はじめに
Maltegoはセキュリティツールの中でも可視化ツールと言われていて,攻撃者が残した足跡,例えばログの中にあるIPアドレスだとか誘導サイトのURL,送り込んできたファイルのハッシュ値などを元に,その情報から関連情報を簡単に取り出し,危険かそうでないか判断するために用いるツール.
そのMaltegoには,「トランスフォーム」という機能拡張機能があって,情報提供サイトがそれぞれに用意するAPIなどを用いて,多方面から関連情報を表示させるツールがある.
今回は,MaltegoにVirusTotalのトランスフォームを追加して,怪しいサイトのURLをつかって可視化していく.
VirusTotalのトランスフォームのインストール
トランスフォームは,デフォルトのメニューの中に存在している.
利用は無料.
このトランスフォームは,Malformitylabs[.]comというサイトが提供している.
インストールする際には,別途VirusTotalで無料のアカウントを取得し,そのアカウント用に発行されているAPIキーを登録する必要がある.
このトランスフォームの提供先のMalformitylabsについて,信頼できるかは自分で確認しておく.
15種類のトランスフォームがある模様.
怪しいサイトをVirusTotal APIで確認する
ちょっと危険だと警告のあったURLを入手したので,試してみる.
まずは,ドメインの追加.
追加して右クリックすると,VirusTotalのトランスフォーム([VTPUB]とあるもの)が選択可能になる.
今回は,Communicating Samplesを選択.
たくさんのハッシュ値が出てきた.
次に,そのハッシュ値を選択して,Check Hash Reportを選択.
いろいろ出てきた.怖すぎる.
試しに,VirusTotalのサイトでハッシュ値を検索.
45サイト中42サイトが危ないと警告が出ている...
該当の危ないサイトを確認してみる.
よくある,目的が微妙な比較サイト.
少し不自然なのは,AdSenseなどの広告などがついていなかったり,プライバシーポリシー等の記載もない.
改めて,ドメインからわかる情報を可視化.
GMOインターネットでドメインを取得したことはわかる.
2019年12月3日には,このIPアドレスを使っていることもわかる.
IPアドレスから調べると,アメリカのさくらインターネットのような格安ホスティング業者のlinodeが出てきた.