不審なurlの調査したい時
FQDNに対する情報を得られるサイト
- Abuse IPDB
- ReserchDomain Tools: Whois,DNS情報など
- PassiveTotal
- the daily whois: ドメインがいつ登録されたかわかる。最近登録されていると攻撃者が立てた怪しいサイトかも。
- Sucuri siteCheck: webサイトにマルウェアがないか確認してくれる
-
threatcrowd org動かないので削除
閲覧代行ができるサイト
- aguse.jp: urlやメールヘッダー等を分析し,関連情報を表示するサイト。
- gw.aguse.jp: 日本のIPアドレスをソースIPにして調査できるので国内のみにアクセス制限しているサイトに使う。
-
Grab a web screenshot online: 現在使えないがaguseの類似サイト。 - urlscan.io: Aguseよりも軽くて便利かも。
- Rex SWains HTTP Viewer: 応答画面やHTTPレスポンスを表示したりできる。
- urlQuery: urlにアクセスしてレポートを作ってくれる
- check-host: 各国のIPアドレスからアクセスした時の接続状況を教えてくれる(国単位でのアクセス制限をしているか確認できる)。
- Brosering: Browseringが提供する仮想マシンにブラウザ経由でアクセスできるので実際にアクセスして動作を確かめられる。
- PDF Viwer: PDFを開くのに使う。
Osint系
crtsh
- 発行した証明書のログが公開されている。
- 公開されたwebサイトの一覧を作るのに使える。
- ドメイン名にsslとかvpnとか入っていたらどういうサービスかわかる。
- 未発表のサービスのurlがわかるかも。新しいサービスには穴があるかも。
have i been pwned?
- have i been pwned
- メールアドレスの流出情報がわかる。
- リサーチャーがサイトをクロールして作っているらしい。
- 認証基盤でリスト型攻撃かどうかを判定する材料の一つにしたりする。
- 月3ドルでAPIが叩けるようになる。
shodan
-
インターネットに接続されているデバイスについての機器・サービス情報を検索できる検索エンジン
-
対象: Webカメラ、ルータ、ファイルサーバ、メールサーバ等
-
IPから推定した位置情報,ホスト情報,脆弱性,開いているport,古いバージョンのアプリを使っているサーバ等を探せる。
- product:Apache # apacheを使っているサイトを探す
- http.html:hoge # htmlからhogeを探す
- port:22 # portでサーチ
メンバーシップがあるとできること
- CVEでの検索
- jsonファイルでダウンロード可能になる
文字列調査系
- CyberSheff: あらゆるエンコードデコードが可能。複数のエンコードデコードをレシピとして登録して一括で実行できるのが便利。
- hashtoolkit.com: ハッシュを入力するとデコードした文字列が登録されていないか検索できる
マルウェア調査系
- Virustotal: 怪しいファイル投げると登録されているマルウェアか調べられる等
-
malwares.com: Virustotalに近いサービスだが現在つながらない - HybridAnalysis
- Automated Malware Analysis- Joe Sandbox: Sandbox
- TCP/UDP Port Finder: そのポート番号を利用するマルウェア情報が見られる。
難読化解除
- js-beautify: jsを読みやすくしてくれる。