Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ハニーポットで集める攻撃手法-seccamp2016
Search
junk_coken
August 10, 2016
Technology
2
890
ハニーポットで集める攻撃手法-seccamp2016
seccamp2016チューター成果報告-CTF妨害コンテンツ
junk_coken
August 10, 2016
Tweet
Share
More Decks by junk_coken
See All by junk_coken
HTTPSハニポとFingerprint
junk_coken
1
1.9k
6/14総サイLT~ハニーポットを作ってる話~
junk_coken
0
1.8k
ハニーポットで捕らえるWordPressへの攻撃
junk_coken
1
3.7k
Other Decks in Technology
See All in Technology
Docker互換のセキュアなコンテナ実行環境「Podman」超入門
devops_vtj
6
3.2k
What if...? 처음부터 다시 LLM 어플리케이션을 개발한다면
huffon
0
1k
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
280
Flutter研修【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
160
[I/O Extended Android 2024] What`s new in Android 2024
kyeongwan
0
220
[NIKKEI Tech Talk]Bias for Action!! 実践から学ぶための仕組とコミュニティ / Community for Practice and Learning
kanamasa
0
270
Luupの開発組織におけるインシデントマネジメントの変遷 ver.RoadtoSRENEXT2024
grimoh
1
270
AOAI Dev Day - Opening Session
yoshidashingo
2
440
データ分析を支える技術 生成AI再入門
ishikawa_satoru
0
380
Github Actions 로 Android 팀의 효율성 극대화
hadonghyun
0
160
E2Eテスト自動化プラットフォームにおけるAIの活用
shift_evolve
0
190
OSSコミットしてZennの課題を解決した話
dyoshikawa1993
0
150
Featured
See All Featured
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
34
1.9k
Navigating Team Friction
lara
181
13k
Embracing the Ebb and Flow
colly
81
4.3k
10 Git Anti Patterns You Should be Aware of
lemiorhan
652
58k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
12
3.8k
Building Your Own Lightsaber
phodgson
101
5.9k
Pencils Down: Stop Designing & Start Developing
hursman
118
11k
Stop Working from a Prison Cell
hatefulcrawdad
266
20k
A better future with KSS
kneath
231
17k
How To Stay Up To Date on Web Technology
chriscoyier
784
250k
Teambox: Starting and Learning
jrom
130
8.6k
Designing the Hi-DPI Web
ddemaree
276
34k
Transcript
ハニーポットで集める 攻撃手法 チューター成果報告 @junk_coken(2015修了生)
自己紹介 •@junk_coken •放送大学3年 •セキュリティ・キャンプ全国大会2015卒 •ハニーポッターになりたい見習い
ハニーポットの環境 • 使用ハニーポット NginxとWordpressによるHTTPハニーポット & CowrieによるSSHハニーポット • 使用機器 Raspberry Pi2
と Raspbian
WordPressへの攻撃
IP - - [日時] "GET /feed/ HTTP/1.1" 200 17309 "-"
"-" "-" "-" IP - - [日時] “POST /xmlrpc.php HTTP/1.0” 499 0 “<?xmlversion=¥x221.0¥x22?><methodCall> <methodName>pingback.ping</methodName><params><param> <value><string>攻撃対象のURL</string></value></param> <param><value><string>記事URL</string></value></param> </params></methodCall>" IP - - [日時] "POST /xmlrpc.php HTTP/1.0" 499 0 "<?xmlversion=¥x221.0¥x22?><methodCall> <methodName>pingback.ping</methodName><params><param> <value><string>攻撃対象のURL</string></value></param> <param><value><string>記事URL</string></value></param> </params></methodCall>"
xmlrpc.phpを狙ったDDoS攻撃 •成功すると1リクエストにつき1回踏み台アクセスできる • WordPressにデフォルトで存在していて、 対策しなければ成功される 他プラグインで使わないならアクセス制限、 またはプラグインで対策
IP - - [日時] "GET //wp-login.php HTTP/1.1" 200 2746 "-"
"-" IP - - [日時] "GET /?author=1 HTTP/1.1" 200 23660 "-" "-“ IP - - [日時] "GET /?author=2 HTTP/1.1" 404 7444 "-" "-" "-" IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-" "log=user&pwd=219&wp-submit=Login& redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A" IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-" "log=user&pwd=admin&wp-submit=Login& redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A" IP - - [日時] "POST //wp-login.php HTTP/1.1" 200 3732 "-" "-" "log=user&pwd=admin123&wp-submit=Login& redirect_to=http://URL/wp-admin/&testcookie=1¥x0D¥x0A"
IDを取得しログインページへの辞書攻撃 • authorというクエリでユーザ名がわかる • ユーザ名は秘匿情報ではないことを改めて思い知る •パスワード設定の大切さもわかる 全てのユーザ名を見られたくない場合、 アクセス制限推奨
SSHサーバへの攻撃
SSHサーバ型ハニーポットCowrie 期間 •2016年1月15日~7月28日までの約半年間 取得ログ数 •アクセス数60,037件 •マルウェア約200種類(ハッシュ値が同一でないもの)
Cowrie -ユーザ名TOP10 Kippo-Graphより
Cowrie -パスワードTOP10 Kippo-Graphより
Cowrie –国別TOP10 CN 49% US 12% RU 7% VN 6%
FR 5% KR 5% IN 5% JP 4% UA 4% NL 3% CN US RU VN FR KR IN JP UA NL
Cowrie -ttylog •ログイン成功されると大体マルウェアを放り込まれる。 • catコマンドでバイナリを直接放り込まれる • たまにwgetでも ~# cat >
/tmp/malware binary… ~# cd /tmp/ /tmp# chmod 777 malware /tmp# ./malware & /tmp# rm malware
おまけ Cowrieを使おう!
Cowrieのどこがいいの? •SSHハニーポットKippoの改良版 • Kippoのエミュレーション能力の不足を補っている 例えば・・・ $ echo -n test ↓
Kippo $ -n test Cowrie $ test $ cat >/tmp/hoge ↓ Kippo exec request failed on channel 0 Cowrie (正常に動作)
Cowrieのどこがいいの? 充実しているKippoのアナライザ等をある程度使える •Kippo-Graph http://bruteforce.gr/kippo-graph •Kippo2ElasticSearch & Kibana http://bruteforce.gr/kippo2elasticsearch https://www.elastic.co/products/kibana また、最近Virustotalと連携できるようになった
ご清聴ありがとうございました