ハニーポット活用事例紹介

Transcript

1. 2018೥10݄10೔ ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ)ൃදࢿྉ ϋχʔϙοτ׆༻ࣄྫ঺հ @morihi_soc

2. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) 
   XIPBNJ w ৿ٱ
   ࿨ত !NPSJIJ@TPD
   
   w ຊۀ͸ωοτϫʔΫηΩϡϦςΟΤϯδχΞɾΞφϦετ
   w झຯͰϋχʔϙοτͷӡ༻Λ͢Δϋχʔϙολʔ
   

   w ϒϩάˠ
   IUUQTXXXNPSJIJTPDOFU
   w ϋχʔϙολʔٕज़ަྲྀձ
   ओ࠵ऀ
   w IUUQTIBOJQPUFDIDPOOQBTTDPN 2 ࠓ·Ͱʹ͓ੈ࿩ʹͳͬͨΠϕϯτ(Ұ෦) ɾ*5,FZT ݱ4FD$BQ
   ɾωοτϫʔΫύέοτΛಡΉձ Ծ
   ɾ/*4$
   αΠόʔϋϩ΢Οϯ
   ɾ*OUFSOFU8FFL
   
   
   
   
   
   
   ɾ)BSEFOJOH
   ɾTTNKQ
   
   
   
   ɾ"*4FD
   
   
   ɾ4UVEZ$PEF
   ɾULUL
   ηΩϡϦςΟษڧձ
   ɾ૯ؔ੢αΠόʔηΩϡϦςΟ-5େձ
   ɾ08"41
   /BHPZB
   
   
   ɾ*P54FD+1 ग़൛ͨ͠ຊ΍ٕज़ಉਓࢽ NEW 2018೥10݄ˣ

3. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ϋχʔϙοτ w ϋχʔϙοτ )POFZQPU ͱ͸ɺ͋͑ͯ߈ܸΛड͚Δ ͜ͱΛલఏͱͨ͠γεςϜͰ͢ɻ
   w ϋχʔϙοτΛӡ༻͢Δਓͷ͜ͱˠϋχʔϙολʔ
   w

   ϋχʔϙοτͰ͸༷ʑͳϩάΛऩूՄೳ
   w ूΊͨϩάΛͲͷΑ͏ʹ׆༻͢Δ͔͸ϋχʔϙολʔ ࣍ୈ͚ͩΕͲ΋ɻɻɻ 3 ϩάͷ׆༻ͯ͠·͔͢?

4. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ·ͣ͸؆୯ʹͰ͖Δ͜ͱ͔Β w 8FC
   αʔόͷηΩϡϦςΟ޲্ʹ׆༻͢Δɻ
   w ۩ମతʹ͸ɺ߈ܸπʔϧ͔Βͷ௨৴Λڋ൱͢Δઃఆ 6TFS"HFOU
   Λ࢖͏ ͷ৘ใݯʹ͢Δɻ
   w αϯϓϧΛ͝༻ҙ͍ͨ͠·ͨ͠ɻ
   

   w IPOFZQPUOHVTFSBHFOU
   (JU)VC
   IUUQTHJUIVCDPNNPSJIJTBIPOFZQPUOHVTFSBHFOU
   ˞
   "QBDIF
   ͷ
   IUBDDFTT
   ʹ௥Ճ͢Δͱ͙͢ʹ࢖͑·͢
   ˞ࣗݾ੹೚Ͱࣗ͝༝ʹͲ͏ͧ 4

5. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ίϯηϓτ w ϋχʔϙοτͷϩάΛݟͯɺʮίϨ߈ܸͩͳʯͱ ࢥͬͨΒɺ6TFS"HFOU
   ͷಛ௃తͳ෦෼Λ௥Ճ ͍ͯ͘͠Ϧετɻ
   w ͳΔ΂͓ۚ͘΍ಛผͳγεςϜΛ࢖Θͳ͍ɻ
   w େ͖͘छྨʹ෼͚ͯϦετԽͨ͠ɻ
   

   w ݹ͍ϒϥ΢β΍
   04
   ͷ
   6TFS"HFOU
   w ߈ܸπʔϧ΍Ϙοτͷ
   6TFS"HFOU 5

6. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ߈ܸ௨৴αϯϓϧ w 8PSE1SFTT
   ͷϓϥάΠϯͷ੬ऑੑΛૂͬͨɺෆਖ਼ ͳϑΝΠϧΞοϓϩʔυͷࢼΈɻ 6 User-Agent ແ͠

7. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ߈ܸαϯϓϧͷ௚ޙ w ੬ऑੑΛಥ͍ͨ߈ܸͰෆਖ਼ʹΞοϓϩʔυͨ͠
 ϑΝΠϧʹର͢ΔΞΫηε
   w ΞοϓϩʔμػೳΛ࣋ͬͨ
   8FC4IFMM
   ͩͬͨˣ 7 Windows 98

   ͸ ઈ໓ͨ͠ͱࢥ͏

8. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ิ଍ ϒϥ΢βγΣΞঢ়گ 8 Desktop & Console Browser Version (Partially

   Combined) Market Share Worldwide (9th Oct 2018) http://gs.statcounter.com/ IE 8.0 ͕ 0.29%ଘࡏ

9. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) .JSBJ
   ΍
   4BUPSJ
   ͳͲϘοτͷ
   6TFS"HFOU w Ϙοτωοτͷछྨ΍࣌ظʹΑΓগͣͭ͠ҟͳΔɻ
   w )BLBJ
   ʹࢸͬͯ͸ɺ04
   ίϚϯυ΋ؚΊ͍ͯΔɻ
   w ଞʹ΋ɺ#BTI
   ͷ੬ऑੑ $7& ΋


   6TFS"HFOU
   ʹ
   04
   ίϚϯυ͕ೖΔࣄྫ͕͋Γɻ 9

10. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) Ϙοτ͸߈ܸର৅Λ૿΍͍ͯ͠Δ 10 Palo Alto Networks ͷϒϩά͔ΒҾ༻ˠ https://researchcenter.paloaltonetworks.com/2018/09/unit42-multi-exploit-iotlinux-botnets-mirai-gafgyt-target-apache-struts-sonicwall/ ←ScanNetSecurity ͔ΒҾ༻

    http://www.security-next.com/097850

11. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ઃఆͰҰ໢ଧਚʹ͢Δ w Ϙοτ΍߈ܸπʔϧ͸܁Γฦ͠ར༻͞Εɺαʔό͸ ߈ܸΛԿ౓΋ड͚Δɻ
    w 6TFS"HFOU
    ͰΞΫηεڋ൱͢Δ͜ͱͰɺಉҰͷ߈ ܸͷӨڹΛݮΒ͢͜ͱ͕Մೳɻ
    w ϊʔΨʔυΑΓ͸Ϛγɻಛʹݸਓͷαʔόɻ
    

    w اۀͰ͋Ε͹ɺ*14
    ΍
    8"'
    ͳͲͷߴػೳͳηΩϡ ϦςΟରࡦػثͰରࡦ͍ͯ͠Δ͸ͣ 11

12. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) 6TFS"HFOU
    ͰΞΫې͢Δͱ͖ͷ஫ҙ w ਖ਼ৗͳ௨৴ͷޡःஅ
    w ݕࡧαΠτͷΫϩʔϥ
    w (PPHMF
    ͷΫϩʔϥ͕࢖༻͢Δ
    6TFS"HFOU
    w IUUQTTVQQPSUHPPHMFDPNXFCNBTUFSTBOTXFS

    IMKB
    w ࣾ಺΍ด࠯؀ڥʹ͓͚Δݹ͍όʔδϣϯ
    w ࣗ࡞πʔϧͷߋ৽๨Ε 12 ఆظతʹ 403 ͷεςʔλείʔυ ͷϩάΛνΣοΫ͠Α͏

13. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) ·ͱΊ w ϋχʔϙοτͰऩूͨ͠ϩάͷ׆༻ํ๏ͱͯ͠ɺ
 6TFS"HFOU
    ΛݩʹΞΫηεڋ൱͢Δํ๏͕؆୯ɻ
    w ݹ͍ϒϥ΢β΍
    04ɺ߈ܸπʔϧʹߜͬͯͲΜͲΜ ڋ൱ϦετΛ૿΍͍ͯ͘͠ɻ
    w ແ͍ΑΓϚγͳͷͰɺݸਓαʔό͸ͱΓ͋͑ͣڋ൱

    ઃఆΛͯ͠Έͯ͸͍͔͕ɻ
    w ͨͩ͠ɺਖ਼ৗ௨৴Λޡःஅ͍ͯ͠ͳ͍͔ɺͨ·ʹ֬ ೝ͢Δඞཁ͋Γɻ 13

14. ૯ؔ੢αΠόʔηΩϡϦςΟ̡̩େձ(ୈ11ճ) )BQQZ
    )POFZQPU 14 ←2018೥6݄9೔ ৽॓ޚԓ େԹࣨͰࡱӨ ৯஬২෺Ͱ͸ͳ͍ɻ ͓͠·͍