$30 off During Our Annual Pro Sale. View Details »

ハニーポットで集める攻撃手法-seccamp2016

junk_coken
August 10, 2016
Technology
2
830

 ハニーポットで集める攻撃手法-seccamp2016

seccamp2016チューター成果報告-CTF妨害コンテンツ

junk_coken

August 10, 2016
Tweet

More Decks by junk_coken

See All by junk_coken
HTTPSハニポとFingerprint
junk_coken
1
1.7k
6/14総サイLT~ハニーポットを作ってる話~
junk_coken
0
1.7k
ハニーポットで捕らえるWordPressへの攻撃
junk_coken
1
3.5k

Other Decks in Technology

See All in Technology
DMMオンラインサロン エンジニア採用資料/ for-software-engineers
onlinesalon
0
3.6k
AutoGenで作るLLM Agen
peisuke
1
330
CI/CDプロセスの拡充からはじめる技術的負債の解消/Eliminate technical debt, starting with expanding CI/CD processes
onecareer_tech
0
610
Honoが良さそう🔥
is_ryo
0
180
APIシナリオテストツールとしてのrunn / 4 API testing tools
k1low
1
440
Making your Kubernetes-based log collection reliable & durable with Vector
palark
0
390
PKSHAでアルゴリズムを 社会実装する楽しみ
pkshadeck
1
110
Exploring Postgres VACUUM with the VACUUM Simulator
keiko713
5
710
つくばチャレンジ2023EX with PLATEAU@つくばセンター広場課題コース
tsukubachallenge
0
680
開発生産性向上へのコミットについて理解してもらうためのスライドテンプレートを作った話
ouchi2501
0
250
RealSense T265とD415とUFACTORY Lite 6で模倣学習の実験
hygradme
0
350
ミチビク株式会社エンジニアカンパニーデック
knsg16
0
2.2k

Featured

See All Featured
What’s in a name? Adding method to the madness
productmarketing
PRO
14
2.3k
Art Directing for the Web. Five minutes with CSS Template Areas
malarkey
197
11k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
656
120k
Robots, Beer and Maslow
schacon
154
7.7k
Building Effective Engineering Teams - LeadDev
addyosmani
22
1.2k
Design by the Numbers
sachag
272
18k
Teambox: Starting and Learning
jrom
125
8.2k
Bootstrapping a Software Product
garrettdimon
PRO
299
110k
Being A Developer After 40
akosma
52
580k
Principles of Awesome APIs and How to Build Them.
keavy
119
16k
The Art of Programming - Codeland 2020
erikaheidi
39
12k
The Pragmatic Product Professional
lauravandoore
23
5.4k

Transcript

  1. ハニーポットで集める
    攻撃手法
    チューター成果報告
    @junk_coken(2015修了生)

    View Slide

  2. 自己紹介
    •@junk_coken
    •放送大学3年
    •セキュリティ・キャンプ全国大会2015卒
    •ハニーポッターになりたい見習い

    View Slide

  3. ハニーポットの環境
    • 使用ハニーポット
    NginxとWordpressによるHTTPハニーポット
    &
    CowrieによるSSHハニーポット
    • 使用機器
    Raspberry Pi2 と Raspbian

    View Slide

  4. WordPressへの攻撃

    View Slide

  5. IP - - [日時] "GET /feed/ HTTP/1.1" 200 17309 "-" "-" "-" "-"
    IP - - [日時] “POST /xmlrpc.php HTTP/1.0” 499 0

    pingback.ping
    攻撃対象のURL
    記事URL
    "
    IP - - [日時] "POST /xmlrpc.php HTTP/1.0" 499 0
    "
    pingback.ping
    攻撃対象のURL
    記事URL
    "

    View Slide

  6. xmlrpc.phpを狙ったDDoS攻撃
    •成功すると1リクエストにつき1回踏み台アクセスできる
    • WordPressにデフォルトで存在していて、
    対策しなければ成功される
    他プラグインで使わないならアクセス制限、
    またはプラグインで対策

    View Slide

  7. IP - - [日時] "GET //wp-login.php HTTP/1.1" 200 2746 "-" "-"
    IP - - [日時] "GET /?author=1 HTTP/1.1" 200 23660 "-" "-“
    IP - - [日時] "GET /?author=2 HTTP/1.1" 404 7444 "-" "-" "-"
    IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-"
    "log=user&pwd=219&wp-submit=Login&
    redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A"
    IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-"
    "log=user&pwd=admin&wp-submit=Login&
    redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A"
    IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-" "-"
    "log=user&pwd=admin123&wp-submit=Login&
    redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A"

    View Slide

  8. IDを取得しログインページへの辞書攻撃
    • authorというクエリでユーザ名がわかる
    • ユーザ名は秘匿情報ではないことを改めて思い知る
    •パスワード設定の大切さもわかる
    全てのユーザ名を見られたくない場合、
    アクセス制限推奨

    View Slide

  9. SSHサーバへの攻撃

    View Slide

  10. SSHサーバ型ハニーポットCowrie
    期間
    •2016年1月15日~7月28日までの約半年間
    取得ログ数
    •アクセス数60,037件
    •マルウェア約200種類(ハッシュ値が同一でないもの)

    View Slide

  11. Cowrie -ユーザ名TOP10
    Kippo-Graphより

    View Slide

  12. Cowrie -パスワードTOP10
    Kippo-Graphより

    View Slide

  13. Cowrie –国別TOP10
    CN
    49%
    US
    12%
    RU
    7%
    VN
    6%
    FR
    5%
    KR
    5%
    IN
    5%
    JP
    4%
    UA
    4%
    NL
    3%
    CN
    US
    RU
    VN
    FR
    KR
    IN
    JP
    UA
    NL

    View Slide

  14. Cowrie -ttylog
    •ログイン成功されると大体マルウェアを放り込まれる。
    • catコマンドでバイナリを直接放り込まれる
    • たまにwgetでも
    ~# cat > /tmp/malware
    binary…
    ~# cd /tmp/
    /tmp# chmod 777 malware
    /tmp# ./malware &
    /tmp# rm malware

    View Slide

  15. おまけ
    Cowrieを使おう!

    View Slide

  16. Cowrieのどこがいいの?
    •SSHハニーポットKippoの改良版
    • Kippoのエミュレーション能力の不足を補っている
    例えば・・・
    $ echo -n test

    Kippo
    $ -n test
    Cowrie
    $ test
    $ cat >/tmp/hoge

    Kippo
    exec request failed on channel 0
    Cowrie
    (正常に動作)

    View Slide

  17. Cowrieのどこがいいの?
    充実しているKippoのアナライザ等をある程度使える
    •Kippo-Graph
    http://bruteforce.gr/kippo-graph
    •Kippo2ElasticSearch & Kibana
    http://bruteforce.gr/kippo2elasticsearch
    https://www.elastic.co/products/kibana
    また、最近Virustotalと連携できるようになった

    View Slide

  18. ご清聴ありがとうございました

    View Slide