悪性トラフィック解析をもっと便利に!EK Fiddleの使い方
このGithubに書かれた通りにEKFiddleをセットアップしておきます。
ちなみに設定ファイルのパスの問題で、CustomRules.csの読み込みがなかなか成功しませんでした。
解決策:
(OptionsのScriptタブをC#かつToolsタブのText Editorをnotepad.exeにしておく前提で)
1. Fiddlerを開く
2. FiddlerScriptというタブをクリックします
3. CustomRules.csのコードをコピーし、ここのコードを置き換える
4. 「Save Script」ボタンを押し、コードを保存する
5. Fiddlerを再起動する
これでOKのはず
Fiddlerを再起動した際にWindow Titleに「EKFiddle」という文字が加わりました。
画面全体:
このトラフィックは、ドライブバイダウンロード攻撃のトラフィックであり、エクスプロイトキットを特定したいと思います。
まず、以下のようにRun Regexesをクリックします。
Tool -> Regexes -> Run Regexes
すると、画面が変わります。
そこで、エクスプロイトキットはRIG EKと特定できます。
また、ドライブバイダウンロード攻撃の経過(Landing page, flash exploit, payload)も解析してくれるので、非常に便利です。