Kali Linux 2021.1でSpiderFootを使用しターゲットに対して諜報活動する

Kali Linux 2021.1でSpiderFootを使用しターゲットに対して諜報活動することについて解説しています。

SpiderFoot(https://github.com/smicallef/spiderfoot)は、オープンソースインテリジェンス(OSINT,諜報活動)の自動化ツールです。SpiderFootでターゲットのスキャンを行うと、IPアドレスドメイン/サブドメイン名、ホスト名、ネットワークサブネット(CIDR)、ASN、電子メールアドレス、電話番号などが取得できます。

SpiderFootは、Kali Linux 2021.1にプリインストール(標準インストール)されています。

なお、サイバーセキュリティ対策や情報セキュリティ教育が目的でツールを利用しますので、悪用・違法行為が目的はございません。ツールを利用することで発生したトラブルや損失、損害(ウイルス感染など)に対して、一切責任を負いません。

■PC環境

Windows 10 Pro

VirtualBox6.1

Kali Linux 2021.1(Debian (64-bit),Python3.9.2)

■Kali Linuxを起動する

クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。

■インストール確認

クリックすると、Kali Linuxにログインできますので、デスクトップ画面の上にKali Linuxのマークがありますので、こちらをクリックすると、プルダウンメニューが表示されます。メニューから「01-Information Gathering」をクリックします。

クリックすると、「OSINT Analysis」という項目があるのでこちらをクリックします。クリックすると、さらにメニューが表示され「spiderfoot」が確認できますので、こちらをクリックします。

クリックすると、ヘルプが表示されます。これでインストール確認は完了となります。今回はSpiderFootのバージョン3.0を使用します。

■SpiderFootを起動する

ヘルプを確認後、ターミナルを起動します。

$ifconfig

起動後、上記のコマンドを入力し、Enterキーを押します。ネットワーク環境の確認を行います。

Enterキーを押すと、ネットワーク環境が出力されます。「eth0:」の「inet:」にIPアドレスが表示されますので、これを記録しておきます。

sudo spiderfoot -l xx.x.x.x:80<ipアドレス>

その後、上記のコマンドを入力し、Enterキーを押します。ipアドレスの後ろには「:80」を記述します。IPアドレスで、ポートが開かれた状態(80)にし、そこでspiderfootを起動させます。

Enterキーを押すと、「Starting web server(Webサーバーの起動 )」が開始されます。開始後、「Use SpiderFoot by starting your web browser of choice and browse to http://xxx.x.x.xx:80(お好みのWebブラウザを起動し、http://xxx.x.x.xx:80 にアクセスしてSpiderFootをご利用ください。)」と出力されますので、URL(ipアドレス)をコピーし、Webブラウザを起動します。起動後、アドレスバーにコピーしたURL(ipアドレス)を貼り付けてアクセスします。

アクセスすると、「SpiderFoot」が表示されます。

表示後、「No scan history.There is currently no history of previously run scans. Please click 'New Scan' to initiate a new scan.スキャン履歴がない。現在、以前に実行したスキャンの履歴はありません。新しいスキャンを開始するには、「新しいスキャン」をクリックしてください。」と書かれていますので、右側のハンバーガーメニューをクリックします。

クリックすると、メニューが表示されますので、「New Scan」をクリックします。

クリックすると、「New Scan」のページが表示されますので、「Scan Name(スキャンの名前)」、「Seed Target(対象となるターゲット)」を入力します。ターゲットは、ドメイン名やIPアドレス、メールアドレス、電話番号などを設定できます。

ページの下にスクロールすると「By Use Case(ユースケース別 )」、「By Required Data(必要なデータ別)」、「By Module(モジュール別)」の項目に分かれています。

「By Use Case(ユースケース別 )」では、

■All(全て) Get anything and everything about the target. All SpiderFoot modules will be enabled (slow) but every possible piece of information about the target will be obtained and analysed.(ターゲットに関するあらゆる情報を取得します。すべてのSpiderFootモジュールが有効になりますが(遅い)、ターゲットに関するありとあらゆる情報が取得され、分析されます。) ■Footprint(フットプリント) Understand what information this target exposes to the Internet. Gain an understanding about the target's network perimeter, associated identities and other information that is obtained through a lot of web crawling and search engine use.(ターゲットがどのような情報をインターネットに公開しているかを理解します。 ターゲットのネットワーク・ペリメーター、関連するアイデンティティ、その他多くのウェブ・クローリングや検索エンジンの使用によって得られる情報について理解を深める。) ■Investigate(調査) Best for when you suspect the target to be malicious but need more information. Some basic footprinting will be performed in addition to querying of blacklists and other sources that may have information about your target's maliciousness.(ターゲットが悪意を持っていると思われるが、より多くの情報が必要な場合に最適です。 ブラックリストやターゲットの悪意に関する情報を持つ他のソースへの問い合わせに加えて、いくつかの基本的なフットプリントを実行します。) ■Passive(受動態) When you don't want the target to even suspect they are being investigated. As much information will be gathered without touching the target or their affiliates, therefore only modules that do not touch the target will be enabled.(対象者に調査されていることを疑われたくない場合。ターゲットやその関連会社に触れることなく多くの情報が収集されるため、ターゲットに触れないモジュールのみが有効になります。)

上記のいずれかから選択できます。

「By Required Data(必要なデータ別)」では、

上記のように、ドメイン名やメールアドレス、IPアドレス、会社名など様々な項目からオープンソースインテリジェンス(OSINT,諜報活動)に必要な情報を選択し、スキャンすることができます。

「By Module(モジュール別)」では、

例えば、ホスト/ドメインIPアドレスが悪意のあるものかどうかをチェックできるモジュールや、ターゲットに関連する潜在的Amazon S3バケットを検索し、そのコンテンツのリストアップできるモジュールなどを選択し、オープンソースインテリジェンス(OSINT,諜報活動)を行うことができます。

必要なケースなどに応じて、どのようにオープンソースインテリジェンス(OSINT,諜報活動)を選択した後は、ページ下の「Run Scan」ボタンをクリックすると、対象となるターゲットのスキャンが開始され、結果が出力されます。