Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ハニーポットで集める攻撃手法-seccamp2016
Search
junk_coken
August 10, 2016
Technology
2
1k
ハニーポットで集める攻撃手法-seccamp2016
seccamp2016チューター成果報告-CTF妨害コンテンツ
junk_coken
August 10, 2016
Tweet
Share
More Decks by junk_coken
See All by junk_coken
HTTPSハニポとFingerprint
junk_coken
1
2.1k
6/14総サイLT~ハニーポットを作ってる話~
junk_coken
0
1.9k
ハニーポットで捕らえるWordPressへの攻撃
junk_coken
1
3.9k
Other Decks in Technology
See All in Technology
S3アクセス制御の設計ポイント
tommy0124
3
200
下手な強制、ダメ!絶対! 「ガードレール」を「檻」にさせない"ガバナンス"の取り方とは?
tsukaman
2
460
複数サービスを支えるマルチテナント型Batch MLプラットフォーム
lycorptech_jp
PRO
1
880
Aurora DSQLはサーバーレスアーキテクチャの常識を変えるのか
iwatatomoya
1
1.2k
LLMを搭載したプロダクトの品質保証の模索と学び
qa
0
1.1k
テストを軸にした生き残り術
kworkdev
PRO
0
210
Evolución del razonamiento matemático de GPT-4.1 a GPT-5 - Data Aventura Summit 2025 & VSCode DevDays
lauchacarro
0
210
スクラムガイドに載っていないスクラムのはじめかた - チームでスクラムをはじめるときに知っておきたい勘所を集めてみました! - / How to start Scrum that is not written in the Scrum Guide 2nd
takaking22
1
150
エンジニアが主導できる組織づくり ー 製品と事業を進化させる体制へのシフト
ueokande
1
100
【NoMapsTECH 2025】AI Edge Computing Workshop
akit37
0
230
なぜスクラムはこうなったのか?歴史が教えてくれたこと/Shall we explore the roots of Scrum
sanogemaru
5
1.7k
slog.Handlerのよくある実装ミス
sakiengineer
4
460
Featured
See All Featured
The Language of Interfaces
destraynor
161
25k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Unsuck your backbone
ammeep
671
58k
Why You Should Never Use an ORM
jnunemaker
PRO
59
9.5k
Embracing the Ebb and Flow
colly
87
4.8k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
9
810
Thoughts on Productivity
jonyablonski
70
4.8k
Code Review Best Practice
trishagee
71
19k
Visualization
eitanlees
148
16k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.9k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
229
22k
Transcript
ハニーポットで集める 攻撃手法 チューター成果報告 @junk_coken(2015修了生)
自己紹介 •@junk_coken •放送大学3年 •セキュリティ・キャンプ全国大会2015卒 •ハニーポッターになりたい見習い
ハニーポットの環境 • 使用ハニーポット NginxとWordpressによるHTTPハニーポット & CowrieによるSSHハニーポット • 使用機器 Raspberry Pi2
と Raspbian
WordPressへの攻撃
IP - - [日時] "GET /feed/ HTTP/1.1" 200 17309 "-"
"-" "-" "-" IP - - [日時] “POST /xmlrpc.php HTTP/1.0” 499 0 “<?xmlversion=¥x221.0¥x22?><methodCall> <methodName>pingback.ping</methodName><params><param> <value><string>攻撃対象のURL</string></value></param> <param><value><string>記事URL</string></value></param> </params></methodCall>" IP - - [日時] "POST /xmlrpc.php HTTP/1.0" 499 0 "<?xmlversion=¥x221.0¥x22?><methodCall> <methodName>pingback.ping</methodName><params><param> <value><string>攻撃対象のURL</string></value></param> <param><value><string>記事URL</string></value></param> </params></methodCall>"
xmlrpc.phpを狙ったDDoS攻撃 •成功すると1リクエストにつき1回踏み台アクセスできる • WordPressにデフォルトで存在していて、 対策しなければ成功される 他プラグインで使わないならアクセス制限、 またはプラグインで対策
IP - - [日時] "GET //wp-login.php HTTP/1.1" 200 2746 "-"
"-" IP - - [日時] "GET /?author=1 HTTP/1.1" 200 23660 "-" "-“ IP - - [日時] "GET /?author=2 HTTP/1.1" 404 7444 "-" "-" "-" IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-" "log=user&pwd=219&wp-submit=Login& redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A" IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-" "log=user&pwd=admin&wp-submit=Login& redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A" IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-" "-" "log=user&pwd=admin123&wp-submit=Login& redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A"
IDを取得しログインページへの辞書攻撃 • authorというクエリでユーザ名がわかる • ユーザ名は秘匿情報ではないことを改めて思い知る •パスワード設定の大切さもわかる 全てのユーザ名を見られたくない場合、 アクセス制限推奨
SSHサーバへの攻撃
SSHサーバ型ハニーポットCowrie 期間 •2016年1月15日~7月28日までの約半年間 取得ログ数 •アクセス数60,037件 •マルウェア約200種類(ハッシュ値が同一でないもの)
Cowrie -ユーザ名TOP10 Kippo-Graphより
Cowrie -パスワードTOP10 Kippo-Graphより
Cowrie –国別TOP10 CN 49% US 12% RU 7% VN 6%
FR 5% KR 5% IN 5% JP 4% UA 4% NL 3% CN US RU VN FR KR IN JP UA NL
Cowrie -ttylog •ログイン成功されると大体マルウェアを放り込まれる。 • catコマンドでバイナリを直接放り込まれる • たまにwgetでも ~# cat >
/tmp/malware binary… ~# cd /tmp/ /tmp# chmod 777 malware /tmp# ./malware & /tmp# rm malware
おまけ Cowrieを使おう!
Cowrieのどこがいいの? •SSHハニーポットKippoの改良版 • Kippoのエミュレーション能力の不足を補っている 例えば・・・ $ echo -n test ↓
Kippo $ -n test Cowrie $ test $ cat >/tmp/hoge ↓ Kippo exec request failed on channel 0 Cowrie (正常に動作)
Cowrieのどこがいいの? 充実しているKippoのアナライザ等をある程度使える •Kippo-Graph http://bruteforce.gr/kippo-graph •Kippo2ElasticSearch & Kibana http://bruteforce.gr/kippo2elasticsearch https://www.elastic.co/products/kibana また、最近Virustotalと連携できるようになった
ご清聴ありがとうございました