記事一覧
Microsoft Phishing観察記録_202101
http://data.phishtank.com/data/online-valid.csv からブランドがMicrosoftのものをいくつかピックアップしてフィッシングサイトにアクセスしていきます。 画面例をいく…
Microsoft Phishing観察記録_202012
前回作成した環境をもとに、http://data.phishtank.com/data/online-valid.csv からブランドがMicrosoftのものをいくつかピックアップしてフィッシングサイトにアクセスし…
Windows Sandboxのプライベートネットワークアクセスを遮断する
Windows Sandboxをご存じでしょうか。 https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-overview Windows 10で利…
ここが変だよ、AADサインインログ - part2(誤ったUserPrincipalNameの使い方編)
AADサインインログとはAzure Active Directory(以下、AAD)の認証時に発生するログです。
AADの[サインインログ]から確認することや、
Azure Active Directoryの[診断設定]からログを出力させることもできます。
本稿では[診断設定]で出力できる以下のログの中でもSigninLogsについて、
”ログとしてここが扱いづらい!”
という点をまとめてい
Microsoft Phishing観察記録_202110
漏らした資格情報へのアクセス試行の情報収集進捗Microsoftフィッシングサイトへダミーの資格情報を(敢えて)漏えいさせ、ダミーの資格情報に対してアクセス試行を行ったIPアドレスを収集しています。
件数は111件、順調に増加しています。
(前月比は調べればわかりますが現時点で価値があるとも思えないので次回以降記載することにします)
公開しているIPリストは同IPであってもユーザーエージェント
ここが変だよ、AADサインインログ - part1(リクエストID重複編)
AADサインインログとはAzure Active Directory(以下、AAD)の認証時に発生するログです。
AADの[サインインログ]から確認することや、
Azure Active Directoryの[診断設定]からログを出力させることもできます。
本稿では[診断設定]で出力できる以下のログの中でもSigninLogsについて、
”ログとしてここが扱いづらい!”
という点をまとめてい
Microsoft Phishing "非" 観察記録_202107~202109
前半はほとんど言い訳なのでお忙しい方は「前置きは置いておいて本題」へどうぞ。
まずは言い訳時がたつのは早いもので前回更新してから2か月と少し経過しているわけですが、本業が忙しかったという言い訳を無しにしても(Blog更新の)モチベーションが落ちていたという事実は変えられません。
現時点でも本業のWBSを作りつつ閑話休題としてBlog更新をしようと思い立っているわけでして、前向きじゃないモチベー
Microsoft Phishing観察記録_202106
まえがきこの記録はMicrosoftに関連するフィッシングメールかもしれないメールを受信してアクセスしてしまい、もしかしたらフィッシングサイトなのかもしれないと不安に思っている方にMSフィッシングサイトの”見た目”を情報提供するものです。
また合わせてフィッシングサイトに認証情報を入力したあとにどのIPアドレスから攻撃を受けるのかを情報提供するものとなります。
本稿で記載している内容は私個人に
Microsoft Phishing観察記録_202105
対応自動化が進んでいる件や
でも書いているようにPhishTankに投稿されたTargetBrand=="Microsoft"であるフィッシングサイトのURLを、
できるだけ早期に確認してダミー情報を送信したく、最終的にこんな感じになりました。
(仮にも設計を仕事にしてるんだからもうちょっときれいに書け)
細かい構成や⑪からの悪性サインイン試行時の情報抽出は自動化part3としてそのうち書きます
Microsoft Phishing観察記録_202104
観察するにあたっての問題点昨年11月ごろから始めてみて少し期間も空いてしまいましたが、
件数が少ないうえにすぐにテイクダウンされるPhishTankではいまの月一調査では追いつかない(なんだったら日次の調査でも追いつかない)ので、
この2か月はPhishTankの調査をどうやって効率よく行うかを考えていました。
詳細は以下を参照。
PhishTank調査を自動化したい - part1
Phis
PhishTank調査を自動化したい - part2
今月の目標前回に引き続いてですが
①フィッシングサイトのURLを取得
②フィッシングサイトへのアクセス
③フィッシングサイトへ認証情報(正規の認証情報ではない、IDと環境は自分持ち)を入力
④Azure ADへのサインイン試行の確認
のサイクルを出来る限り楽にしたい、というのが本稿の目的となります。
前回は①をLog Analyticsを使って実施しました。
今回は②~③を自動化しておきたい
PhishTank調査を自動化したい - part1
言い訳と動機今月は仕事がとても忙しかったので、
Microsoftのフィッシングサイトへのアクセスとその後のアクセス試行の調査が出来ていないのですが、
こんな忙しいからこそ手軽に対応したいなあということもあり調査自体の自動化を行いたい。
なにがしたい?通常であれば、
①フィッシングサイトのURLを取得
からフィッシングサイトへのアクセスをブロックする、アクセスがあったことを検出することが目的にな
Microsoft Phishing観察記録_202101
http://data.phishtank.com/data/online-valid.csv からブランドがMicrosoftのものをいくつかピックアップしてフィッシングサイトにアクセスしていきます。
画面例をいくつか記録しておきます。
[アクセス先その1]
読み込み(?)中。ただしこの間対象アカウントへのサインイン施行はなし。画面遷移せず。
[戻る]ボタンを押して再度パスワードを入力す
Microsoft Phishing観察記録_202012
前回作成した環境をもとに、http://data.phishtank.com/data/online-valid.csv からブランドがMicrosoftのものをいくつかピックアップしてフィッシングサイトにアクセスしていきます。
画面例をいくつか記録しておきます。
いずれのサイトもいくつか気になる点はありました。
・動作がもっさりしている
・若干のUIの違いがみられる
ただしこれらを判断基準と
Windows Sandboxのプライベートネットワークアクセスを遮断する
Windows Sandboxをご存じでしょうか。
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-overview
Windows 10で利用できるのですが、
いくつか設定をカスタマイズすることが可能です。
https://docs.micro