Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DNS changerとハニーポット

ninoseki
October 06, 2019
Technology
2
1.1k

DNS changerとハニーポット

第1回ハニーポット情報共有会 発表用資料

ninoseki

October 06, 2019
Tweet

More Decks by ninoseki

See All by ninoseki
AVTokyo 2020 Phishing Kit Analysis Workshop
ninoseki
2
880
Botconf 2019 OSINT 101
ninoseki
2
600
MISP & TheHive/Cortex in 20 minutes
ninoseki
0
480
How to become a phisherman
ninoseki
0
850
HTTP(S)ハニポを作ってみた
ninoseki
4
1.6k
OWASP Juice Shop どうでしょう
ninoseki
1
610

Other Decks in Technology

See All in Technology
SmartHRからOktaへのSCIM連携で作り出すHRドリブンのアカウント管理
jousysmiler
1
110
Kaggleシミュレーションコンペの動向
nagiss
0
250
経営統合をきっかけに会社をエンジニアリングした話 / btconjp-2023
carta_engineering
0
140
OpenShift.Run2023_create-aro-with-terraform
ishiitaiki20fixer
1
220
Airdrop for Open Source Projects
epicsdao
0
580
ユーザーテストガイドライン VERSION 2.0
kouzoukaikaku
0
1k
CUEとKubernetesカスタムオペレータを用いた新しいネットワークコントローラをつくってみた
hrk091
1
270
- Rでオブジェクト指向プログラミング- クラス設計入門の入門
kotatyamtema
1
720
ROS_Japan_UG_#49_LT
maeharakeisuke
0
210
創業1年目のスタートアップでAWSコストを抑えるために取り組んでいること / How to Keep AWS Costs Down at a Startup
yuj1osm
3
2k
Exploring MapStore Release 2022.02: improved 3DTiles support and more
simboss
PRO
0
310
S3とCloudWatch Logsの見直しから始めるコスト削減 / Cost saving S3 and CloudWatch Logs
shonansurvivors
0
210

Featured

See All Featured
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
24
4.5k
The MySQL Ecosystem @ GitHub 2015
samlambert
240
11k
Why Our Code Smells
bkeepers
PRO
326
55k
Documentation Writing (for coders)
carmenintech
51
2.9k
Making Projects Easy
brettharned
102
4.8k
BBQ
matthewcrist
75
8.1k
Infographics Made Easy
chrislema
235
17k
The Mythical Team-Month
searls
210
40k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
15
1.2k
Building a Scalable Design System with Sketch
lauravandoore
451
31k
YesSQL, Process and Tooling at Scale
rocio
159
12k
It's Worth the Effort
3n
177
26k

Transcript

  1. DNS Changerとハニーポット @ninoseki

  2. Abstract • Ghost DNSを題材に、DNS changerについて解説します • Roaming Mantisを題材に、ハニーポットでDNS changerを観測する手法 について解説します

    (Source: https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html / https://www.kaspersky.com/blog/roaming-mantis-malware/22427/)

  3. What is DNS Changer? • DNS changer とは ◦ ルーターや端末のDNS設定を書き換え、ローグ

    DNSサーバーを使用するように仕向け るマルウェアやスクリプトの総称です ▪ ローグDNSサーバーは、被害者をフィッシングサイトやマルウェアのランディング ページに誘導します ◦ このプレゼンでは、インターネット経由でルーターの DNS設定を改ざんするDNS changer を取り上げます

  4. Examples • Ghost DNS ◦ 70+ different types of home

    routers(all together 100,000+) are being hijacked by GhostDNS (Netlab 360 / 2018-09-29) ▪ https://blog.netlab.360.com/70-different-types-of-home-routers-all-together-100000-are-bei ng-hijacked-by-ghostdns-en/ • Roaming Mantis ◦ DNS設定を乗っ取りAndroidデバイスに感染する Roaming Mantis (Kaspersky / 2018-05-21) ▪ https://blog.kaspersky.co.jp/roaming-mantis/20105/

  5. Ghost DNS • DNS設定を改ざんし、フィッシングサイトへ誘導するキャンペーン • 複数のDNS changerを使用 ◦ Shell DNS

    changer, JS DNS changer, PyPHP DNS changer ◦ 今回はShell DNS changerを取り上げます • Shell DNS changerの仕組み: ◦ fscan(Fast HTTP Auth Scanner)によるルーターの特定 ◦ 認証がある場合: ▪ ブルートフォースによる ID/PWの特定 + DNS/PW設定の改ざん ◦ 認証がない場合: ▪ DNS設定の改ざん

  6. Ghost DNS • ルーターを特定する仕組み ◦ 特定のバナーかどうか ◦ 特定の文字列が含まれるか ◦ 例:

    ▪ バナーが“RomPager/4.07 UPnP/1.0”かつ”<INPUT TYPE="SUBMIT" NAME="Prestige_Login" VALUE="Anmelden">”が含まれる場合、ルーター は”Zywall2 deutc”と特定

  7. Ghost DNS webforms.ini (fscan用コンフィグ)

  8. Ghost DNS changers.cfg (DNS Changer用コンフィグ)

  9. Ghost DNS • まとめ ◦ トップページにアクセスし、ルーターの機種を特定 ◦ 認証画面にブルートフォースを行い、 ID/PWを特定 ◦

    特定したID/PWを元に、DNS設定 + PWを変更

  10. Ghost DNS • おまけ(TLP:WHITE) ◦ reaperb0t/GhostDNS ▪ https://github.com/reaperb0t/GhostDNS ▪ PyPHP

    DNS changerのソースコードの一部

  11. Roaming Mantis • DNS設定を改ざんし、フィッシングサイトまたはAndroidマルウェアのラン ディングページに誘導するキャンペーン • Ghost DNSと違い、DNS changerの詳細は分かっていない

  12. Roaming Mantis • Roaming MantisのDNS changerを観測した例 ◦ LAC: ルータのDNS設定を変更するサイバー攻撃にご用心 ▪

    https://www.lac.co.jp/lacwatch/people/20180607_001647.html ◦ 実機を用意し、その手前にミラーリング用スイッチを置いてパケットキャプチャ

  13. Roaming Mantis • 典型的なDNS changerの仕組みのおさらい ◦ トップページをスキャンし、ルーターを特定 ◦ 認証がある場合: ▪

    ブルートフォースでID/PWを特定し、DNS設定を改ざん ◦ 認証がない場合: ▪ DNS設定を改ざん

  14. Roaming Mantis • DNS changerの仕組みを踏まえた仮説 ◦ 認証なしのルーターを模擬し、バナーを含めて実機そのままのトップページの HTTPレス ポンスを返すハニーポットを作れば Roaming

    MantisのDNS changerを観測できるので は?

  15. Roaming Mantis • 結果: できました

  16. Roaming Mantis • 実装例: ◦ https://github.com/ninoseki/cpg_honey ◦ https://github.com/ninoseki/next_honeypot

  17. まとめ • 特定のルーターを簡易的に模擬したハニーポットを作ることで、そのルー ターを標的にしたDNS changerを観測することができます • 単にOSSのハニーポットを運用してみるだけでなく、仮説を立ててそれを検 証する目的でハニーポットを自作・運用してみると面白いかもしれません