インターネットの片隅で〜mirai亜種のスキャン活動を可視化して流行を知る〜

Transcript

1. Πϯλʔωοτͷ
   ย۱Ͱ @nhnmomonga ʙmiraiѥछͷεΩϟϯ׆ಈΛՄࢹԽͯ͠ྲྀߦΛ஌Δʙ

2. ࣗݾ঺հ • @nhnmomongaʢʹ΄ΜΜ΋΋Μ͕ʣ • ୈ̎ճͰൃදͰ͖ͣࢿྉ্͚ͩ͛ͯ΋ΒͬͨਓͰ͢ • ʮϋχʔϙοτಉਓࢽͷ൓ڹͱऩࢧʯͬͯࢿྉ • ීஈ͸ίϯϐϡʔλʔϑΥϨϯδοΫΛ΍ͬͯ·͢ •

   ࣌ʑޡղ͞Ε·͕͢͜ΕΒ͸࢓ࣄͰ஌Γಘͨ৘ใͰ͸͋Γ·ͤΜʢػ ඍ৘ใͰ͸ͳ͍ʣ

3. ຊ୊ • ͱ͋Δ೔IIJ͞Μͷϒϩάهࣄ[1]ΛಡΜͰ͍ͨ • miraiѥछʹײછ͍ͯ͠Δ೔ຊࠃ಺ͷϗετ͕૿͑ͯΔ • ʢࣗ෼ͷ؅ཧ͍ͯ͠ΔʣϋχʔϙοτͰ΋ಉ͡Α͏ͳ܏޲͕ग़Δʁ • Θ͟Θ͟ૂΘΕΔΑ͏ͳ͜ͱ͸͍ͯ͠ͳ͍ •

   ͍Θ͹Πϯλʔωοτͷย۱ʹ͋Δ • SHDOANʹ͸ਖ਼֬ʹัଊ͞ΕͨΓ͞Εͳ͔ͬͨΓ… • ϩάΠϯͯ͠ͳ͍͔Β͓ۚΛ෷͏ͱͲ͏ͳΔ͔Θ͔Βͳ͍ [1]೔ຊࠃ಺ʹ͓͚Δ Mirai ѥछͷײછঢ়گ (2017೥12݄) | https://sect.iij.ad.jp/d/2018/01/091843.html

4. ݕূ • ಉϒϩάʹΑΔͱɺʮmiraiѥछͷεΩϟϯ׆ಈʹεΩϟϯͷύέο τͷॳظγʔέϯεφϯόʔ͕ѼઌIPͱಉ͡ʯͱͯ͠؍ଌ • ಉ͜͡ͱΛϋχʔϙοτͰ΋ͯ͠ൺֱ͢Δ • ͲΕ͚ͩʢmiraiѥछʹײછ͍ͯ͠Δͱࢥ͖͠ʣࠃ಺ͷϗετ͔Β εΩϟϯΛड͚͍ͯΔ͔ݟͯΈ͍ͨ •

   ϋχʔϙοτΛҰ୆͔͠ӡ༻͍ͯ͠ͳͯ͘΋ɺʢͪΌΜͱʣྲྀߦ ʹࠨӈ͞ΕΔͷ͔ʁ

5. ݕূํ๏ • tsharkͰύέοτΩϟϓνϟΛͱΔ • ʢ͓ۚ͸ͳ͍ͷͰʣखݩʹpcapϑΝΠϧΛμ΢ϯϩʔυ • pcapϑΝΠϧΛtsharkΛ࢖ͬͯcsvϑΝΠϧ͢Δ • LogstashͰElasticsearchʹͿͪࠐΉ •

   KibanaͰDashboard࡞Δ • ํ๏ͷৄࡉ͸ϒϩάʹͯ • http://onthesoup.hatenablog.com/entry/2018/02/11/061500

6. DEMO

7. ݁Ռ • ͜͜·Ͱ΍ͬͯɺΑ͘ߟ͑ͨΒ܏޲͕ಉ͔͡·Ͱ͸IIJ͞Μ͕2݄෼ͷ ෼ੳ݁ՌΛग़ͯ͘͠Εͳ͍ͱΘ͔Βͳ͍͜ͱ͕Θ͔ͬͨʢসʣ • Ͳͷ͘Β͍ࠃ಺ϗετ͔ΒεΩϟϯ͕͋Δ͔͸Θ͔͚ͬͨͲ • ϓϥεʹߟ͑Δͱࠓͷঢ়گ͕Θ͔ͬͨʢͱ͍͏͜ͱʹ͍ͯͩ͘͠͞ʣ • ౰ॳ໨తͷୡ੒͸དྷ݄IIJ͞Μ͕2݄෼ͷϒϩάΛॻ͍ͯ͘ΕΔ͔Ͳ

   ͏͔ʹ͔͔͍ͬͯΔ…ʂ • ΋͜͠ͷ৔ʹؔ܎ऀ͍Βͬ͠ΌͬͨΒͳΜͱ͔͓ئ͍͠·͢

8. ͓Ͷ͕͍ • DemoΛݟͯͩ͘͞ΔͱΘ͔ͬͨͱࢥ͍·͕͢ɺࠃ಺ϗετ͔Βͷε Ωϟϯ͸݁ߏଘࡏ͍ͯ͠·͢ • ࣗ୐΍࣮͝ՈʹؼͬͨΒҰ౓ϧʔλʔ΍IPΧϝϥΛ఺ݕ͍ͯͩ͘͠͞ • ઃஔͨ͠Β೥୯ҐͰͦͷ··ͬͯී௨ͷ͝ՈఉͳΒΑ͋͘Δ͸ͣ • ڈ೥຤͔Βࠓ೥ʹ͔͚ͯࠃ಺Ͱྲྀߦ֦ͨ͠ࢄ׆ಈʹར༻͞Ε͍ͯΔͱ

   ݴΘΕ͍ͯΔ੬ऑੑ͸2014೥ʹެ։͞Εͨ੬ऑੑʢCVE-2014-8361ʣ • ࣮͝ՈʹؼΔػձͬͯҰ೥ͰԿճ͋Γ·͔͢ʁ • Miraiѥछ͚ͩ͡Όͳ͘CoinMiner΋ྲྀߦ͍ͬͯ·͢ ͓͠·͍