私がセキュリティ事案の際に利用する調査・解析ツールをまとめておきます。
(随時更新予定)
マルウェア解析
VirusTotal
ファイルやウェブサイトのマルウェア検査を行うウェブサイト.
アンチウイルス製品による検査を行って各製品の検査結果を一覧表示する。
ファイルのマルウェアか否かの簡易的な検査を行うことができる。
ファイルのアップロードやハッシュ値による検索によって検査結果が取得可能。
Hybrid Analysis
ファイルやウェブサイトのマルウェア検査を行うウェブサイト.
ファイルのアップロードやハッシュ値による検索によって検査結果が取得可能。
詳細な解析がされており、通信先・ファイル内部の文字列・プロセス構造など得られる情報は多岐にわたる。
https://www.hybrid-analysis.com/
URL・ドメイン調査
urlscan.io
Webサイトの代理アクセスに活用。
ファイルのダウンロードの場合、VirusTotalやHybrid Analysisと連携し、各々のリンクを載せている。
PassiveTotal
ドメイン、IPアドレス調査に活用。
Whoisの場合、調査時に紐づいているIP、ドメインしかわからないが、PassiveTotalは過去の紐づいている情報が調査可能。
数時間おきに紐づけが変わるものや過去の調査時に有効。
ただし、無料版の場合、一日あたりWebアクセス、API、各々15回のリクエスト制限があります。
aguse.jp: ウェブ調査
urlscan.io同様Webサイトへの代理アクセス時に活用。
urlscan.ioと異なり「日本のIPアドレス」が割り当てられているため、日本からのアクセスにしか攻撃が成立しない場合のサイト調査に有効。
Shodan
インターネットに接続している様々なコンピュータを検索対象なオンラインサービス。
検索結果には、動いているサービスや有している脆弱性の情報まで表示される。
アカウント自体は無料で作れますが、その他有料のメンバーシップがある。基本的に得られる情報量に違いがある。詳しくは以下のページを参考。
Shodan のメンバーシップアカウントでできること - setodaNote
メンバーシップは49ドルで買うことができるが、秋のBlack Fridayの際には5ドルで購入できます。
Censys
shodanと同様にインターネットに接続している様々なコンピュータを検索対象なオンラインサービス。
shodanと似たようなものを検索できますが、こちらは無料で機能を使用することができます。
暗号化・復号
CyberChef
暗号化、復号を行う際に利用。
様々なエンコード・デコードに対応している。
また、ダウンロードすればオフラインでも利用できるため、オンラインにアップするのをためらわれる情報の場合、有効。
脆弱性情報
Exploit Database
脆弱性検証の際の、PoCを探す際に利用。
CVE番号などから検索できる
https://www.exploit-db.com/
情報サイト
その他
OSINT Framework
OSINT情報サイトをカテゴリごとに分類してまとめられたサイト。
