Maltego 4.2.9でVirusTotalのTransformを使う
技術情報2Maltego
/ 4.2.9 / 01 / 20200603 / VirusTotal
Maltego 4.2.9でVirusTotalのTransformを使う 
はじめに
Maltegoはセキュリティツールの中でも可視化ツールと言われていて,攻撃者が残した足跡,例えばログの中にあるIPアドレスだとか誘導サイトのURL,送り込んできたファイルのハッシュ値などを元に,その情報から関連情報を簡単に取り出し,危険かそうでないか判断するために用いるツール.
そのMaltegoには,「トランスフォーム」という機能拡張機能があって,情報提供サイトがそれぞれに用意するAPIなどを用いて,多方面から関連情報を表示させるツールがある.
今回は,MaltegoにVirusTotalのトランスフォームを追加して,怪しいサイトのURLをつかって可視化していく.
VirusTotalのトランスフォームのインストール
トランスフォームは,デフォルトのメニューの中に存在している.
利用は無料.
このトランスフォームは,Malformitylabs[.]comというサイトが提供している.
インストールする際には,別途VirusTotalで無料のアカウントを取得し,そのアカウント用に発行されているAPIキーを登録する必要がある.
このトランスフォームの提供先のMalformitylabsについて,信頼できるかは自分で確認しておく.
15種類のトランスフォームがある模様.
怪しいサイトをVirusTotal APIで確認する
ちょっと危険だと警告のあったURLを入手したので,試してみる.
まずは,ドメインの追加.
追加して右クリックすると,VirusTotalのトランスフォーム([VTPUB]とあるもの)が選択可能になる.
今回は,Communicating Samplesを選択.
たくさんのハッシュ値が出てきた.
次に,そのハッシュ値を選択して,Check Hash Reportを選択.
いろいろ出てきた.怖すぎる.
試しに,VirusTotalのサイトでハッシュ値を検索.
45サイト中42サイトが危ないと警告が出ている...
該当の危ないサイトを確認してみる.
よくある,目的が微妙な比較サイト.
少し不自然なのは,AdSenseなどの広告などがついていなかったり,プライバシーポリシー等の記載もない.
改めて,ドメインからわかる情報を可視化.
GMOインターネットでドメインを取得したことはわかる.
2019年12月3日には,このIPアドレスを使っていることもわかる.
IPアドレスから調べると,アメリカのさくらインターネットのような格安ホスティング業者のlinodeが出てきた.
総評
表面上,問題ないサイトに見えて,そのサイトはもしかして重要なものを隠蔽して飄々としている仮面サイトかもしれないし,普通に脆弱性の問題によって乗っ取られているだけかもしれない.
今回の場合,Webで見ることのできる情報にあるべきものが一つもなくて何のために構築されたサイトかもわからないので,裏で何か不穏なものが稼働している気配があるので,これは悪性サイトなのだろうと判断できる.
ということで,初めてアクセスするサイトは,VirusTotalでチェックすべき.できないか.
