Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DNS changerとハニーポット

6589e3179283043e0f5907144b9ad6eb?s=47 ninoseki
October 06, 2019
Technology
2
1.1k

DNS changerとハニーポット

第1回ハニーポット情報共有会 発表用資料

6589e3179283043e0f5907144b9ad6eb?s=128

ninoseki

October 06, 2019
Tweet

More Decks by ninoseki

See All by ninoseki
AVTokyo 2020 Phishing Kit Analysis Workshop
6589e3179283043e0f5907144b9ad6eb?s=48 ninoseki
2
800
Botconf 2019 OSINT 101
6589e3179283043e0f5907144b9ad6eb?s=48 ninoseki
2
590
MISP & TheHive/Cortex in 20 minutes
6589e3179283043e0f5907144b9ad6eb?s=48 ninoseki
0
430
How to become a phisherman
6589e3179283043e0f5907144b9ad6eb?s=48 ninoseki
0
840
HTTP(S)ハニポを作ってみた
6589e3179283043e0f5907144b9ad6eb?s=48 ninoseki
4
1.5k
OWASP Juice Shop どうでしょう
6589e3179283043e0f5907144b9ad6eb?s=48 ninoseki
1
590

Other Decks in Technology

See All in Technology
ラブグラフ紹介資料 〜プロダクト解体新書〜 / Lovegraph Product Deck
84ece018b6918e3339fe74075ab3dd18?s=48 lovegraph
0
140
Scrum Fest Osaka 2022 フルリモート下でのチームビルディング
478bd912a17b65fa0ab8c1d81912b9b1?s=48 moritamasami
2
1.1k
How to start with DDD when you have a Monolith
Ac38eb7117f177d961362cfe1387341b?s=48 javujavichi
0
230
GeoLocationAnchor and MKTileOverlay
61a68b2172503ecdf7a7f7757df56071?s=48 toyship
0
110
UIKitのアップデート 
#WWDC22
9d1961575e45a8286cdde5f86dbba312?s=48 akatsuki174
3
190
Building smarter apps with machine learning, from magic to reality
7e6a435700dda6cdb22105d601f20892?s=48 picardparis
4
3.2k
さいきんのRaspberry Pi。 / osc22do-rpi
74476e142a767a018d68c5e72e34ee2f?s=48 akkiesoft
4
4.9k
1人目QAエンジニアよもやま話 / QA Test Talk Vol.1
1b7098127bb4872f5fa10415d88479b7?s=48 nametake
4
220
WACATE 2022 夏 ワークショップの目的
Add1036688abcb2e3dbff7c3090f7e35?s=48 imtnd
0
120
The Fractal Geometry of Software Design
B90ab53ba7cf16ed1a4bb679cc6751d7?s=48 vladikk
0
260
Target SDK Versionを上げない Notification runtime permission対応
0c5e92294cc0cfba620641c589db9378?s=48 napplecomputer
0
130
Data in Google I/O - IO Extended GDG Seoul
3bd69093dbe39b14603242b96cfbd7c6?s=48 kennethanceyer
0
150

Featured

See All Featured
The Invisible Customer
4262b9cfacfb6b2c77f23e1d0310cd3e?s=48 myddelton
110
11k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
B3ace07412a5178ea778e7eec161fc0a?s=48 jcasabona
12
920
Facilitating Awesome Meetings
245cee81a9c424266e5e401d844ea881?s=48 lara
29
4k
Product Roadmaps are Hard
7cbd3f5f922d798cc312eaf596de7ae6?s=48 iamctodd
34
6.5k
Building Your Own Lightsaber
Fe6b81005d1553accd6b2a28f6a2bef1?s=48 phodgson
94
4.6k
Why You Should Never Use an ORM
88bc30284c6a424b63a92aad27d0ba36?s=48 jnunemaker
PRO
47
7.5k
A Tale of Four Properties
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
149
21k
JavaScript: Past, Present, and Future - NDC Porto 2020
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
37
3.2k
Streamline your AJAX requests with AmplifyJS and jQuery
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
126
8.5k
What the flash - Photography Introduction
5ce91fa49a613cbc3e20d5f96856473f?s=48 edds
62
10k
Six Lessons from altMBA
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
14
1.4k
Large-scale JavaScript Application Architecture
96270e4c3e5e9806cf7245475c00b275?s=48 addyosmani
499
110k

Transcript

  1. DNS Changerとハニーポット @ninoseki

  2. Abstract • Ghost DNSを題材に、DNS changerについて解説します • Roaming Mantisを題材に、ハニーポットでDNS changerを観測する手法 について解説します

    (Source: https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html / https://www.kaspersky.com/blog/roaming-mantis-malware/22427/)

  3. What is DNS Changer? • DNS changer とは ◦ ルーターや端末のDNS設定を書き換え、ローグ

    DNSサーバーを使用するように仕向け るマルウェアやスクリプトの総称です ▪ ローグDNSサーバーは、被害者をフィッシングサイトやマルウェアのランディング ページに誘導します ◦ このプレゼンでは、インターネット経由でルーターの DNS設定を改ざんするDNS changer を取り上げます

  4. Examples • Ghost DNS ◦ 70+ different types of home

    routers(all together 100,000+) are being hijacked by GhostDNS (Netlab 360 / 2018-09-29) ▪ https://blog.netlab.360.com/70-different-types-of-home-routers-all-together-100000-are-bei ng-hijacked-by-ghostdns-en/ • Roaming Mantis ◦ DNS設定を乗っ取りAndroidデバイスに感染する Roaming Mantis (Kaspersky / 2018-05-21) ▪ https://blog.kaspersky.co.jp/roaming-mantis/20105/

  5. Ghost DNS • DNS設定を改ざんし、フィッシングサイトへ誘導するキャンペーン • 複数のDNS changerを使用 ◦ Shell DNS

    changer, JS DNS changer, PyPHP DNS changer ◦ 今回はShell DNS changerを取り上げます • Shell DNS changerの仕組み: ◦ fscan(Fast HTTP Auth Scanner)によるルーターの特定 ◦ 認証がある場合: ▪ ブルートフォースによる ID/PWの特定 + DNS/PW設定の改ざん ◦ 認証がない場合: ▪ DNS設定の改ざん

  6. Ghost DNS • ルーターを特定する仕組み ◦ 特定のバナーかどうか ◦ 特定の文字列が含まれるか ◦ 例:

    ▪ バナーが“RomPager/4.07 UPnP/1.0”かつ”<INPUT TYPE="SUBMIT" NAME="Prestige_Login" VALUE="Anmelden">”が含まれる場合、ルーター は”Zywall2 deutc”と特定

  7. Ghost DNS webforms.ini (fscan用コンフィグ)

  8. Ghost DNS changers.cfg (DNS Changer用コンフィグ)

  9. Ghost DNS • まとめ ◦ トップページにアクセスし、ルーターの機種を特定 ◦ 認証画面にブルートフォースを行い、 ID/PWを特定 ◦

    特定したID/PWを元に、DNS設定 + PWを変更

  10. Ghost DNS • おまけ(TLP:WHITE) ◦ reaperb0t/GhostDNS ▪ https://github.com/reaperb0t/GhostDNS ▪ PyPHP

    DNS changerのソースコードの一部

  11. Roaming Mantis • DNS設定を改ざんし、フィッシングサイトまたはAndroidマルウェアのラン ディングページに誘導するキャンペーン • Ghost DNSと違い、DNS changerの詳細は分かっていない

  12. Roaming Mantis • Roaming MantisのDNS changerを観測した例 ◦ LAC: ルータのDNS設定を変更するサイバー攻撃にご用心 ▪

    https://www.lac.co.jp/lacwatch/people/20180607_001647.html ◦ 実機を用意し、その手前にミラーリング用スイッチを置いてパケットキャプチャ

  13. Roaming Mantis • 典型的なDNS changerの仕組みのおさらい ◦ トップページをスキャンし、ルーターを特定 ◦ 認証がある場合: ▪

    ブルートフォースでID/PWを特定し、DNS設定を改ざん ◦ 認証がない場合: ▪ DNS設定を改ざん

  14. Roaming Mantis • DNS changerの仕組みを踏まえた仮説 ◦ 認証なしのルーターを模擬し、バナーを含めて実機そのままのトップページの HTTPレス ポンスを返すハニーポットを作れば Roaming

    MantisのDNS changerを観測できるので は?

  15. Roaming Mantis • 結果: できました

  16. Roaming Mantis • 実装例: ◦ https://github.com/ninoseki/cpg_honey ◦ https://github.com/ninoseki/next_honeypot

  17. まとめ • 特定のルーターを簡易的に模擬したハニーポットを作ることで、そのルー ターを標的にしたDNS changerを観測することができます • 単にOSSのハニーポットを運用してみるだけでなく、仮説を立ててそれを検 証する目的でハニーポットを自作・運用してみると面白いかもしれません