時にプログラムを実行できる機能があります。本記事では、利用可能な物理メモリが 1024MB 以下になった時に PowerShell スクリプトを実行する手順をご紹介いたします。
サイバーセキュリティ経営可視化ツールWeb版(V1.0版)を公開しました
https://www.meti.go.jp/press/2021/08/20210817002/20210817002.html

Excelよりは良いかな.

広告スペース
Google