Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
ハニーポッターの興味を引く攻撃事例紹介& Web サーバのログ調査方法紹介
Kazuaki Morihisa
June 04, 2017
Technology
5
2.9k
ハニーポッターの興味を引く攻撃事例紹介& Web サーバのログ調査方法紹介
2017年6月4日 第3回tktkセキュリティ勉強会@高槻市立生涯学習センター発表資料
https://tktksec.connpass.com/event/52665/
Kazuaki Morihisa
June 04, 2017
Tweet
Share
More Decks by Kazuaki Morihisa
See All by Kazuaki Morihisa
まだ見ぬ攻撃を求めて
morihi_soc
1
720
ハニーポットのログを国別で傾向分析してみた
morihi_soc
1
1.5k
ハニーポットで見る攻撃の検知傾向 〜秘密のファイル〜
morihi_soc
2
1.5k
あの脆弱性は今 ~ハニーポットで追ってみた~
morihi_soc
5
2.7k
ハニーポット活用事例紹介
morihi_soc
0
900
ハニーポットの育てかた
morihi_soc
0
1k
Satori 系ボットネット観察 Attack from Japan
morihi_soc
0
1.5k
ハニーポットと脆弱性スキャン
morihi_soc
2
1.1k
Drupalgeddon2 をハニーポットで観察してみた
morihi_soc
1
990
Other Decks in Technology
See All in Technology
Red Hat Enterprise Linux 9のリリースノートを読む前に知りたい最近のキーワードをまとめて復習
moriwaka
0
360
Cloud Foundryの移行先はどこか? オープンソースPaaS探し
kolinz
0
350
QuickSight 触ってみた
tomuro
0
370
Settlement simulation testing to ensure correct settlement processing
applepine1125
2
1.1k
ここが好きだよAWS管理ポリシー_devio2022/i_am_iam_lover
yukihirochiba
0
3.1k
Red Hat Partner Training Portal のご紹介 / Red Hat Partner Training Portal Introduction
rhpej
0
110
VS Code Meetup #21 - もう一度知りたい基礎編 - ファイル操作、コーディングの基本編
74th
0
190
森林情報のオープンデータと QGISでの利用
kou_kita
0
190
やってみたLT会 Fleet Managerのススメ
yukiiiiikuma
PRO
0
380
聊聊 Cgo 的二三事
david74chou
0
330
DMMプラットフォーム ゼロから始めるKubernetes運用 課題と改善
pospome
0
400
テスト自動化を最速で軌道に乗せるために
nozomiito
0
140
Featured
See All Featured
Atom: Resistance is Futile
akmur
255
20k
Code Review Best Practice
trishagee
44
9.7k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
15
980
How to train your dragon (web standard)
notwaldorf
60
3.9k
Docker and Python
trallard
27
1.6k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
236
1.1M
Optimizing for Happiness
mojombo
365
64k
Designing on Purpose - Digital PM Summit 2013
jponch
106
5.7k
Product Roadmaps are Hard
iamctodd
35
6.8k
Git: the NoSQL Database
bkeepers
PRO
415
59k
YesSQL, Process and Tooling at Scale
rocio
157
12k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
226
15k
Transcript
݄ୈճULULηΩϡϦςΟษڧձ!ߴ௬ࢢཱੜֶ֔शηϯλʔ IUUQTULULTFDDPOOQBTTDPNFWFOU ϋχʔϙολʔͷڵຯΛҾ͘߈ܸࣄྫհ 8FCαʔόͷϩάௐࠪํ๏հ !NPSJIJ@TPD
XIPBNJ w ٱত !NPSJIJ@TPD w ຊۀηΩϡϦςΟΤϯδχΞɾΞφϦετ w झຯͰϋχʔϙοτͷӡ༻Λ͢Δϋχʔϙολʔ w
ϒϩάˠIUUQXXXNPSJIJTPDOFU ˡϒϩάͷʮϋχʔϙοτ؍هʯ͕ ຊʹͳΓ·ͨ͠ ݄ൃച ిࢠॻ੶൛ແྉࢼಡ൛͋Γ·͢ ʮαΠόʔ߈ܸͷΛੳ͢Δ ϋχʔϙοτ؍هʯ ஶऀɿٱত ग़൛ɿलγεςϜ ࠓ·Ͱʹ͓ੈʹͳͬͨΠϕϯτ ɾ*5,FZT ݱ4FD$BQ ɾωοτϫʔΫύέοτΛಡΉձ Ծ ɾ/*4$αΠόʔϋϩΟϯ ɾ*OUFSOFU8FFL ɾ)BSEFOJOH 7BMVF$IBJO༏উ ɾTTNKQ ɾ"*4FD ɾULULηΩϡϦςΟษڧձˡ/&8
ϋχʔϙοτͱ w᠘ʹ͔͔ͬͨ߈ܸऀͷߦಈΛͭ·ͼΒ͔ʹ ͢ΔγεςϜ ߈ܸऀ͕ෆਖ਼ϩάΠϯ͢Δͱɾɾɾ
44)ϋχʔϙοτͷ؍ ྫ SSHϋχʔϙοτ(Kippo)Ͱ࠾औͨ͠ෆਖ਼ϩάΠϯޙͷܗ2 https://youtu.be/iFvLr55A5nU
ϋχʔϙολʔඞಡهࣄ w μʔΫ8FCͰͷαΠόʔ൜ࡑऀಉ࢜ͷೄுΓ૪͍ w τϨϯυϚΠΫϩηΩϡϦςΟϒϩά w IUUQCMPHUSFOENJDSPDPKQBSDIJWFT w ࣍ w
αΠόʔ൜ࡑऀΛ͓ͼ͖دͤΔϋχʔϙοτΛઃஔ w ʮσΟʔϓ8FCʯରʮද8FCʯ w μʔΫ8FC෦߅૪ w ݁ ͜ΜͳλΠτϧ͚ͭΒΕͨΒ ಡΉ͔͠ͳ͍ΑͶ
ࠓճͷςʔϚ JG ͕ࣗ͠ཧ͢Δαʔόʹ44)Ͱෆਖ਼ϩάΠϯ͞ΕͨΒɾɾɾ ͠8PSE1SFTTͷϒϩάΛվ͟Μ͞ΕͨΒɾɾɾ ͠8FCαʔόͷϩάΛௐࠪ͢Δඞཁ͕ग़͖ͯͨΒɾɾɾ
ڵຯΛҾ͍ͨϩά ࡉ͔͗ͯ͢ΘΒͳ͍44)ϋχʔϙοτฤ w 44)ϋχʔϙοτͰ߈ܸऀ͕ෆਖ਼ϩάΠϯͨ͋͠ͱ ࣮ߦͨ͠ίϚϯυΛهͰ͖Δ w ߈ܸऀʹΑͬͯૂ͍༷ʑɾɾɾ ΞΫηε੍ݶ
$αʔόԽ όοΫυΞΛࠐΉ αʔϏεఀࢭ աܹ σϞΛަ͑ͭͭհ
ΞΫηε੍ݶ w ϑΝΠΞΥʔϧ JQUBCMFT ͷઃఆΛมߋ w ߈ܸऀͷ*1ΞυϨε͔ΒUDQͷΞΫηεΛڐՄ w ͦͷଞͷUDQͷΞΫηεΛڋ൱
ˠਖ਼نͷཧऀ44)ͰϩάΠϯͰ͖ͳ͘ͳΔ ߈ܸऀͷ IP ΞυϨε
$αʔόԽ w ϘοτωοτͷߏΛ͓͓·͔ʹྨ͢Δͱ w $αʔό Ϙοτωοτͷ࢘ྩౝ w κϯϏ ϘοτωοτͷΫϥΠΞϯτͷҰ෦
˞$ɾɾɾ$$ $PNNBOEBOE$POUSPMͷུ κϯϏ κϯϏ κϯϏ $ ߈ܸର ᶅ߈ܸ ᶃࢦࣔ͘Ε ᶄ%P4߈ܸ͠Ζ
$αʔόԽ w 44)κϯϏԽ͢ΔͨΊʹ߈ܸ͞ΕΔ͜ͱ͕ଟ͍ w كʹɺ$αʔόԽΛૂͬͨϩάΠϯ͕͋Δ w QTZCOD ͍͞ͼʔ͑͵͠ʔ *3$αʔόιϑτΣΞͷ
ͭͰɺ*3$Ϙοτͷ੍ޚʹར༻͞ΕΔ߹͕͋Δ ͕ࣗཧ͍ͯ͠ΔαʔόͰɺೝ͍ͯ͠ͳ͍ϓϩηε͕ ϙʔτΛ։͚͍ͯͨΒ telnet ͯ͠ΈΔ͜ͱΛΦεεϝ͠·͢ɻ όφʔ͔Βใ͕ಘΒΕΔ͔͠Ε·ͤΜɻ
όοΫυΞΛࠐΉ w όοΫυΞɺ߈ܸऀ͕ΑΓ؆୯ʹ߈ܸରΛૢ࡞͢ ΔͨΊʹར༻͞ΕΔɻ ※OpenSSH όοΫυΞͷαϯϓϧ(sshbd5.5p1.diff ͷதͷҰ෦)
όοΫυΞΛࠐΉ w TTICEQEJ⒎ͷ༰ ػೳ w ϚελʔύεϫʔυΛՃ͢Δ w 44)ϩάΠϯ࣌ͷύεϫʔυΛอଘ͢Δ
ˠ߈ܸऀ͕͍ͭͰϩάΠϯՄೳʹͳΔ ˠϩάΠϯϢʔβͷύεϫʔυΛऔ͞ΕΔ
αʔϏεఀࢭ w ߈ܸऀʹͱͬͯअຐͳϓϩηεΛఀࢭ͢Δ͜ͱ͕͋Δ ᶃෆਖ਼ϩάΠϯ͢ΔͷҰਓ͚ͩͰͳ͍ ͔͠Εͳ͍ ᶄଞͷ߈ܸऀ͕ར༻͍ͯ͠ΔͰ͋Ζ͏ϓϩηεΛఀࢭ αΠόʔ൜ࡑऀؒͰʮ౪ਓʹਔٛ͋Γʯͷश׳ͳ͍Α͏Ͱ͢ɻ
աܹ w փᗙʹؼ͢ LJMM ˞࣮ߦ͍͚ͯ͠ͳ͍
աܹ w ͯ͢ͷϓϩηεʹ,*--γάφϧΛૹΔίϚϯυ ※kill ίϚϯυͷ man ͔ΒҾ༻
ڵຯΛҾ͍ͨϩά 8PSE1SFTT3&45"1*ฤ ϦΞϧϋχʔϙοτˠ ौ୩۠;Ε͍͋২ηϯλʔʹ݄ͯࡱӨ
ڵຯΛҾ͍ͨϩά 8PSE1SFTT3&45"1*ฤ w ݄͔Β߈ܸ͕ྲྀߦͨ͠ w 3&45"1*ͷॲཧʹෆඋ͕͋Γɺ8PSE1SFTTͷهࣄ Λվ͟Μ͞ΕΔ੬ऑੑ Ҿ༻ݩɿ8PSE1SFTTͷ੬ऑੑରࡦʹ͍ͭͯ *1"
IUUQTXXXJQBHPKQTFDVSJUZDJBESWVMXPSEQSFTTIUNM
ϋχʔϙολʔͷΈ w ੈؒͰྲྀߦ͍ͬͯΔͷʹɺͳ͔ͳ͔ϋχʔϙοτͰ ߈ܸΛݕͰ͖ͳ͍ɾɾɾ ˞ը૾Ҿ༻ݩɿ݄ॳΊͷෳͷࠃαΠτͷվ͟Μʹ͍ͭͯ·ͱΊͯΈͨ QJZPMPH IUUQEIBUFOBOFKQ,BOHP
߈ܸΛޭͤ͞Δʹஈ֊ඞཁ 8PSE1SFTTͷهࣄ*%औಘ ࢦఆͨ͠هࣄ*%ͷίϯςϯπΛվ͟Μ ˞ͨͩ͠ɺͦͦ߈ܸରͷ63-Ͱ 8PSE1SFTT͕ಈ͍͍ͯΔ͜ͱ͕લఏ ϋχʔϙοτ௨ৗɺ8PSE1SFTTͷ ใΛฦ͞ͳ͍ͷͰɺ߈ܸऀ͕ʹͨͲΓ ண͔ͳ͍ɻ ˠ8PSE1SFTTΛઃஔͯ͠ΈͨΒ˕
࣮ࡍͷ߈ܸͷྲྀΕ ˣ8PSE1SFTTͬͯΔͧ ࢲ(PPHMFCPUͰ͢ɻϖʔδΛݟ͍ͤͯͩ͘͞ɻ ࢲ(PPHMFCPUͰ͢ɻ هࣄ*%ͷҰཡΛऔಘ͠·͢ɻ QFSMϓϩάϥϜͰ͋Δ͜ͱ͕໌ɻ 1045ϝιουͰ+40/ܗࣜͷσʔλΛૹ৴ɻ ˣվ͟Μͯ͠Δͥ
վ͟Μྫ ϦϯΫʹͳ͍ͬͯΔˠ ؍ଌͨ͠ύέοτΛݩʹ ߈ܸΛ࠶ݱͯ͠ΈΔͱ ˞8PSE1SFTTͰݕূ
ϦϯΫઌͷαΠτΛௐࠪͯ͠Έͨ w ΫϨδοτΧʔυใͷൢച ͷ͍ٙͷ͋Δ αΠτ ͩͬͨɻ ˞ΞΫηε͚ͨͩ͠Ͱɺ࣮ࡍʹߪೖ͍ͯ͠ͳ͍ͨΊϑΟογϯάαΠτͳͷ͔ෆ໌
ඃঢ়گ w (PPHMFݕࡧ͢Δͱଟɺώοτͨ͠ɻ w ΞϯμʔάϥϯυϚʔέοτͷࠂͷՄೳੑ͕͋ Δ ਅِෆ໌ ɻ
8FCαʔόͷϩάௐࠪํ๏հ
8FCαʔόͷϩάௐࠪํ๏հ w ΞΫηεϩάΛௐࠪ͢Δ؆୯ͳͭͷํ๏ J-PH4DBOOFSΛ͏ HSFQGΛ͏
J-PH4DBOOFSͱ w ΣϒαΠτͷ߈ܸஹީݕग़πʔϧJ-PH4DBOOFS w IUUQTXXXJQBHPKQTFDVSJUZWVMOJ-PH4DBOOFS J-PH4DBOOFSɺΣϒαʔόͷΞΫηεϩά͔Β ߈ܸͱࢥΘΕΔࠟΛݕग़͢ΔͨΊͷπʔϧͰ͢ɻ ΣϒαΠτͷϩάΛղੳ͢Δ͜ͱͰ߈ܸͷࠟΛ ֬ೝͰ͖ɺҰ෦ͷࠟʹ͍ͭͯ߈ܸ͕ޭͨ͠Մ
ೳੑΛ֬ೝͰ͖·͢ɻ·ͨɺ44)'51αʔόͷϩ άʹରͯ͠ɺ߈ܸͱࢥΘΕΔࠟΛݕग़͢Δ͜ͱ ͕Ͱ͖·͢ɻ ˞*1"ͷ8FCαΠτ͔ΒҾ༻
J-PH4DBOOFS͍ํ ᶃ ᶄ ᶅ
J-PH4DBOOFS͍ํ w ສ݅ఔͷϩάͳΒඵͰղੳ͕ྃ͢Δ
J-PH4DBOOFSղੳ݁Ռ ྫ w ղੳ݁Ռɺ)5.-5959.-ܗࣜͰอଘՄೳ )5.-ܗࣜͷղੳ݁Ռɻ࣮ࡍ͜ͷԼʹ֤߈ܸͷղઆจɺ߈ܸͱఆͨ͠ϩάใ͕هࡌ͞Ε͍ͯΔɻ
HSFQG w J-PH4DBOOFSศརͳπʔϧ͕ͩݶք͋Δ ˠࣗͰ߈ܸͷϙΠϯτΛ·ͱΊ͓͍ͯͯҰׅݕࡧ͢Δ w HSFQͷʮGʯΦϓγϣϯɺࢦఆͨ͠ϑΝΠϧͷ ༰ʹ߹க͢ΔߦΛநग़͢Δ͜ͱ͕Ͱ͖Δɻ w ྫ BUUBDLTJHUYU
w HSFQGBUUBDLTJHUYUBDDFTT@MPH DHJGPSDF@SFEJSFDU $'*%& XQDPOpHQIQ
߈ܸͷϙΠϯτͱݴΘΕͯ·ͯ͠ɾɾɾ w ͦΜͳΈΛ͓࣋ͪͷ͋ͳͨʹɺ͏͚ͬͯͭͷॻ੶ ͕͋Γ·͢
ϋχʔϙοτ؍ه ॻ੶ w ୈষҎ߱ͷ߈ܸղઆͷ࠷ޙʹɺϩάௐࠪ࣌ͷΩʔ ϫʔυΛهࡌ͍ͯ͠·͢ɻ w ͜ΕΒͷΩʔϫʔυΛ༗ޮ׆༻͍͚ͯͨͩ͠Δͱɺ ϩάௐ͕ࠪΔͷͰͳ͍͔ͱࢥ͍·͢ɻ
·ͱΊ w 44)Ͱෆਖ਼ϩάΠϯͯ͘͠Δ߈ܸऀͷૂ͍ઍࠩສผ w JQUBCMFTʹΑΔΞΫηε੍ݶ w QTZCODΛར༻ͨ͠$αʔόԽ w 0QFO44)ͷόοΫυΞΛࠐΉ w
ଞਓͷ߈ܸπʔϧΛఀࢭͤ͞Δ w શϓϩηεఀࢭΛࢼΈΔաܹ w 8PSE1SFTT3&45"1*௨ৗͷϋχʔϙοτͰ ߈ܸΛݕ͢Δ͜ͱ͕͍͕͠ɺ߈ܸख๏Λཧղ͢Δ ͜ͱͰɺ߈ܸ௨৴Λิ͢Δ͜ͱ͕ՄೳʹͳΔɻ w ϩάௐࠪ࣌ʹʮJ-PH4DBOOFSʯʮHSFQGʯͳͲ ͷπʔϧΛ༗ޮ׆༻͠·͠ΐ͏ɻ