ハニーポット活用事例紹介

 ハニーポット活用事例紹介

2018年10月10日 総関西サイバーセキュリティLT大会(第11回)
@morihi_soc #sec_kansai #sosaisec #seckansai
https://sec-kansai.connpass.com/event/98346/

292a5fc0722cc2ddabf2b088a8f12793?s=128

Kazuaki Morihisa

October 10, 2018
Tweet

Transcript

  1. 2018೥10݄10೔ ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ)ൃදࢿྉ ϋχʔϙοτ׆༻ࣄྫ঺հ @morihi_soc

  2. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) XIPBNJ w ৿ٱ࿨ত !NPSJIJ@TPD  w ຊۀ͸ωοτϫʔΫηΩϡϦςΟΤϯδχΞɾΞφϦετ w झຯͰϋχʔϙοτͷӡ༻Λ͢Δϋχʔϙολʔ

    w ϒϩάˠIUUQTXXXNPSJIJTPDOFU w ϋχʔϙολʔٕज़ަྲྀձओ࠵ऀ w IUUQTIBOJQPUFDIDPOOQBTTDPN 2 ࠓ·Ͱʹ͓ੈ࿩ʹͳͬͨΠϕϯτ(Ұ෦) ɾ*5,FZT ݱ4FD$BQ  ɾωοτϫʔΫύέοτΛಡΉձ Ծ  ɾ/*4$αΠόʔϋϩ΢Οϯ ɾ*OUFSOFU8FFLɾ)BSEFOJOH ɾTTNKQɾ"*4FDɾ4UVEZ$PEF ɾULULηΩϡϦςΟษڧձ ɾ૯ؔ੢αΠόʔηΩϡϦςΟ-5େձ ɾ08"41/BHPZBɾ*P54FD+1 ग़൛ͨ͠ຊ΍ٕज़ಉਓࢽ NEW 2018೥10݄ˣ
  3. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ϋχʔϙοτ w ϋχʔϙοτ )POFZQPU ͱ͸ɺ͋͑ͯ߈ܸΛड͚Δ ͜ͱΛલఏͱͨ͠γεςϜͰ͢ɻ w ϋχʔϙοτΛӡ༻͢Δਓͷ͜ͱˠϋχʔϙολʔ w

    ϋχʔϙοτͰ͸༷ʑͳϩάΛऩूՄೳ w ूΊͨϩάΛͲͷΑ͏ʹ׆༻͢Δ͔͸ϋχʔϙολʔ ࣍ୈ͚ͩΕͲ΋ɻɻɻ 3 ϩάͷ׆༻ͯ͠·͔͢?
  4. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ·ͣ͸؆୯ʹͰ͖Δ͜ͱ͔Β w 8FCαʔόͷηΩϡϦςΟ޲্ʹ׆༻͢Δɻ w ۩ମతʹ͸ɺ߈ܸπʔϧ͔Βͷ௨৴Λڋ൱͢Δઃఆ 6TFS"HFOUΛ࢖͏ ͷ৘ใݯʹ͢Δɻ w αϯϓϧΛ͝༻ҙ͍ͨ͠·ͨ͠ɻ

    w IPOFZQPUOHVTFSBHFOU (JU)VC  IUUQTHJUIVCDPNNPSJIJTBIPOFZQPUOHVTFSBHFOU ˞"QBDIFͷIUBDDFTTʹ௥Ճ͢Δͱ͙͢ʹ࢖͑·͢ ˞ࣗݾ੹೚Ͱࣗ͝༝ʹͲ͏ͧ 4
  5. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ίϯηϓτ w ϋχʔϙοτͷϩάΛݟͯɺʮίϨ߈ܸͩͳʯͱ ࢥͬͨΒɺ6TFS"HFOUͷಛ௃తͳ෦෼Λ௥Ճ ͍ͯ͘͠Ϧετɻ w ͳΔ΂͓ۚ͘΍ಛผͳγεςϜΛ࢖Θͳ͍ɻ w େ͖͘छྨʹ෼͚ͯϦετԽͨ͠ɻ

    w ݹ͍ϒϥ΢β΍04ͷ6TFS"HFOU w ߈ܸπʔϧ΍Ϙοτͷ6TFS"HFOU 5
  6. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ߈ܸ௨৴αϯϓϧ w 8PSE1SFTTͷϓϥάΠϯͷ੬ऑੑΛૂͬͨɺෆਖ਼ ͳϑΝΠϧΞοϓϩʔυͷࢼΈɻ 6 User-Agent ແ͠

  7. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ߈ܸαϯϓϧͷ௚ޙ w ੬ऑੑΛಥ͍ͨ߈ܸͰෆਖ਼ʹΞοϓϩʔυͨ͠
 ϑΝΠϧʹର͢ΔΞΫηε w ΞοϓϩʔμػೳΛ࣋ͬͨ8FC4IFMMͩͬͨˣ 7 Windows 98

    ͸ ઈ໓ͨ͠ͱࢥ͏
  8. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ิ଍ ϒϥ΢βγΣΞঢ়گ 8 Desktop & Console Browser Version (Partially

    Combined) Market Share Worldwide (9th Oct 2018) http://gs.statcounter.com/ IE 8.0 ͕ 0.29%ଘࡏ
  9. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) .JSBJ΍4BUPSJͳͲϘοτͷ6TFS"HFOU w Ϙοτωοτͷछྨ΍࣌ظʹΑΓগͣͭ͠ҟͳΔɻ w )BLBJʹࢸͬͯ͸ɺ04ίϚϯυ΋ؚΊ͍ͯΔɻ w ଞʹ΋ɺ#BTIͷ੬ऑੑ $7& ΋


    6TFS"HFOUʹ04ίϚϯυ͕ೖΔࣄྫ͕͋Γɻ 9
  10. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) Ϙοτ͸߈ܸର৅Λ૿΍͍ͯ͠Δ 10 Palo Alto Networks ͷϒϩά͔ΒҾ༻ˠ https://researchcenter.paloaltonetworks.com/2018/09/unit42-multi-exploit-iotlinux-botnets-mirai-gafgyt-target-apache-struts-sonicwall/ ←ScanNetSecurity ͔ΒҾ༻

    http://www.security-next.com/097850
  11. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ઃఆͰҰ໢ଧਚʹ͢Δ w Ϙοτ΍߈ܸπʔϧ͸܁Γฦ͠ར༻͞Εɺαʔό͸ ߈ܸΛԿ౓΋ड͚Δɻ w 6TFS"HFOUͰΞΫηεڋ൱͢Δ͜ͱͰɺಉҰͷ߈ ܸͷӨڹΛݮΒ͢͜ͱ͕Մೳɻ w ϊʔΨʔυΑΓ͸Ϛγɻಛʹݸਓͷαʔόɻ

    w اۀͰ͋Ε͹ɺ*14΍8"'ͳͲͷߴػೳͳηΩϡ ϦςΟରࡦػثͰରࡦ͍ͯ͠Δ͸ͣ 11
  12. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) 6TFS"HFOUͰΞΫې͢Δͱ͖ͷ஫ҙ w ਖ਼ৗͳ௨৴ͷޡःஅ w ݕࡧαΠτͷΫϩʔϥ w (PPHMFͷΫϩʔϥ͕࢖༻͢Δ6TFS"HFOU w IUUQTTVQQPSUHPPHMFDPNXFCNBTUFSTBOTXFS

    IMKB w ࣾ಺΍ด࠯؀ڥʹ͓͚Δݹ͍όʔδϣϯ w ࣗ࡞πʔϧͷߋ৽๨Ε 12 ఆظతʹ 403 ͷεςʔλείʔυ ͷϩάΛνΣοΫ͠Α͏
  13. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ·ͱΊ w ϋχʔϙοτͰऩूͨ͠ϩάͷ׆༻ํ๏ͱͯ͠ɺ
 6TFS"HFOUΛݩʹΞΫηεڋ൱͢Δํ๏͕؆୯ɻ w ݹ͍ϒϥ΢β΍04ɺ߈ܸπʔϧʹߜͬͯͲΜͲΜ ڋ൱ϦετΛ૿΍͍ͯ͘͠ɻ w ແ͍ΑΓϚγͳͷͰɺݸਓαʔό͸ͱΓ͋͑ͣڋ൱

    ઃఆΛͯ͠Έͯ͸͍͔͕ɻ w ͨͩ͠ɺਖ਼ৗ௨৴Λޡःஅ͍ͯ͠ͳ͍͔ɺͨ·ʹ֬ ೝ͢Δඞཁ͋Γɻ 13
  14. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) )BQQZ)POFZQPU 14 ←2018೥6݄9೔ ৽॓ޚԓ େԹࣨͰࡱӨ ৯஬২෺Ͱ͸ͳ͍ɻ ͓͠·͍