オリジナルの記事はThreatSTOP社Ofir Ashman 氏が書いたもので、本記事はその日本語訳です。オリジナルの記事(英語)は以下のURLからご覧いただけます。
https://blog.threatstop.com/analyzing-threat-infrastructure
Part 2「IOCを見つける場所」はこちらから
前回の記事で記載したように、分析するための指標は様々なプラットフォーム、チャネルから見つけることができます。しかし、それぞれの信頼性や情報の詳細さはソースによってバラバラです。もし、セキュリティアナリストが、集めてきたIOCが怪しいと思った時には、ASNやIPアドレスに連なるPassive DNS、Whois、ドメインの人気など、背景やインフラの情報を元にレビューすることがオススメです。オープンソースのブラックリストから、主要なセキュリティベンダーがどのように判断しているのか見るのも一つの手です。これらの調査を行うことで、そのIOCに関連するインバウンド/アウトバウンドの通信を止めるべきか、止めないべきか判断するために十分な情報を揃えることができます。
今回は、IPアドレスとドメインにスポットをあて、IOCに関する技術的な情報、評価を集めることができる無料のオープンソースツールをご紹介します。
① VirusTotal
VirusTotalは、70以上のアンチウイルススキャナーと、URL/ドメインブロックサービスで」IOCをチェックすることができる、スキャンと情報共有のプラットフォームです。
VirusTotalでは、今までにスキャンされた検体の検索エンジン、Webインターフェース、デスクトップアップロード、ブラウザ拡張、APIなどを含む多くのURLと検体ファイルの提出方法を提供しています。VirusTotalの集約されたデータは、様々なアンチウイルスエンジンやWebサイトスキャナー、ファイル・URLの分析ツール、ユーザの貢献などのアウトプットです。マルウェアシグネチャーは、アンチウイルス企業が配布するのと同じぐらいの頻度でアップデートされ、最新のシグネチャーセットをプラットフォーム上で利用することができます。
VirusTotalのWebインターフェースは、レイアウトやデータセット間の移動など、かなり使いやすくなっています。この使いやすさと、セキュリティベンダーのデータセットの統合がなされている点から、VirusTotalは私たちのお気に入りツールの一つとなっています。
VirusTotalで調べられること
- IPアドレス:ASN、Google結果、Passive DNSの応答、コミュニティ内でのスコア、グラフサマリ悪意を持っていると判断されている場合は、検知されたURL、ダウンロードファイル、通信ファイル、リファラーファイルの情報を調べることができます。
- ドメイン:Whois、Google結果、サブドメイン、Passive DNSの応答、コミュニティ内でのスコア、グラフサマリ悪意を持っていると判断されている場合は、検知されたURL、ダウンロードファイル、通信ファイル、リファラーファイルの情報を調べることができます。
② Threat Intelligence Platform
Threat Intelligence Platformでは、ホストとその後ろにあるインフラの詳細な情報を調べることが出来る、脅威インテリジェンスツール、サービス、APIを提供しています。彼らのプラットフォームには、様々なプロバイダーからの情報提供や、10年以上にわたって彼らが収集しているデータベース、リアルタイムのホスト設定分析など様々な情報がまとまっており、目的のIOCについて深く情報を取得することができます。Threat Intelligence Platformの検索エンジンでは簡単にIPアドレス/ドメインを検索することができますし、詳細なレポートを直ぐに手に入れることができます。
Threat Intelligence Platformは、IOCに関する技術的な詳細情報を多く保持しており、技術的な情報を求めるのならば素晴らしい情報ソースです。しかし、私たちのセキュリティチームが利用した経験で言うと、悪意の調査を調べるための機能は他と比べて充実していません。そのため、もし詳細な技術情報やインフラに関するデータを調べたいのであればThreat Intelligence Platformを、悪意のレピュテーションを調べるためには別のプラットフォームを使うことをおススメします。
Threat Intelligence Platformで調べられること
- IPアドレス:ホストされているドメイン、Webサイト分析、危険な可能性のあるコンテンツ、ホストの設定の問題、オープンホスト/サービス、SSL証明書、マルウェア検知、Whois
- ドメイン:IPアドレス、メインのインフラサーバー、同一のIPに連なる他のドメイン、Webサイト分析、危険な可能性のあるコンテンツ、ホストの設定の問題、オープンホスト/サービス、SSL証明書、マルウェア検知、Whois、MX、NS、SOAデータ
③ IPVoidとURLVoid
IPVoidは、様々なIPアドレス分析のツールセットでIPブラックリストチェックサービスや、様々なネットワークツールが含まれます。それぞれのツールは「Popular IP Tools」というインターフェースから使えます。URL Voidは、URLとドメイン情報を提供しており、30以上ブラックリストエンジンとオンラインWebサイトをのレピュテーション情報を含む、URLとドメインのデータを提供しており、詐欺や悪意のあるWebサイトの検知に利用することができます。
IPVoid/URLVoidで調べられること
- IPアドレス:ブラックリストチェック、Whois、ping、CIDR計算、HTTPヘッダー、DiG、MX、リバースDNS、地理情報、トレースルート
- ドメイン:ブラックリストレポート、Whois、DNS、ping、IPアドレス
④ DNSdumpster
DNSdumperは、静的/動的なコネクショングラフなど、ドメインに関するデータを調査することができるツールで、簡単に出力することも出来ます。このプラットフォームは、DNSの情報に対して、IPアドレスからHTTPヘッダを取得、ゾーントランスファー、MTRを使ってIPアドレスへトレース、同じDNSサーバーを共有するホストの探索、ネットブロックのバナーを捜索、Nmapポートスキャンなど様々なアクションを取ることが出来ます。
DNSdumperで調べられること
- ドメイン:ASごとのホスティングヒストリー、ホストロケーションのジオIP、DNS情報、静的/動的グラフ
[SMART_CONTENT]
⑤ CIRCL BGP Ranking
CIRCL BGPランキングは、インタネットサービスプロバイダのセキュリティランキングを計算するために利用できるシンプルなプラットフォームです。このシステムが時間ごとのランキングを計算するために、dshieldやshadowserver、Arbor ATLASなど様々な外部データソースから情報を集めているので、特定のAS番号の悪意を持ったアクティビティをいち早く検知したり、セキュリティのために利用されるデータソースの検証を行ったりすることができます。
このプラットフォームは他のものと異なり、特定のIPやドメインについての使えるデータを提供してくれるわけではありません。しかし、IPのASNについての情報を見つけることができます。CIRCL BGP Rankingは個々のIPのランキングの合計です。IPを分析したいときに、ASNのレピュテーションを把握しておくことは、IPの悪意のレベルを測るのに有益です。
ここまで紹介したツールは、それぞれのアドバンテージがあり、それぞれユニークなデータを提供してくれます。まずは試してみて、自社のニーズとセキュリティチームの分析スタイルにどれが最もマッチするのか探っていくのがオススメです。
もし、これらの調査を自社で行うことが難しい、もしくは情報を精査することが難しい場合は、セキュリティの専門家が最新の脅威状況に合わせて分析、抽出した脅威インテリジェンスフィードを採用すべきです。
脅威インテリジェンスの専門ベンダー ThreatSTOP社では、セキュリティ研究者がIOCの収集、分析を行い精査した脅威インテリジェンスフィードを提供しています。様々なベンダーのファイアウォールやDNSサーバーで利用できるので、最新の脅威状況に合わせて防御力を高めることができます。
是非、こちらもご検討ください。
この記事に関するサービスのご紹介
セキュリティリサーチツール Check IOC
CSIRTやSOCメンバーが脅威IPアドレス及びドメインの情報を調べるリサーチツールとして情報提供します。STIX/TAXII形式での提供が可能です。
詳細はこちら
