初めに
どうも、クソ雑魚のなんちゃてエンジニアです。
今回の記事は前回のフィッシングサイト建設にあやかり、防御者目線でフィッシングを見破る方法を記載していこうと思う。
以下に前回の攻撃者目線でのフィッシングサイト建設を紹介した記事を載せる。
「こりゃ正規なお知らせかどうか、ちょっとわからんな...」
こういった状況の場合の判断方法として活用してほしい。
目次
- 具体的な調査対象
- 調査をするための一部Webサイト紹介
- 実際の調査
- Google透過性レポート
- aguse
- urlscan
- virustotal
- 総括
- まとめ
具体的な調査対象
前回紹介した記事の中に最近のフィッシングの手口を紹介した章を用意したが、この中で紹介した「SMS」や「メール」を用いたフィッシングを今回も題材にしていこうと思う。
このフィッシング詐欺の具体的な方法は大きく分けて二つある。
- メールやSMSにURLを記載し、フィッシングサイトへ誘導するパターン
- メールに添付ファイル(マルウェアダウンローダー)を添付し、ユーザの添付ファイルクリックから感染させるパターン
この2パターンのうち、今回は「SMS」にURLを記載し誘導するパターン(SMS+フィッシングで【スミッシング】と言われている。)について調査していこうと思う。
具体的な調査対象は以下のSMSメッセージとする。
![image0[74].png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2036848%2F67c1d6ed-f566-7db0-13f6-9465aaefe382.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=f63fc4f604144f3411817f042f6a5361)
※この時はまだ知る由もなかった...大物を調査対象としてしまったことに...
調査をするための一部Webサイト紹介
基本的には以下の4つのWebサイトを用いて自分はURL調査を行うことが多い。
| Google透明性レポート | urlscan | aguse | virustotal |
|---|---|---|---|
 |
 |
 |
 |
| https://transparencyreport.google.com/safe-browsing/search | https://urlscan.io/ | https://www.aguse.jp/ | https://www.virustotal.com/gui/home/search |
ざっくりとこれらのURL調査サイトを用いて総合的に判断を行う。
これらのサイトにはURL調査以外にもメールのヘッダー調査(aguse)や不審なファイルのサンドボックス調査(Virustotal)機能があり、不審なメールの追加調査を行うことが可能である。
※今回はスミッシングの調査となり、媒体はメールではないので割愛。
※これらはサイト自体の検索欄にURLを打ち込んで調査を行うわけだが、決してブラウザに直接叩き込むことはやめましょう。死にます。
実際の調査
Google透過性レポート
上記が調査結果である。
Googleさんの評価でざっくりと安全か、そうではないかのの判断をすることが出来るが、レピュテーション評価となるため、
フィッシング報告などがまだ上がっていない出来立てホヤホヤのフィッシングサイトではあまり引っかからないことや、
今回のようなbitlyによるURL短縮サービスを用いて本来のフィッシングサイトへリダイレクトさせるような手の込んだフィッシングにはあまりひっかからない。
※独自ドメインはその時々で用意するのが難しいが、bitlyを使うことで複数のアドレスをフィッシング用のアドレスで用意でき、正規なサイトのURL短縮と見分けがつきにくいので攻撃者にとってはURL短縮は有益な攻撃手法である。
※bitlyとは何ぞやは以下を参考にしてほしい。
aguse
上記が調査結果である。
aguseでの調査利点は結果が日本語で見れる点である。ここら辺は「アグスネット株式会社」さんに感謝ですな。
リダイレクトされている先やざっくりとサーバの位置情報、マルウェア検出があったかどうか、ブラックリストURLかどうかを調査できる。
また、アクセスした際のスクリーンショットを取ってくれるので視覚的に調査をすることが出来る。
以下にスクリーンショットの画像を載せる。
見たところ中国語で「アクセスできません、以下が想定原因と解決方法です」みたいなことが書かれている。
こういったフィッシングサイトはマルウェアダウンローダーからのアクセスしか許していないサイトだったり、特定の国のIPからのアクセス(今回はauを騙っているので日本から?)しか許していないサイトだったりする。
また、モバイルフィッシング系のマルウェア配布サイトだとAgent判定も行っているのかもしれない。
urlscan
上記が調査結果である。
基本的にこちらの調査サイトもスクリーンショットを記載しつつリダイレクトの流れも記載されている。
こちらのサイトはもう少し詳細な調査が可能で、ドメインから引き出されるIPを複数検索できる。
※今回はアメリカとスイスである、AS番号やその管理組織まで記載されていて優秀である。
また、以下のようにレスポンスのDOMツリーまで用意してくれるのでスクリーンショットの画像では翻訳が出来なかった中国語もコピペでき、翻訳が容易である。
virustotal
上記が調査結果である。
Malicious判定が2ベンダで出ているので本格的にここで悪性なスミッシングと判定してもいいだろうが、一応詳細に調べていく。
Detail項目も見てみる。
正直そこまで有益な情報が落ちてこない。
続いてurlscanで判明したIP(2つ)について調査を実施する。
※IPは過去フィッシングで利用されていて、再度使われている可能性もあるので。
上記はスイスのIPでの調査結果である。
ここでも1ベンダで判定が出ている。
Google ResultsではこのIPでの検索結果が表示されており、優秀なセキュリティエンジニアがこのIPの調査結果を発信していたりするので便利である。
以下に、その検索結果の例を記載する。
大方「黒」で間違いないと思うが、さらに調査を進める。
続いて2つ目のIP(アメリカ)の調査結果が以下である。
ここでもGoogleでのIP検索結果を利用する。
2列目に表示される「AlienVault - Open Threat Exchange」のサイトを利用する。
以下がそのサイトの表示結果である。
赤く記載されているIDS調査結果の欄やAntivirus解析結果に「Trojan-Downloader」や「Backdoor」と記載されているのがわかるだろう。
ここから「バックドア」や「トロイの木馬」形式のマルウェアをダウンロードさせるようなサイトであることが伺える。
※普通のID/PW搾取目的のフィッシングサイトじゃなかったわけだ。大物??
参考に、このようなスミッシングで使われるマルウェアの一例についてトレンドマイクロさんが発表している記事を以下に記載する。
XLoaderは、Android端末に対しては正規セキュリティアプリに偽装して侵入しますが、iPhone等のiOS端末に対しては、さらに別のサイトに誘導し、不正なiOS構成プロファイル(設定情報)をインストールしようとします。ユーザがこの構成プロファイルをインストールしてしまうと、Appleに偽装したフィッシングサイトに誘導され、情報を窃取されてしまいます。
“スミッシング”による不正アプリ新亜種拡散中、iPhone利用者も要注意
総括
調査結果をまとめる。
「おそらくモバイル端末をターゲットとした不正なマルウェアダウンロードを促すフィッシングである。」と結論付けさせてもらおう。
まとめ
第八回の投稿はいかがだったでしょうか?
今回はフィッシング(スミッシング)メッセージが届いた際のURL調査方法をご紹介した。
今回もセキュリティエンジニアの皆さんの助けになればなと思います。
※メールでのフィッシング詐欺の調査方法は需要があれば記載します。