OSINT検索エンジンを活用したサイバー脅威情報の収集
OSINT (Open Source Intelligence、オープンソース・インテリジェンス)とは、公開された出所から収集・分析したインテリジェンス情報を意味します。インタ―ネットはそれだけで巨大なビッグデータのプラットフォームであり、集団的知性で成り立てられた空間です。メディア、Googleなどの検索エンジン、ブログ、ソーシャルメディアなど、インターネット情報のほとんどは誰にも公開されており、簡単に情報を得ることができます。公開された情報は誰でも見ることができますが、それがみんなに見られても大丈夫というわけではありません。情報の中では個人情報、国の安全、企業の機密資料など、公開されてはいけない敏感なデータを含んでいます。
OSINTは活用の目的によって多様に使うことができ、特にサイバーセキュリティの分野では続いてその必要性が台頭しています。今度の投稿では、OSINTをサイバーセキュリティに活用して潜在脅威に対応できる方法について説明します。
サイバーセキュリティでの OSINT 活用
サイバーセキュリティでOSINTは既に発生したセキュリティ事故に対する分析のみならず、潜在的なセキュリティ脅威まで予測できるほど強力です。潜在のセキュリティ脅威を予測できるOSINTベースの情報をいわゆる「サイバー脅威情報(Cyber Threat Intelligence)」といいます。サイバー脅威情報の収集の対象は「表層ウェブ(Surface Web)」から「ダークウェブ(Dark Web)」までの、全てのインターネットを対象とします。一般的にハッキング、サイバー攻撃に関する情報は主にダークウェブで発見されると思われがちですが、むしろほとんどのサイバー脅威情報は表層ウェブ(Surface Web)を通じて収集された情報です。
表層ウェブ(Surface Web)を表現したイメージ、
サイバーセキュリティのOSINT情報はほとんど表層ウェブから収集される
OSINTで収集できるサイバー脅威情報
- 国の安全・防衛産業に関する情報
- CVEに脆弱なデバイス
- 個人情報・データの流出(Leak)
- インフラシステムの情報
- 悪性コードのC2サーバー
- サイバー犯罪およびダークウェブの情報
既に発生したセキュリティ事故はダークウェブを通じてハッカーの間で共有・取引されるのが通常ですが、潜在脅威はむしろ表層ウェブから発生します。Google、Bing、Naverのような検索エンジンに漏洩された敏感な情報、またはIPアドレス、ドメインアドレスを通じて分かる情報が、実際にハッカーが攻撃のために集める情報であるためです。ハッカーは続いて膨大なインターネットをスキャンしながら攻撃が可能な対象領域を見つけ出します。漏洩されてはいけない敏感な情報を込めたウェブページが検索エンジンに漏えいされたか、企業および機関のIPアドレスで運営されるサーバー、アプリケーション、ドメインに深刻な脆弱性がある場合などがまさにハッカーが見つけたがる脅威情報です。
なので、ハッカーのターゲットになるまで、前もって OSINT を通じてサイバー脅威情報を確認し、攻撃可能な対象領域を除くことが最近サイバーセキュリティで強調され続けています。
サイバー脅威情報でできること
IPアドレスとドメイン情報には数多い脅威情報が含まれています。IPアドレスインテリジェンスを活用すれば、保有するIPアドレスとドメインの脆弱なところを見つけられ、逆に攻撃に疑われるIPアドレスや悪性ドメインを検知して予防することもできます。
- IPアドレス・ポートの情報:悪意を持つIPアドレスやポート、悪性コードの配布に使われたIPアドレス、バイパス用のIPアドレス(VPN、Tor等)
- ドメイン(Domain)情報:フィッシングドメイン、サイバー犯罪のためのボイスフィッシング、スミッシングドメイン
- SSL証明書:独自署名の悪性SSL証明書、盗難・盗用されたSSL証明書
1. IPアドレス・ポート情報で攻撃者を職別する
IPアドレスはサイバー犯罪を追跡するのにもっとも重要な必須情報である
IPアドレス情報は攻撃者を職別できる要素として活用されます。悪性コードを配布するために生成されたサイトはほとんどホスティングされたIPを利用したり、正常的な国のIPではない海外のIPアドレスを使用します。そのため、IPアドレス情報の中でASN(Autonomous System Number、自律システム番号)を通じてサイバー攻撃者が好むウェブホスティングサービスを職別できます。
IPアドレスのポート情報でもすごいサイバー脅威情報が収集されます。例えば、一般的に使われるウェブサービスポートの80/HTTP、443/HTTPSまたは企業で使われる8080、8443ポートではなく、よく知られていない高い数字のポートはだいたい悪意的な目的で活用されます。
2. ドメインアドレス情報を通じた脅威の検知
ドメインアドレス情報からハッカーによって
悪意的に生成されるドメインを追跡できる
ドメイン情報にも多くの脅威情報が含まれています。ドメインホスティングの情報ではフィッシングサイト、C2サーバー、悪性コードサーバーを類推できます。特に、フィッシング攻撃などに悪用される無料の国別トップレベルドメイン(.cf / .to / .tk / .pw / .ga)は悪性ドメインである可能性が非常に高いです。
悪性ドメインはほとんどIPアドレスを隠すためCloudflare CDNなどサーバーIPを隠す手法を使うこともあります。または、特定なHTTPパターン(Content-Leng :0)やRTLO URL Trick 1) を使ったりもします。
- 1) RTLO(Right to Left Override) : RTLOは右から左にオーバライドするユニコード(アラビア文字コード)を利用する。もし、URL経路上に「gepj.xyz」のファイル名はRTLOを適用すると「zyx.jpeg」ファイルに認識される。
3. SSL証明書分析で脅威を検知する
SSL証明書情報からハッカーによって
悪意的に生成されたウェブサイトを追跡できる
SSL証明書とは、ウェブサイトとブラウザの間で送信されるデータを暗号化し、ユーザーのインターネットの繋がりを安全に保護するための技術です。ハッカーによって悪意的な目的で作られたウェブサイトは正常的なSSL証明書がない場合がほとんどです。
証明書に署名した所有者情報を通じて発行者(Issuer、Common Name)およびSubject Name、Subject Fieldsを確認し、非公認の私設証明書か、独自的に発行した証明書かを判別することができます。または、盗難・盗用されたSSL証明書を活用してランサムウェアおよび悪性コードを合法的なプログラムに偽装しようとする攻撃も検知できます。その以外にもTLSプロトコルフィンガープリンティングプロファイリング(JARM、JA3)でコマンド制御(C2)サーバーを検知することもできます。
OSINT検索エンジン Criminal IPで見つけた悪性コードの脅威情報
サイバー脅威情報の収集のためにOSINT検索エンジンを利用することも可能であり、Criminal IP検索エンジンはIPアドレス、ドメイン、SSL証明書など様々なサイバー脅威情報を提供する検索エンジンです。
以下は実際にCriminal IP OSINT検索エンジンを用いて悪性コードの脅威情報を検知した事例です。
OSINT検索エンジンのIPアドレス情報を活用したマルウェア検知
- 情報奪取マルウェア(Info Stealer) – グランド・ミシャ(Grand Misha、いわゆるMisha Stealer)
https://www.criminalip.io/ja/asset/search?query=%22UIKit%22+title%3A%22misha%22
OSINT検索エンジンCriminal IPで検知したマルウェアの「グランドミシャ」
情報奪取マルウェア(Info Stealer)- Collector Stealer
https://www.criminalip.io/ja/asset/search?query=Collector+Stealer
OSINT検索エンジンCriminal IPで検知した情報奪取マルウェア
- 情報奪取マルウェア(Info Stealer)- タイタンスティーラー(Titan Stealer)
https://www.criminalip.io/ja/asset/search?query=title%3ATitan+Stealer
OSINT検索エンジンCriminal IPで検知したタイタンスティーラー悪性コード
- 悪性コードコマンド制御(C2)サーバー – コバルトストライクビーコン(Cobalt Strike Beacon)
https://www.criminalip.io/ja/asset/search?query=tag%3Acobalt+strike
OSINT検索エンジンCriminal IPで検知したコバルトストライクビーコン悪性コード
OSINT 検索エンジンのIPアドレス情報を活用したCrypto Bot検索
- コイン採掘悪性コード感染サーバー – DeepMine
https://www.criminalip.io/ja/asset/search?query=deepMiner.Anonymous
HTML Bodyの本文に含まれている
「deepMiner.Anonymous」キーワードを検索して探せます。
- コイン採掘悪性コード感染サーバー – CoinHive
https://www.criminalip.io/ja/asset/search?query=CoinHive
OSINT検索エンジンCriminal IPでHTML Bodyの本文に含まれている
「CoinHive」キーワードを検索した結果
OSINT検索エンジン Criminal IPで見つけたCVE脆弱性の情報
悪性コード以外にも、Criminal IP検索エンジンではハッカーの攻撃が発生する可能性がある深刻なCVE脆弱性の情報を保有するサーバーを探せます。
以下はCriminal IPを活用してCVE脆弱性を保有するサーバーを検知した事例です。
- CVE脆弱性を保有するCitrixのセキュリティデバイス
https://www.criminalip.io/ja/asset/search?query=title%3A%22Citrix+Gateway%22
リモート認証バイパス脆弱性(CVE-2022-27510&CVE-2022-27518)を保有するCitrix ADC / Gatewayデバイスの検索結果
JSハッシュ値が脆弱なCitrixアドミンウェブページを検索した結果
- フォーティネット(Fortinet)UTMデバイス
https://www.criminalip.io/ja/asset/search?query=cve_id%3ACVE-2022-40684
リモート認証バイパス脆弱性(CVE-2022-40684)を保有する
フォーティネットUTMデバイスの検索結果
HTTP Etagヘッダー情報を利用して脆弱なフォーティネットUTMデバイスを検索した結果
以上で紹介された事例の以外にも、Criminal IPの OSINT 、サイバー脅威インテリジェンスを活用する方法はきりがなく多いです。今すぐ、Criminal IPのタグとフィルター検索およびAPIを使用してサイバーセキュリティOSINT情報の収集を始められます。
Criminal IPデータを攻撃対象領域管理ソリューションで活用する方法についての投稿もご参照ください。
データの提供
Criminal IP
ご参照
https://blog.criminalip.io/ja/2022/08/16/攻撃対象領域管理/