3月はできる限りフィッシングサイトから入手できたフィッシングキットのメモを残しましたので公開してみます。

Twitterの方でもほぼ毎日入手できたフィッシングキットの報告を行っており、その1か月間のまとめとなります。
※3月は表の作成に試行錯誤したので3月12日から3月31日分までのものとなります。

フィッシングサイトはTwitter上で報告されているものを毎日24時間分検索して見つけたものとなります。
その中でフィッシングキットを入手できたものをExcel表としてメモしており、以下がその統計です。

合計164個のフィッシングキットを入手しました。
その中でもDocuSign、Microsoft、DropBox系のフィッシングキットが上位を占めています。

1つのブランドにおけるキットも複数存在しているため、DocuSign、Microsoft、DropBox系のキットは種類ごとに分けて統計を取ってみました。

DocuSign系フィッシングキット

5種類のフィッシングキットを入手しています。
1番多く入手した「DocuSign1」は以下のようなフィッシングサイトです。
フィッシングキットを入手できなかったフィッシングサイトでも、このパターンはよく見かけました。

Microsoft系フィッシングキット

15種類のフィッシングキットを入手しています。
1番多く入手した「DocuSign7」は以下のようなフィッシングサイトです。

Microsoft系のフィッシングサイトはこのパターンが多いのですが、画像の右下を見るとコピーライトが2017になっているのがお分かりになるでしょうか？

この部分が2016のものや2018のものがあり、それも異なるパターンとして集計しているためMicrosoft系のキットは種類が多くなっています。

DropBox系フィッシングキット

11種類のフィッシングキットを入手しています。
1番多く入手した「DropBox1」は以下のようなフィッシングサイトです。

実はこのパターンのサイトも選択できるサービスが微妙に異なるものがちらほらあったりします。

1ヶ月フィッシングサイトを調査し、キットを多く入手できてはいませんがApple、PayPal、Bank of America系のフィッシングサイトが多く見受けられたように思います。

また、フィッシングサイトのURLを見るとWordPressやJoomla!などCMSの設定ファイルなどが記述されているディレクトリの直下がフィッシングサイトとなっているケースも多く見受けられました。これは第3者によってフィッシングキットを配置されているのではないかと考えられます。

個人的にはWebShellを見つけた時には嬉しかったですねw

あとはXAMPPの初期ページからphpMyAdminの管理ページに行けたり、Joomla!のインストールが行えるようになってたりだとか、、、。

こんにちは。

今日はフィッシングサイトそのものがあまり見つからなかったという印象ですねー。

見つけたと思っても既にリンクが存在していないことが多かったです。

1 DHL

ドイツの物流会社だそうです。DHLのフィッシングサイトは数種類見覚えがあるのですが、今回のパターンを見たのは初めてです。

DHL系のフィッシングキット入手も初めてのような気がします。

ログインを試みると正規のDHLに飛ばされます。

公開ディレクトリ→hxxp://www[.]onthespotmedia[.]info/wp-includes/widgets/ord/

2 Excel Online

度々現れるExcel Onlineさんw

デザインはかなり好きなんですが、以前見つけたキットを使用してみましたがうまく動作しませんでした。今回のキットはちゃんと動作するかな？

ログインを試みるとGIF画像が表示されます。えwって感じです。

公開ディレクトリ→hxxp://lenterasejahtera[.]com/zip/ok/

3 Google Docs

もう見飽きましたw

２日前に10個位キット入手しました。

ログインを試みるとメールアドレスか電話番号が聞かれます。私の環境では電話番号は何も入力できませんでした。

とりあえずメールアドレス欄に何か入れて送信すると正規のGoogle Driveに飛ばされます。

公開ディレクトリ→hxxps://www[.]texasvendit[.]com/plus/

4 Amazon

コピーライトが2016年と古めのキット利用者でしょうか？

せめて2018に変えてみてはいかがでしょうか。

ログインを試みると次の画面でクレジットカード、さらに次の画面で住所などが求められます。

入力された文字列は精査されていないのか、適当にいれても次に進むことができました。

最終的には正規のAmazonへ飛ばされました。

公開ディレクトリ→hxxp://www[.]servadata[.]com/treez/

5 Micosoft

ページを読み込むとアカウントが古いと言われます。

続いてログインするよう求められます。

そしてログインページ。ログインをするとKB4011123について解説した正規Microsoftのサポートページに飛ばされました。

公開ディレクトリ→hxxps://www[.]progeny[.]in/

6 OneDrive

これは初めて見たタイプのフィッシングサイトです。

様々なサービスのアカウントでログインできると見せかけています。

どのサービスのボタンを押しても別ウィンドウが立ち上がり、ログインを試みると謎のPDFファイルが表示されます。

公開ディレクトリ→hxxps://www[.]rjpacademy[.]com/mgt2018/

7 Apple

このタイプのフィッシングサイトは様々な言語のものが存在していますが、日本語のキットを入手したのは初めてです。

他言語のフィッシングキットで試しましたがXSSを簡単に行えます。

公開ディレクトリ1→hxxp://appidmsa-greece[.]com/secure1.appstore/

公開ディレクトリ2→hxxp://l-tunes-app-le-lcloud[.]com/acs/

8 Apple 2

続いてまたもAppleのフィッシングサイト。一見7のフィッシングサイトと似ていて画像が読まれてないだけかと思いきやログインを試みるとリカバリーナンバーを求められます。

なんだそりゃ。入力すると正規のAppleにそっくりなフィッシングサイトに飛ばされました。

公開ディレクトリ→hxxp://idmsa[.]apple[.]com[.]loginkey5554df45gf45df[.]sindikattrgovine[.]rs/

番外編

ちょっとカッコイイw

左右のメールアドレスっぽい文字列が動いてるんです。

これはキット欲しかったですw

こんにちは。

土日も数種類フィッシングキットを見かけましたが、色々と忙しかったので割愛で。

今日もまたフィッシングサイトを徘徊してフィッシングキットを見つけましたので紹介します。

1 Nexi Portal

初めて見たフィッシングサイトです。イタリアのCartaSi SpAという企業のフィッシングサイトみたいです。クレジットカード会社でしょうか？

適当に入力するとSMSにコード送信したから打ってねと言われるものの、電話番号も適当に入れているので検証はここまで

公開ディレクトリ→hxxps://www.lankabird[.]com/BizBeware/wp-includes/css/

2 Nexi

続いてまたもNexiのフィッシングサイト。こちらは純粋にメールアドレスとパスワードを入力するログイン画面。

適当に入力するとまた何やら色々と求められます。

先ほどの1と同じ挙動をしそうなのでこれ以上はやめときますw

公開ディレクトリ→hxxp://lankabird[.]com/greensuppliesonline/wp-content/cache/minify/000000/

3 謎のフィッシングサイトとPDF関連のフィッシングサイト

Twitterでフィッシングサイトの紹介していた時にも見たこのサイトは一体何のフィッシングサイトなのでしょうか？

メールアドレスを入力後「Verify」をクリックするとパスワードの入力が求めらます。

パスワード入力後は「Failed」と出て行き止まり。

ちなみにですが、このフィッシングサイトはユーザから入力されたメールアドレスが表示されているので少し細工すればXSSできそうですね。

今度、フィッシングキットをWebサーバで稼働させて試してみます。

公開ディレクトリ→hxxps://ninatapio[.]com/wp-includes/js/JAYm/

Adobeのフィッシングキットも同じディレクトリに配置されているのが判明。

PDFをダウンロードするにはメールアドレスを入力してねという感じでしょうか？

4 謎の矢印ボタンがあるAppleのフィッシングサイト

ぱっと見いつものApple系フィッシングサイトなのですが、パスワード入力欄の下に謎の矢印ボタンが。

クリックしてみると住所とか名前とか求められます。あ、やばいw

公開ディレクトリ→hxxp://applecgi[.]com/inc/

はい。今日は疲れたのでこんなところで。

ダークウェブを構築しようと思いRaspberry Pi 3を購入しました。

Webサーバの設定とか面倒なのでXAMPP入れてさっさと終わらせるつもりでしたが、Linux版のXAMPPは64bitしか公開されていません。

すっかり忘れていたのですが、Raspberry Piは32bit。あ、詰んだ。

環境作りに何かと苦戦しましたし、雪で会社から早く帰って来たので自分用にもメモ

として残しておきます。

サーバやSQLサーバのインストールなどは全てRaspbian標準のレポジトリからapt-getしたので、最新版ではないものがインストールされている場合がありますがご了承ください。

環境

Raspberry Pi3 ModelB

OS:RASPBIAN STRETCH WITH DESKTOP(2017年11月29日にリリースされたもの)

インストールするもの

Apache 2

PHP 7.0

MySQL(MariaDB)

Tor

WordPress

手順1 サーバのリスト入手と更新

まずは以下のコマンドでapt-getが利用するサーバ情報の入手と更新を行います。

sudo apt-get update
sudo apt-get upgrade

2018年1月22日段階では上記更新を行わなかった際、Torのインストールに失敗しました。

手順2 Apache2のインストールと起動

以下のコマンドでApache2のインストールを行います。

sudo apt-get -y install apache2

 問題なくインストールすることができれば、ブラウザで

http://localhostもしくはhttp://[Raspberry PiのIPアドレス]でテストページが表示されます。

手順2 PHPのインストール

以下のコマンドでPHPのインストールを行います。

sudo apt-get -y install php

 「php -v」コマンドで現在のPHPバージョンが確認できます。

手順3 Apache2とPHPの連携確認

上記手順を踏めばおそらくApacheとPHPの連携は完了しています。

テストとして以下のPHPプログラムをindex.phpとし、/var/www/html/に配置します。

index.php

<?php
    phpinfo();
?>

 http://localhost/index.phpもしくはhttp://[Raspberry PiのIPアドレス]/index.phpで以下の様なページが表示されると思います。さらに下にはPHPに関する様々な記述がされているはずです。

index.phpの中に記述したphpinfo()関数によって表示される上記情報は攻撃者にとって有益な情報が含まれる可能性があります。このテストが完了すればindex.phpは削除してください。

手順4 MySQL(MariaDB)のインストール

以下のコマンドでMySQL(MariaDB)のインストールを行います。

sudo apt-get -y install mysql-server

 コマンド上ではmysql-serverとなっていますが、実際にインストールされるのはMySQLと同様の機能を持つMariaDBです。

あ、もうMySQLって書かずにMariaDBって書きますね。

手順5 MariaDBの設定

このMariaDBがなかなかくせ者。

間違っているかもしれませんが、MariaDBのrootユーザにパスワードを割り当ててもでたらめなパスワードでデータベースにアクセスできてしまいます。

どうやらこれはMariaDBのセキュリティ対策(?)なようで、Linuxのrootユーザからアクセスされた時のみMariaDBのrootユーザでアクセスできるんだそう。

そのため、MariaDBのrootユーザへパスワードを割り当てることに意味はないのかな？

このへんよく分かってないのですが、MariaDBにroot以外のユーザを作ればとりあえず何とかなります。

まずはMariaDBにログインします。

sudo mysql -u root

 これだけでログインできるはずです。

続いてWordPressで利用するデータベースとユーザを作ります。

データベースの作成
CREATE DATABASE database_name; 
「database_name」の箇所に好きなデータベース名を入れます。
とりあえず「test100」という名前にしときます。
CREATE DATABASE test100;

ユーザの作成
CREATE USER 'name'@'localhost' IDENTIFIED BY 'password';
例えば「abc」というユーザでパスワードが「takuan」だとすると以下の様になります。
CREATE USER 'abc'@'localhost' IDENTIFIED BY 'takuan';

続いてユーザにデータベースの操作権を与えます。
GRANT ALL PRIVILEGES ON database_name.* TO 'name'@'localhost';
私の場合は
GRANT ALL PRIVILEGES ON test100.* TO 'abc'@'localhost';
となるわけです。

最後に上記の設定を反映しましょう。
FLUSH PRIVILEGES;

 これでMariaDBの設定は終わりです。

手順6 Torのインストール

以下のコマンドでTorのインストールを行います。

sudo apt-get -y install tor

 続いて/etc/tor/torrcを開き以下のコメント行を有効化します。

#HiddenServiceDir /var/lib/tor/hidden_service/
#HiddenServicePort 80 127.0.0.1:80

↓

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:80

 編集が終わればTorを再起動します。

sudo systemctl restart tor

 再起動が完了すれば、/var/lib/tor/hidden_service/に「hostname」と「private_key」というファイルが作成されています。

「hostname」ファイルを開くと[ランダム文字列].onionという文字列が記述されています。

Tor BrowserなどでそのURLにアクセスし、Apacheのテストページが表示されていることを確認してください。

※Torが動作しているかは以下のコマンドを実行すると確認できます。

ps auxw | grep tor

手順7 WordPressのインストール

とりあえずWordPressを公式サイトからダウンロードしてZIPを解凍します。

http://文字列.onionでブログのトップページを表示したい場合はZIP解凍後に展開されるフォルダの中身を/var/www/html/に配置します。

http://文字列.onion/任意の文字列でブログのトップページを表示したい場合はZIP解凍後に展開される「wordpress」というフォルダを任意の文字列に変更してフォルダごと/var/www/htmlに配置します。

Tor Browserなどでアクセスすると、、、。

こんなページが。あ、PHPとMariaDB連携させるの忘れた。

※もしApacheのテストページが表示される場合はキャッシュが原因だと思うのでURLにindex.phpを付けて読み込みすると大丈夫だと思います。

と、いうことで以下のコマンドで連携させます。

sudo apt-get -y install php-mysql

無事インストールできたら、

/etc/php/7.0/apache2/php.ini

の最後に

extension=mysql.so

を追加します。

apacheを再起動すればWordPressのインストール画面が現れます。

sudo systemctl restart apache2

「さあ、始めましょう！」をクリックすると必要な情報が求められます。

変更する必要があるのは「データベース名」「ユーザ名」「パスワード」だけで問題ありません(今回の場合は)。

MariaDBの設定で作成したものを入れるだけで問題ありません。画像には私の例を記述しました。

送信ボタンを押すと、、、。

書き込み権限がないそうですね。

/etc/apache2/apache2.confを見ると以下の様に記述されています。

apacheを動作させているユーザ名とグループ名を調べます。

ps auxw | grep apache2

 コマンドを実行すると「root」や「www-data」「pi」が動作させていることが分かります。

以下のコマンドをWordPressのファイルが配置された場所で実行します。

sudo chown -R www-data:www-data ./

これで先ほどのエラー画面は出ないはずです。

後は何も問題なくいくはずです。