Upgrade to Pro — share decks privately, control downloads, hide ads and more …

osint-profiling-20190712.pdf

hiro
July 12, 2019

 osint-profiling-20190712.pdf

hiro

July 12, 2019
Tweet

More Decks by hiro

Other Decks in Technology

Transcript

  1. 5 OSINTとは
 公開情報
 OSINT
  (オシント)
 Webサイトや書籍などの公開情報
 (オープン・ソース・インテリジェンス)
 非公開情報
 HUMINT
  (ヒューミント)


    人から情報を収集
 SIGINT
  (シギント)
 通信、電磁波、
 信号等の傍受を
 利用した諜報活動
 参考:第382号コラム「3つのインテリジェンス」 - デジタル・フォレンジック研究会
    https://digitalforensic.jp/2015/10/05/column382/
 ※OSINTを有効に利用するだけで、知るべき情報の98%
  は得られるという人もいる。

  2. 7 OSINTツール(Webブラウザで利用)
 参考:OSINT 用検索エンジンあれこれ - ninoseki.github.io
    https://ninoseki.github.io/2018/12/03/osint-search-engine.html
 Google Dorks
 (Google

    Hacking)
 Google検索オプション
 を利用(inurl:、site:)
 検索文字列からサイトを
 検出
 ポートスキャン、
 バナー情報収集
 shodan.io、censys.io
 zoomeye.org、fofa.so
 SSH、httpd、RDP等が返す
 情報を基にサイトを検出
 種類
 説明(URLなど)
 用途
 代理アクセス
 aguse.jp(アグス)、urlscan.io
 httpstatus.io
 check-host.net
 対象サイトに代理でアクセスし、結 果(画面、ヘッダー情報)を確認
 ※こちらのIPアドレスを知られずに調査が可能(マルウェア感染のリスクも低減)
 文字列操作
 CyberChef
 (https://gchq.github.io/CyberChef/) 
 文字列変換、エンコード/デコード
 Passive DNS
 VirusTotal.com
 PassiveTotal.com
 ドメイン名に割り当てられたIPアド レスの履歴
 RSSフィード
 RSSリーダー
 feed43.com
 feedly.com、inoreader.com
 RSSフィードの生成
 RSSリーダー

  3. 9 某機関 偽サイトによる詐欺事案
 ▪電話で偽サイトに誘導し、振込をさせる詐欺 
  ・主に20~40代の女性が被害者。(PCやスマホに詳しい世代)
  ・犯人側は、被害者の氏名と電話番号、住所を知っている。
  ・某機関(偽サイト)に接続させ信用させる。
 ▪具体的な手口
  ①警視庁捜査二課を名乗り、「〇〇県〇〇市の〇〇さんで間違いない


      ですか?」と電話がかかってくる。→住所も言い当てることで信用させる。
  ②被害者名義の銀行口座がマネーロンダリングに悪用されている
   と告げられる。
  ③犯人が言うIPアドレスにブラウザで接続。偽サイトが開く。
  ④事件内容というリンクをクリック、氏名の入力画面。
  ⑤入力後、実名の某機関を模したハンコ入りの通達事項。
   「無実が証明されるまで捜査当局に協力しなければならない」と記載。
  ⑥事件に関連した口座が凍結されることの回避のため、「金融庁の口座
   に資金を移動させ正当性を確認する」という名目で振り込ませる。
 参考:検察庁ホームページの偽サイトにご注意ください。
    https://www.kensatsu.go.jp/page1000008.html

  4. censys.io(Last-Modified、Fingerprintをキーに)
 19 2019年7月12日時点の稼働IPアドレス
  98.126.1. 58~62
  98.126.9.218~222
 
 ※すべて同じAS35908(Krypt Technologies)
 SSHのホストキーをもとに検索すると芋づる式にヒット。


    (おそらく、Ansible/rsync等を使って作業の効率化を行う関係上、
 ホストキーを共通にしているものと推測。)
 Fingerprintは、SSHサーバのホストキー(公開鍵)です。
 これまでの実績から、
 それぞれ5つの連続
 したIPアドレスを持つ

  5. ◆サーバの管理は中国人?
  ドキュメントルートにアクセス
  した際に、リダイレクトする
  コードに中国語が含まれる。
 
 観測の中で見えてきた犯人像
 31 ◆httpdが返すヘッダー時刻はGMTだが、日本と17時間
  の時差がある。
  ⇒サーバの所在は、アメリカ西海岸(PST)


      ISPは、VPLSNET - Krypt Technologies(AS35908)
 
 ◆電話を掛けているのは日本人。
  あえてPCやスマホに詳しい世代の女性を狙っている。
  (オレオレ詐欺とはターゲットが違う。)
  

  6. ちょっと深堀りしてみると…
 33 岩林(いわばやし)さんじゃなく、
 実は若林(わかばやし)さん。
 普通は若林(わかばやし:270位 約 81,900人)。岩林(いわばやし:19,594位 約240人)は、日本人なら思わない
 ⇒あっ、察し。
 【仮説】


    ・メールやメッセンジャーからのコピペじゃなく、FAXで
  指示されたものが読みづらく手入力したのでミスった?
 ・名前を入力しているのは、老眼の中国人のおっさん。
 宮崎(おお崎)か、
 宮﨑(立つ埼)か、
 分からんから、両方 入れとけ!