# OSINTツール Mitaka でディグってみよう

2 min read...

IP アドレス、ドメイン、ハッシュ値などの IOC(Iindicator of Compromise)を OSINT サービス(Shodan, Censys, VirusTotal など)で検索しようとするとき、ちょっと面倒だと思うことってありませんか?

例えば下記のような場合です。

  • IOC をコピペするのが面倒
  • デファングを解くのが面倒
    • https://www.google[.]comなどのように、誤って URL をクリックしても問題がないようにするため、カギ括弧等でドットを囲み無害化するテクニックのことをデファング(defang)といいます。逆にデファングされたものを解くテクニックのことはリファング(refang)といわれます。

そんなちょっとした面倒臭さを解消するためのツールを Chrome の拡張機能として作りました。名前はMitakaです。

# 何ができるのか

Mitaka は Chrome の拡張機能で、ブラウザ上で選択している文字列(あるいはリンクを選択している場合はそのリンク先 URL)を解析し、その文字列に含まれる IOC のタイプに応じて、動的にコンテキストメニューを生成します。

例えば、SHA256 のハッシュ値(275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f)を選択した状態で右クリックしてコンテキストメニューを開くと、ハッシュ値の検索に対応したサービス(VirusTotal, HybridAnalysis など)が表示されます。これをクリックすると、該当のサービス  上の検索結果ページに遷移することができます。

Imgur

Mitaka は上述したリファングの機能を実装しており、https://www.google[.]comを選択すると、これは自動的にhttps://www.google.comに変換されて扱われます。

これにより、先ほど上げた面倒臭さを解決して IOC をディグってみることができます。

gif

# 対応しているサービス

現在(2018/08/03)のバージョンでは IP, Domain, URL, Email, Hash の 5 種類の IOC(+ 自由記述の Text)と 14 種類の OSINT サービスに対応しています。

name url supported types
Censys https://censys.io text
DomainBigData https://domainbigdata.com domain
FindSubDomains https://findsubdomains.com domain
HybridAnalysis https://www.hybrid-analysis.com hash (sha256 only)
ONYPHE https://www.onyphe.io ip
PublicWWW https://publicwww.com text
Pulsedive https://pulsedive.com ip / domaion / url / hash
RiskIQ http://community.riskiq.com ip / domain / email
SecurityTrails https://securitytrails.com ip / domain
Shodan https://www.shodan.io text
Urlscan https://urlscan.io ip / domain / url
ViewDNS https://viewdns.info ip, domain, email
VirusTotal https://www.virustotal.com ip / domain / url / hash
X-Force Exchange https://exchange.xforce.ibmcloud.com ip / domain / hash

これらは拡張機能のオプションからお好みに応じて有効化/無効化をすることができます。

img

また、urlscan.io と VirusTotal のみ、IP, Domain, URL をスキャンする機能も実装しています。

name url supported types
Urlscan https://urlscan.io ip / domain / url
VirusTotal https://www.virustotal.com url

# インストール方法

Mitaka は Chrome Web Store からダウンロードすることができます。

また、ソースコードは GitHub 上で公開しているので、自分でビルドして使用することも可能です。

# 最後に

Mitaka を使用することでサクサクと OSINT 情報を分析してみることができます。自画自賛するのもなんですが、個人的にはほぼ毎日使用するツールになっています。よろしければお試しください。

また、Mitaka を実装するにあたり、テキストの中から IOC を抽出するための npm パッケージを作成しました。名前はioc-extractorです。

こちらもよろしければお試しください。