$30 off During Our Annual Pro Sale. View Details »

ハニーポットで集める攻撃手法-seccamp2016

junk_coken
August 10, 2016

 ハニーポットで集める攻撃手法-seccamp2016

seccamp2016チューター成果報告-CTF妨害コンテンツ

junk_coken

August 10, 2016
Tweet

More Decks by junk_coken

Other Decks in Technology

Transcript

  1. ハニーポットで集める
    攻撃手法
    チューター成果報告
    @junk_coken(2015修了生)

    View Slide

  2. 自己紹介
    •@junk_coken
    •放送大学3年
    •セキュリティ・キャンプ全国大会2015卒
    •ハニーポッターになりたい見習い

    View Slide

  3. ハニーポットの環境
    • 使用ハニーポット
    NginxとWordpressによるHTTPハニーポット
    &
    CowrieによるSSHハニーポット
    • 使用機器
    Raspberry Pi2 と Raspbian

    View Slide

  4. WordPressへの攻撃

    View Slide

  5. IP - - [日時] "GET /feed/ HTTP/1.1" 200 17309 "-" "-" "-" "-"
    IP - - [日時] “POST /xmlrpc.php HTTP/1.0” 499 0

    pingback.ping
    攻撃対象のURL
    記事URL
    "
    IP - - [日時] "POST /xmlrpc.php HTTP/1.0" 499 0
    "
    pingback.ping
    攻撃対象のURL
    記事URL
    "

    View Slide

  6. xmlrpc.phpを狙ったDDoS攻撃
    •成功すると1リクエストにつき1回踏み台アクセスできる
    • WordPressにデフォルトで存在していて、
    対策しなければ成功される
    他プラグインで使わないならアクセス制限、
    またはプラグインで対策

    View Slide

  7. IP - - [日時] "GET //wp-login.php HTTP/1.1" 200 2746 "-" "-"
    IP - - [日時] "GET /?author=1 HTTP/1.1" 200 23660 "-" "-“
    IP - - [日時] "GET /?author=2 HTTP/1.1" 404 7444 "-" "-" "-"
    IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-"
    "log=user&pwd=219&wp-submit=Login&
    redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A"
    IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-"
    "log=user&pwd=admin&wp-submit=Login&
    redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A"
    IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-" "-"
    "log=user&pwd=admin123&wp-submit=Login&
    redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A"

    View Slide

  8. IDを取得しログインページへの辞書攻撃
    • authorというクエリでユーザ名がわかる
    • ユーザ名は秘匿情報ではないことを改めて思い知る
    •パスワード設定の大切さもわかる
    全てのユーザ名を見られたくない場合、
    アクセス制限推奨

    View Slide

  9. SSHサーバへの攻撃

    View Slide

  10. SSHサーバ型ハニーポットCowrie
    期間
    •2016年1月15日~7月28日までの約半年間
    取得ログ数
    •アクセス数60,037件
    •マルウェア約200種類(ハッシュ値が同一でないもの)

    View Slide

  11. Cowrie -ユーザ名TOP10
    Kippo-Graphより

    View Slide

  12. Cowrie -パスワードTOP10
    Kippo-Graphより

    View Slide

  13. Cowrie –国別TOP10
    CN
    49%
    US
    12%
    RU
    7%
    VN
    6%
    FR
    5%
    KR
    5%
    IN
    5%
    JP
    4%
    UA
    4%
    NL
    3%
    CN
    US
    RU
    VN
    FR
    KR
    IN
    JP
    UA
    NL

    View Slide

  14. Cowrie -ttylog
    •ログイン成功されると大体マルウェアを放り込まれる。
    • catコマンドでバイナリを直接放り込まれる
    • たまにwgetでも
    ~# cat > /tmp/malware
    binary…
    ~# cd /tmp/
    /tmp# chmod 777 malware
    /tmp# ./malware &
    /tmp# rm malware

    View Slide

  15. おまけ
    Cowrieを使おう!

    View Slide

  16. Cowrieのどこがいいの?
    •SSHハニーポットKippoの改良版
    • Kippoのエミュレーション能力の不足を補っている
    例えば・・・
    $ echo -n test

    Kippo
    $ -n test
    Cowrie
    $ test
    $ cat >/tmp/hoge

    Kippo
    exec request failed on channel 0
    Cowrie
    (正常に動作)

    View Slide

  17. Cowrieのどこがいいの?
    充実しているKippoのアナライザ等をある程度使える
    •Kippo-Graph
    http://bruteforce.gr/kippo-graph
    •Kippo2ElasticSearch & Kibana
    http://bruteforce.gr/kippo2elasticsearch
    https://www.elastic.co/products/kibana
    また、最近Virustotalと連携できるようになった

    View Slide

  18. ご清聴ありがとうございました

    View Slide