seccamp2016チューター成果報告-CTF妨害コンテンツ
ハニーポットで集める攻撃手法チューター成果報告@junk_coken(2015修了生)
View Slide
自己紹介•@junk_coken•放送大学3年•セキュリティ・キャンプ全国大会2015卒•ハニーポッターになりたい見習い
ハニーポットの環境• 使用ハニーポットNginxとWordpressによるHTTPハニーポット&CowrieによるSSHハニーポット• 使用機器Raspberry Pi2 と Raspbian
WordPressへの攻撃
IP - - [日時] "GET /feed/ HTTP/1.1" 200 17309 "-" "-" "-" "-"IP - - [日時] “POST /xmlrpc.php HTTP/1.0” 499 0“pingback.ping攻撃対象のURL記事URL"IP - - [日時] "POST /xmlrpc.php HTTP/1.0" 499 0"pingback.ping攻撃対象のURL記事URL"
xmlrpc.phpを狙ったDDoS攻撃•成功すると1リクエストにつき1回踏み台アクセスできる• WordPressにデフォルトで存在していて、対策しなければ成功される他プラグインで使わないならアクセス制限、またはプラグインで対策
IP - - [日時] "GET //wp-login.php HTTP/1.1" 200 2746 "-" "-"IP - - [日時] "GET /?author=1 HTTP/1.1" 200 23660 "-" "-“IP - - [日時] "GET /?author=2 HTTP/1.1" 404 7444 "-" "-" "-"IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-""log=user&pwd=219&wp-submit=Login&redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A"IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-""log=user&pwd=admin&wp-submit=Login&redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A"IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-" "-""log=user&pwd=admin123&wp-submit=Login&redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A"
IDを取得しログインページへの辞書攻撃• authorというクエリでユーザ名がわかる• ユーザ名は秘匿情報ではないことを改めて思い知る•パスワード設定の大切さもわかる全てのユーザ名を見られたくない場合、アクセス制限推奨
SSHサーバへの攻撃
SSHサーバ型ハニーポットCowrie期間•2016年1月15日~7月28日までの約半年間取得ログ数•アクセス数60,037件•マルウェア約200種類(ハッシュ値が同一でないもの)
Cowrie -ユーザ名TOP10Kippo-Graphより
Cowrie -パスワードTOP10Kippo-Graphより
Cowrie –国別TOP10CN49%US12%RU7%VN6%FR5%KR5%IN5%JP4%UA4%NL3%CNUSRUVNFRKRINJPUANL
Cowrie -ttylog•ログイン成功されると大体マルウェアを放り込まれる。• catコマンドでバイナリを直接放り込まれる• たまにwgetでも~# cat > /tmp/malwarebinary…~# cd /tmp//tmp# chmod 777 malware/tmp# ./malware &/tmp# rm malware
おまけCowrieを使おう!
Cowrieのどこがいいの?•SSHハニーポットKippoの改良版• Kippoのエミュレーション能力の不足を補っている例えば・・・$ echo -n test↓Kippo$ -n testCowrie$ test$ cat >/tmp/hoge↓Kippoexec request failed on channel 0Cowrie(正常に動作)
Cowrieのどこがいいの?充実しているKippoのアナライザ等をある程度使える•Kippo-Graphhttp://bruteforce.gr/kippo-graph•Kippo2ElasticSearch & Kibanahttp://bruteforce.gr/kippo2elasticsearchhttps://www.elastic.co/products/kibanaまた、最近Virustotalと連携できるようになった
ご清聴ありがとうございました