はてなブックマーク

# Shodan search 101 1 min read... # 検索クエリーの基本 Shodan の検索クエリーはfiltername:valueという形式で記述します。 例えば、日本に存在するホストを調べたい場合のクエリーは以下になります。 country:jp (opens new window) 使用できるフィルターの詳細については、公式の API ドキュメント (opens new window)もしくはJavierOlmedo/shodan-filters (opens new window)を参照してください。 valueの値を ,で区切って指定することで、複数の値を同時に検索することができます。 country:jp,kr (opens new window) フィルターは同時に複数指定することができます。基本的には複数のフィルターのANDをとった検索結果が返ってきま

# ゼロからはじめるフィッシング対策 🎣 2 min read... フィッシング対策協議会 (opens new window)によれば、2018年上半期に報告されたフィッシングの件数は2017年下半期の月平均と比較して1.6倍に増加しているそうです。 (source: https://www.antiphishing.jp/news/pdf/apcseminar2018apc.pdf) この記事では、増加するフィッシングに対して効率的に対応するため、ドメイン名を起点にフィッシングサイトを見つけ、それを報告するまでの流れについて紹介します。 # 前段 フィッシングをしかける攻撃者は、紛らわしいドメイン名(タイポスクワッティング / typosquatting)を用意し、そこにターゲットを誘導します。 例として、Apple ユーザーを標的にしたフィッシングサイトのドメイン名を以下に示しま

|-------------------------|------------------------------------------------------------------------------------------------------| | asn | The Autonomous System Number that identifies the network the device is on. | | before | Only show results that were collected before the given date (dd/mm/yyyy. | | city | Show results that are located in the given city. | | country | Show results that are loca

# IoC 抽出のためのテクニックとツール 5 min read... # 前提 IoC(Indicator of Compromise)とは、セキュリティインシデントに関連するインディケーターのことです。具体的には、マルウェアのハッシュ値(MD5, SHA256, sssdeep, etc.)やその通信先の IP アドレス、URL 等がこれに該当します。 一般的に、IoC はブラックリストへの適用や情報共有のために用いられます。 # IoC 抽出が必要とされる背景 セキュリティベンダーから提供されるレポートの中に、IoC が含まれていることがありますが、構造化されたデータとして提供されていない場合がほとんどです。(例えば、文中にドメイン名や IP アドレスが記載されているだけ等) こういったレポートから、IoC を構造化されたデータとして抽出することで、ブラックリストへの適用や情報共有の

# フィッシングウェブサイトはいかに検索除け対策をしているのか 5 min read... 本稿では実際のフィッシングウェブサイトが採用している検索除け(クローラー対策)手法について紹介します。 # .htaccess による対策 まずは .htaccess (opens new window) による対策です。 # allow / deny によるアクセス制御 特定の IP からのアクセスをブロックするためのブラックリストとして、.htaccess を使用するパターンがあります。 以下は AOL / Gmail / Dropbox / etc. のユーザーをターゲットにしたフィッシングウェブサイトで実施に使用されていた .htaccess ファイルの一部です。 <Files ~ "^.(htaccess|htpasswd)$"> deny from all </Files> order

IPアドレス、ドメイン、ハッシュ値などのIOC(Iindicator of Compromise)をOSINTサービス(Shodan, Censys, VirusTotalなど)で検索しようとするとき、ちょっと面倒だと思うことってありませんか? 例えば下記のような場合です。 IOCをコピペするのが面倒 デファングを解くのが面倒 https://www.google[.]comなどのように、誤ってURLをクリックしても問題がないようにするため、カギ括弧等でドットを囲み無害化するテクニックのことをデファング(defang)といいます。逆にデファングされたものを解くテクニックのことはリファング(refang)といわれます。 そんなちょっとした面倒臭さを解消するためのツールをChromeの拡張機能として作りました。名前はMitakaです。 何ができるのか MitakaはChromeの拡張機能で、ブ

JavaScript実装の仮想通貨(Monero)マイナーであるCoinhiveが登場してから数ヶ月たちました。 毀誉褒貶あるこのCoinhiveについて振り返って見ましょう。 Coinhiveとは? CoinhiveはJavaScriptで実装された仮想通貨(Monero)マイナーです。 Webサイトの管理者はCoinhiveを用いることでユーザーのCPUリソースを使用してマイニングを行い、マネタイズすることができます。 Coinhiveのコンセプト自体は興味深いものであり、広告を代替するものとして期待が寄せられました。しかし、Coinhiveはユーザーの同意なくマイニングを行います。Opt-outもできません。 このため、多くのAVベンダーはこれをマルウェアと見なします。 2018/01/08時点においてCoinhive(coinhive.min.js / 7a4ed680d5e94d

概要 New #CollabDefense with @IBM ,PCH & @GlobalCyberAlln means private, secure browsing with #Quad9. Learn more: https://t.co/NdklxqT2Yj pic.twitter.com/rYJlVopgEy — IBM Security (@IBMSecurity) November 16, 2017 IBM, Packet Clearing House, Global Cyber Allianceが提供するパブリックDNS Quad9(9.9.9.9)を使ってみました。 下記の図で示されているように、悪性ドメインの名前解決をブロックしてくれます。 悪性ドメインのリストは、IBM, Packet Clearing House, Global Cyber Allianceの3