UJP - 技術情報2 : Maltego 4.2.9でVirusTotalのTransformを使う Maltego/4.2.9/01/20200603/VirusTotal

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

Page Top

はじめに anchor.png Edit

 Maltegoはセキュリティツールの中でも可視化ツールと言われていて,攻撃者が残した足跡,例えばログの中にあるIPアドレスだとか誘導サイトのURL,送り込んできたファイルのハッシュ値などを元に,その情報から関連情報を簡単に取り出し,危険かそうでないか判断するために用いるツール.

 そのMaltegoには,「トランスフォーム」という機能拡張機能があって,情報提供サイトがそれぞれに用意するAPIなどを用いて,多方面から関連情報を表示させるツールがある.

 今回は,MaltegoにVirusTotalのトランスフォームを追加して,怪しいサイトのURLをつかって可視化していく.

Page Top

VirusTotalのトランスフォームのインストール anchor.png Edit

 トランスフォームは,デフォルトのメニューの中に存在している.

index.php?page=view&file=7230&MaltegoVirustotal01.png

 利用は無料.

index.php?page=view&file=7231&MaltegoVirustotal02.png

 このトランスフォームは,Malformitylabs[.]comというサイトが提供している.

index.php?page=view&file=7232&MaltegoVirustotal03.png

 インストールする際には,別途VirusTotalで無料のアカウントを取得し,そのアカウント用に発行されているAPIキーを登録する必要がある.

index.php?page=view&file=7233&MaltegoVirustotal04.png

 このトランスフォームの提供先のMalformitylabsについて,信頼できるかは自分で確認しておく.

index.php?page=view&file=7234&MaltegoVirustotal05.png

 15種類のトランスフォームがある模様.

Page Top

怪しいサイトをVirusTotal APIで確認する anchor.png Edit

 ちょっと危険だと警告のあったURLを入手したので,試してみる.

index.php?page=view&file=7235&MaltegoVirustotal06.png

 まずは,ドメインの追加.

index.php?page=view&file=7236&MaltegoVirustotal07.png

 追加して右クリックすると,VirusTotalのトランスフォーム([VTPUB]とあるもの)が選択可能になる.

 今回は,Communicating Samplesを選択.

index.php?page=view&file=7237&MaltegoVirustotal08.png

 たくさんのハッシュ値が出てきた.

index.php?page=view&file=7238&MaltegoVirustotal09.png

 次に,そのハッシュ値を選択して,Check Hash Reportを選択.

index.php?page=view&file=7239&MaltegoVirustotal10.png

 いろいろ出てきた.怖すぎる.

  試しに,VirusTotalのサイトでハッシュ値を検索.

index.php?page=view&file=7240&MaltegoVirustotal11.png

 45サイト中42サイトが危ないと警告が出ている...

 該当の危ないサイトを確認してみる.

index.php?page=view&file=7245&MaltegoVirustotal12.png

 よくある,目的が微妙な比較サイト.

 少し不自然なのは,AdSenseなどの広告などがついていなかったり,プライバシーポリシー等の記載もない.

 改めて,ドメインからわかる情報を可視化.

index.php?page=view&file=7242&MaltegoVirustotal13.png

 GMOインターネットでドメインを取得したことはわかる.

index.php?page=view&file=7243&MaltegoVirustotal14.png

 2019年12月3日には,このIPアドレスを使っていることもわかる.

index.php?page=view&file=7244&MaltegoVirustotal15.png

 IPアドレスから調べると,アメリカのさくらインターネットのような格安ホスティング業者のlinodeが出てきた.

Page Top

総評 anchor.png Edit

 表面上,問題ないサイトに見えて,そのサイトはもしかして重要なものを隠蔽して飄々としている仮面サイトかもしれないし,普通に脆弱性の問題によって乗っ取られているだけかもしれない.

 今回の場合,Webで見ることのできる情報にあるべきものが一つもなくて何のために構築されたサイトかもわからないので,裏で何か不穏なものが稼働している気配があるので,これは悪性サイトなのだろうと判断できる.

 ということで,初めてアクセスするサイトは,VirusTotalでチェックすべき.できないか.


トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom
Counter: 1073, today: 2, yesterday: 1
最終更新: 2020-06-04 (木) 01:05:56 (JST) (1384d) by nobuaki

広告スペース
Google