OSINTツール Mitaka でディグってみよう

less than 1 minute read

IPアドレス、ドメイン、ハッシュ値などのIOC(Iindicator of Compromise)をOSINTサービス(Shodan, Censys, VirusTotalなど)で検索しようとするとき、ちょっと面倒だと思うことってありませんか?

例えば下記のような場合です。

  • IOCをコピペするのが面倒
  • デファングを解くのが面倒
    • https://www.google[.]comなどのように、誤ってURLをクリックしても問題がないようにするため、カギ括弧等でドットを囲み無害化するテクニックのことをデファング(defang)といいます。逆にデファングされたものを解くテクニックのことはリファング(refang)といわれます。

そんなちょっとした面倒臭さを解消するためのツールをChromeの拡張機能として作りました。名前はMitakaです。

何ができるのか

MitakaはChromeの拡張機能で、ブラウザ上で選択している文字列(あるいはリンクを選択している場合はそのリンク先URL)を解析し、その文字列に含まれるIOCのタイプに応じて、動的にコンテキストメニューを生成します。

例えば、SHA256のハッシュ値(275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f)を選択した状態で右クリックしてコンテキストメニューを開くと、ハッシュ値の検索に対応したサービス(VirusTotal, HybridAnalysisなど)が表示されます。これをクリックすると、該当のサービス上の検索結果ページに遷移することができます。

Imgur

Mitakaは上述したリファングの機能を実装しており、https://www.google[.]comを選択すると、これは自動的にhttps://www.google.comに変換されて扱われます。

これにより、先ほど上げた面倒臭さを解決してIOCをディグってみることができます。

gif

対応しているサービス

現在(2018/08/03)のバージョンではIP, Domain, URL, Email, Hashの5種類のIOC(+ 自由記述のText)と14種類のOSINTサービスに対応しています。

name url supported types
Censys https://censys.io text
DomainBigData https://domainbigdata.com domain
FindSubDomains https://findsubdomains.com domain
HybridAnalysis https://www.hybrid-analysis.com hash (sha256 only)
ONYPHE https://www.onyphe.io ip
PublicWWW https://publicwww.com text
Pulsedive https://pulsedive.com ip / domaion / url / hash
RiskIQ http://community.riskiq.com ip / domain / email
SecurityTrails https://securitytrails.com ip / domain
Shodan https://www.shodan.io text
Urlscan https://urlscan.io ip / domain / url
ViewDNS https://viewdns.info ip, domain, email
VirusTotal https://www.virustotal.com ip / domain / url / hash
X-Force Exchange https://exchange.xforce.ibmcloud.com ip / domain / hash

これらは拡張機能のオプションからお好みに応じて有効化/無効化をすることができます。

img

また、urlscan.ioとVirusTotalのみ、IP, Domain, URLをスキャンする機能も実装しています。

name url supported types
Urlscan https://urlscan.io ip / domain / url
VirusTotal https://www.virustotal.com url

インストール方法

MitakaはChrome Web Storeからダウンロードすることができます。

また、ソースコードはGitHub上で公開しているので、自分でビルドして使用することも可能です。

最後に

Mitakaを使用することでサクサクとOSINT情報を分析してみることができます。自画自賛するのもなんですが、個人的にはほぼ毎日使用するツールになっています。よろしければお試しください。

また、Mitakaを実装するにあたり、テキストの中からIOCを抽出するためのnpmパッケージを作成しました。名前はioc-extractorです。

こちらもよろしければお試しください。

Updated: