おすすめOSINTツール Buscador2.0 使い方のご紹介

昨今、急速に変わりゆくサイバー攻撃に対応するためには、予見・予測による未然のセキュリティ対策が求められてきています。とはいえ、サイバー攻撃を先読みするのは極めて困難であり、有名なセキュリティベンダやセキュリティ組織ですら、サイバー犯罪者の後手に回っているのが実情です。しかし、OSINT(open source intelligence)を活用することで、サイバー攻撃の「予兆」は補足することが出来るかもしれません。OSINTとは、インターネット上に公開された脅威情報(脅威インテリジェンス)を収集する手法を指します。OSINTは、基本的にはインターネット上に無償で公開されており、一つの情報から関連性のある様々な脅威情報を収集することが可能です。この仕組みを活用することで、ある一つの脅威情報から関連情報を収集し、「いま何が起ころうとしているのか」という脅威の予兆を補足することに期待ができるため、事前に注意喚起・防御などといった「被害が起こる前の事前対策」を強化することが出来るようになるわけです。

では、OSINTツールとはどんなものなのか？ですが、有名どころとして下記のようなサイトがあります。
・VirusTotal
・Shodan
・Threat Miner
ここら辺のツールは検索すればたくさん出てくるので、本ブログでは割愛します。

本ブログでは、更に幅広い情報が調査できる様な、セキュリティエンジニア向けのツールに触れていきたいので、今回は、Intel Techniquesが無料で提供している複合型OSINTツール「Buscador」をご紹介したいと思います。本ブログは、セキュリティエンジニアが不足の解消を目的として、本ツールを紹介しています。当然ですが、本ツールの悪用は禁止であり、不必要な調査に使用するものではありません。
※2019年1月に「Buscador」のバージョン2.0が公開されているので、本ブログでは「Buscador 2.0」を使用しています。

Buscadorとは

「Buscador」とは、Intel Techniquesが無料で提供しているOSINTツールであり、40種類のツールが実装されています。

※引用元：https://inteltechniques.com/buscador/

インストール

1. 環境の用意
VMWare Workstation Player、またはVirtual Boxをインストールします。
ダウンロードしたインストーラに従って、進むだけなので簡単です。(管理者権限必須)
※本ブログでは、VMWare Workstation Playerを使用します。
・VMWare Workstation Player
・Virtual Box

2. OVAファイルのダウンロード

Buscador2.0では、VMWare Workstation Player、またはVirtual Box向けのOVAファイル形式が提供されています。上記赤枠内のリンクから、どちらかのファイルをダウンロードします。

3. 仮想マシンのデプロイ
VMWare Workstation Playerを起動し、「仮想マシンを開く」をクリックする。
その後、ダウンロードしたOVAファイルをインポートする。あとは、そのままYesなどで進んでいけばOK。

Buscadorの起動

仮想マシンを起動するとログイン画面が表示されます。デフォルトユーザーアカウントが「osint」、パスワードも「osint」です。下記のデスクトップが表示されれば、ログインに成功です。

「Buscador 2.0」の使い方

さて、ここからがやっと本題です。ただ、先述した通り、実装されている機能が多いことから、今回のブログですべてを詳細に紹介できる量ではありません。そのため、今回のブログでは、「とりあえずやってみよう」の部分に絞って紹介していきたいと思います。また、出力結果は念のため、雑にマスクしています。

Domain Interact

とりあえず、「ドメイン名」を基に調査したい場合、下図赤枠内の「Domain Interact」を押すと、10個の有名なドメイン調査ツールの選択画面が表示されます。使用したいツールを選択して「OK」をクリックすると、ドメイン名かURLの入力を要求してきます。本ブログでは、それぞれのツールが、どのようなものであるかをご紹介したいと思います。

また、これらツールの実行後は、それぞれの収集結果を「/home/osint/Domains」に保存してくれるので、記録された情報をいつでも確認することが出来ます。なお、ツールによっては、特定サイト(VirusTotalなど)のAPIキーを登録しておくことで、より多くの情報を収集することができます。

Amass

「Amass」は、入力したドメインに関連するサブドメインを収集してきます。攻撃元(マルウェア配信サーバ等)がどんなドメインを保持しているのか確認する場合、若しくは調査側(第3者)が影響範囲を洗い出して把握する際に使用するべきツールです。雑にマスクしていますが、上部の緑色の部分がドメイン名で、黄色の部分がIPアドレスです。下部分にはAS情報が出力されます。

参考：https://github.com/OWASP/Amass

The Harvester

「The Harvester」は、公開情報から、サブドメイン、ホスト名、メールアドレス、公開している従業員名、公開ポート、バナー情報などを収集してきます。このツールは、インターネット上にどのような情報が公開されてしまっているか確認する際に使用します。そのため、調査側(第三者)よりも、被害側(自サイト運営者)が対策状況の把握を目的として使用するべきツール(shodanと同じような使い方)です。

※見やすくするために、画像を加工しています。
参考：https://github.com/laramies/theHarvester

EmailHarvester

「EmailHarvester」は、複数の検索エンジンから、指定したドメインに関連するメールアドレス収集してくるツールです。The Harvesterのメールアドレス収集機能だけ実装したような感じなので、図は割愛します。このツールも、被害側(自サイト運営者)がインターネット上にどれだけメールアドレスが公開されてしまっているか確認する際に使用するべきツールです。
参考：https://github.com/maldevel/EmailHarvester

Metagoofil

「Metagoofil」は、指定したドメインが公開している様々なファイルデータ（pdf、doc、xls、pptなど）をダウンロードし、ユーザ名/パス名等、攻撃に悪用される可能性がある情報や、その他にも様々なメタデータを抽出します。このツールも、被害側(自サイト運営者)が使用するべきツールです。

※参考：https://github.com/laramies/metagoofil

Sublist3r

「Sublist3r」は、指定したドメインに関連するドメイン名だけ収集してきます。「Amass」の様に、紐づくIPアドレスやAS名は取得しないので、サブドメイン名の情報だけが必要な時に使用します。最低限の情報だけなので、他ツールと比較して、結果が分かるのが早いです。結果の確認は、「/home/osint/Domains/Sublist3r」にテキスト形式で保存されます。

参考：https://github.com/aboul3la/Sublist3r

Knock

「Knockpy」は、指定したドメインのサブドメインを収集してくるツールです。収集結果は、「/home/osint/Domains/Knock」にCSV形式で保存され、IPアドレス、ドメイン名、サーバーヘッダ、ステータスコードなども収集してきます。サブドメインの状態が一見して分かるので、調査側(第3者)が影響範囲を洗い出して把握する際に使用するべきツールです。

※参考：https://github.com/guelfoweb/knock

Photon

「Photon」は、指定したURLをクロールしてくるツールです。収集結果は、「/home/osint/Domains/Photon」にtxt形式で保存され、URL(InternalおよびExternal)、パラメータ付きURL(example.com/gallery.php?id=2)、Intel(メールアドレス、ソーシャルメディアアカウントなど)、ファイル(pdf、png、xmlなど)等々を取集してきます。攻撃元(マルウェア配信サーバ等)の調査に役立つかもしれませんが、ちゃんとした調査環境が無い場合は、危険なので止めた方が良いです。また、被害側(自サイト運営者)は、クロール拒否したほうが良いのかもしれません。調査側(第3者)も、サイト運営側に許可を貰った上で実施するべきです。
※本ブログに対しても実施しないようにお願いします。(被害側からも誰がクロールしてきたか分かります)

参考：https://github.com/s0md3v/Photon

Subbrute

「SubBrute」は、指定したドメインに関連するサブドメインのDNSレコードを収集してくるツールです。収集結果は、「/home/osint/Domains/Subbrute」にCSV形式で保存され、ドメイン、サブドメイン、レコードタイプ、レコード内容を収集してきます。

参考：https://github.com/TheRook/subbrute

Web HTTrack

「Web HTTrack」は、指定したURLのソースを全てローカルにダウンロードしてきます。Webサイトの構造を調査するときに役立ちます。攻撃元(誘導先サーバ等)やWebShell等の設置有無の調査に役立つかもしれませんが、ちゃんとした調査環境が無い場合は、危険なので止めた方が良いです。

参考：https://www.httrack.com/

EyeWitness

「EyeWitness」は、指定したWebサイトのスクリーンショット、HTTPリクエストヘッダ情報を取得してきます。(可能であればRDP、VNC、サーバーヘッダー情報、資格情報も収集するそうです)サイトがどのようなコンテンツなのかを調査する際に役立つかと思います。Aguseでも同じようなことが出来ます。

参考：https://github.com/FortyNorthSecurity/EyeWitness

Recon-ng

これまで紹介したツールと類似する機能含め、多数のモジュールが組み込まれています。Metasploitの様な使用感で、Metasploitを触ったことがある方であれば、すぐ慣れるかと思いますが、未経験の方は特有のコマンドや使用方法を理解する必要があります。特定のドメインに絞って、様々なモジュールを使用して徹底的に調査したいときに使用するとよいかと思います。

例えば、今回は「Brute_hosts」モジュールを使った例をご紹介します。
※Brute_hosts：DNS情報を利用して、入力したドメインに関するホスト名を可能な限り収集してきます。

1.コンソールのショートカットから、Recon-ngを起動し、下記を入力します。

2.下記を入力します。

いろいろ問い合わせて洗い出してくるので、少し時間がかかります。(5~10分ほど)

3.収集が完了したら、DB上の「hosts」テーブルが更新されます。
下記コマンドなどで結果を確認します。

他にも必要な情報がある場合は、useコマンドでモジュールを切り替えて実行すれば良いです。調査するたびにDBを更新していくので、CLIに慣れている方なら情報を管理・利用し易いのでおすすめです。

Maltego

「Maltego」は、ある任意の情報を基に、関連情報を紐づけていき、全体像を可視化することが出来るツールです。関連図が欲しいときに使用すればよいかと思います。また、様々なAPI(VirusTotalなど)と連携させれば、より多くの情報を収集することが可能です。
一応、使い始める前に準備が必要なので、少し説明しようと思います。

1. 無料アカウントの作成
「Maltego」は、アカウントを作成しないと、transform(情報を収集する機能的なもの)と呼ばれる機能が使用できません(＝何もできない)。下記サイトで無料アカウント(Maltego CE)を作成してください。
Maltego登録ページ

2. 「transform」のダウンロード
下記の流れのように、作成したアカウントでログインして、「transform」をダウンロードします。

2.1 左上のマークを押して、「License Manager」をクリックする。

2.2 「Switch to Maltego product Type」をクリックする。

2.3 「Malrego CE(free)」の「run」をクリックする。

2.4 「ライセンス同意 -> 作成したアカウント(CE)でログイン」するとtransformがダウンロードされます。

3. ここからは簡単な使い方です。
左上の新規ページをクリックし、新規シートを作成します。

3.1 初めの情報源に該当するオブジェクトをドラッグ＆ドロップします。
※ここでは例として、ドメイン(kukublo.com)を使用します。
ドラッグ＆ドロップした後、ダブルクリックすると任意の情報を設定できます。
ドメイン名を設定したら、右クリックで先ほどダウンロードした「transform」を呼び出します。

3.2 あとは簡単です。「transform」から、ほしい情報をクリックしていけば下記の様な関連図を
作成することが出来ます。

参考：https://tools.kali.org/information-gathering/maltego-teeth

今回はここまで

いかがでしたでしょうか。他にも指定したURLの動画だけをダウンロードしてきたり、いろいろ機能が実装されていますが、とりあえずの使用方法については、触れることが出来たかと思います。先述しましたが、これらの知識は悪用せず、攻撃者からのサイバー攻撃対策に少しでも役立てることが出来れば嬉しいです。