Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
DNS changerとハニーポット
ninoseki
October 06, 2019
Technology
2
1.1k
DNS changerとハニーポット
第1回ハニーポット情報共有会 発表用資料
ninoseki
October 06, 2019
Tweet
Share
More Decks by ninoseki
See All by ninoseki
AVTokyo 2020 Phishing Kit Analysis Workshop
ninoseki
2
800
Botconf 2019 OSINT 101
ninoseki
2
590
MISP & TheHive/Cortex in 20 minutes
ninoseki
0
430
How to become a phisherman
ninoseki
0
840
HTTP(S)ハニポを作ってみた
ninoseki
4
1.5k
OWASP Juice Shop どうでしょう
ninoseki
1
590
Other Decks in Technology
See All in Technology
ラブグラフ紹介資料 〜プロダクト解体新書〜 / Lovegraph Product Deck
lovegraph
0
140
Scrum Fest Osaka 2022 フルリモート下でのチームビルディング
moritamasami
2
1.1k
How to start with DDD when you have a Monolith
javujavichi
0
230
GeoLocationAnchor and MKTileOverlay
toyship
0
110
UIKitのアップデート #WWDC22
akatsuki174
3
190
Building smarter apps with machine learning, from magic to reality
picardparis
4
3.2k
さいきんのRaspberry Pi。 / osc22do-rpi
akkiesoft
4
4.9k
1人目QAエンジニアよもやま話 / QA Test Talk Vol.1
nametake
4
220
WACATE 2022 夏 ワークショップの目的
imtnd
0
120
The Fractal Geometry of Software Design
vladikk
0
260
Target SDK Versionを上げない Notification runtime permission対応
napplecomputer
0
130
Data in Google I/O - IO Extended GDG Seoul
kennethanceyer
0
150
Featured
See All Featured
The Invisible Customer
myddelton
110
11k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
12
920
Facilitating Awesome Meetings
lara
29
4k
Product Roadmaps are Hard
iamctodd
34
6.5k
Building Your Own Lightsaber
phodgson
94
4.6k
Why You Should Never Use an ORM
jnunemaker
PRO
47
7.5k
A Tale of Four Properties
chriscoyier
149
21k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
37
3.2k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
126
8.5k
What the flash - Photography Introduction
edds
62
10k
Six Lessons from altMBA
skipperchong
14
1.4k
Large-scale JavaScript Application Architecture
addyosmani
499
110k
Transcript
DNS Changerとハニーポット @ninoseki
Abstract • Ghost DNSを題材に、DNS changerについて解説します • Roaming Mantisを題材に、ハニーポットでDNS changerを観測する手法 について解説します
(Source: https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html / https://www.kaspersky.com/blog/roaming-mantis-malware/22427/)
What is DNS Changer? • DNS changer とは ◦ ルーターや端末のDNS設定を書き換え、ローグ
DNSサーバーを使用するように仕向け るマルウェアやスクリプトの総称です ▪ ローグDNSサーバーは、被害者をフィッシングサイトやマルウェアのランディング ページに誘導します ◦ このプレゼンでは、インターネット経由でルーターの DNS設定を改ざんするDNS changer を取り上げます
Examples • Ghost DNS ◦ 70+ different types of home
routers(all together 100,000+) are being hijacked by GhostDNS (Netlab 360 / 2018-09-29) ▪ https://blog.netlab.360.com/70-different-types-of-home-routers-all-together-100000-are-bei ng-hijacked-by-ghostdns-en/ • Roaming Mantis ◦ DNS設定を乗っ取りAndroidデバイスに感染する Roaming Mantis (Kaspersky / 2018-05-21) ▪ https://blog.kaspersky.co.jp/roaming-mantis/20105/
Ghost DNS • DNS設定を改ざんし、フィッシングサイトへ誘導するキャンペーン • 複数のDNS changerを使用 ◦ Shell DNS
changer, JS DNS changer, PyPHP DNS changer ◦ 今回はShell DNS changerを取り上げます • Shell DNS changerの仕組み: ◦ fscan(Fast HTTP Auth Scanner)によるルーターの特定 ◦ 認証がある場合: ▪ ブルートフォースによる ID/PWの特定 + DNS/PW設定の改ざん ◦ 認証がない場合: ▪ DNS設定の改ざん
Ghost DNS • ルーターを特定する仕組み ◦ 特定のバナーかどうか ◦ 特定の文字列が含まれるか ◦ 例:
▪ バナーが“RomPager/4.07 UPnP/1.0”かつ”<INPUT TYPE="SUBMIT" NAME="Prestige_Login" VALUE="Anmelden">”が含まれる場合、ルーター は”Zywall2 deutc”と特定
Ghost DNS webforms.ini (fscan用コンフィグ)
Ghost DNS changers.cfg (DNS Changer用コンフィグ)
Ghost DNS • まとめ ◦ トップページにアクセスし、ルーターの機種を特定 ◦ 認証画面にブルートフォースを行い、 ID/PWを特定 ◦
特定したID/PWを元に、DNS設定 + PWを変更
Ghost DNS • おまけ(TLP:WHITE) ◦ reaperb0t/GhostDNS ▪ https://github.com/reaperb0t/GhostDNS ▪ PyPHP
DNS changerのソースコードの一部
Roaming Mantis • DNS設定を改ざんし、フィッシングサイトまたはAndroidマルウェアのラン ディングページに誘導するキャンペーン • Ghost DNSと違い、DNS changerの詳細は分かっていない
Roaming Mantis • Roaming MantisのDNS changerを観測した例 ◦ LAC: ルータのDNS設定を変更するサイバー攻撃にご用心 ▪
https://www.lac.co.jp/lacwatch/people/20180607_001647.html ◦ 実機を用意し、その手前にミラーリング用スイッチを置いてパケットキャプチャ
Roaming Mantis • 典型的なDNS changerの仕組みのおさらい ◦ トップページをスキャンし、ルーターを特定 ◦ 認証がある場合: ▪
ブルートフォースでID/PWを特定し、DNS設定を改ざん ◦ 認証がない場合: ▪ DNS設定を改ざん
Roaming Mantis • DNS changerの仕組みを踏まえた仮説 ◦ 認証なしのルーターを模擬し、バナーを含めて実機そのままのトップページの HTTPレス ポンスを返すハニーポットを作れば Roaming
MantisのDNS changerを観測できるので は?
Roaming Mantis • 結果: できました
Roaming Mantis • 実装例: ◦ https://github.com/ninoseki/cpg_honey ◦ https://github.com/ninoseki/next_honeypot
まとめ • 特定のルーターを簡易的に模擬したハニーポットを作ることで、そのルー ターを標的にしたDNS changerを観測することができます • 単にOSSのハニーポットを運用してみるだけでなく、仮説を立ててそれを検 証する目的でハニーポットを自作・運用してみると面白いかもしれません