Slide 1

Slide 1 text

プロキシ型ハニーポット 「Proxypot」

Slide 2

Slide 2 text

自己紹介 Twitter: @hunter_phishing Github: phishing-hunter フィッシング・ハンターを開発してます。 http://phishing-hunter.com/

Slide 3

Slide 3 text

Proxypot ● ハニーポット本体 ○ https://github.com/phishing-hunter/proxypot ● ログ解析ツール ○ https://github.com/phishing-hunter/proxypot-analyzer

Slide 4

Slide 4 text

踏み台のスキャン 攻撃者は踏み台として利用できそう なサーバをスキャンする オープンプロキシリスト

Slide 5

Slide 5 text

匿名性の確認 プロキシサーバ HTTP_CONNECTION = keep-alive HTTP_HOST = azenv.net REMOTE_PORT = 65268 REMOTE_ADDR = プロキシサーバのIPアドレス REQUEST_SCHEME = http REQUEST_URI = / REQUEST_METHOD = GET REQUEST_TIME_FLOAT = 1669536890.6417 REQUEST_TIME = 1669536890 PHP環境変数 チェッカー ・レスポンスに「プロキシサーバのIPアドレス」が含まれている: OK ・攻撃者のIPアドレス情報が含まれていない : OK ・プロキシ特有のヘッダが入っている : NG ・プロキシサーバの応答速度 : OK

Slide 6

Slide 6 text

スパムメールの送信 オープンプロキシ メールサーバ smtp.gmail.com:25

Slide 7

Slide 7 text

プロキシチェッカーのランキングを操作する 5.踏み台として利用 1. オープンプロキシ チェッカーでスキャン 2. 自動スキャン 4.結果を参照 プロキシ型ハニーポット 3.ハニーポット が登録される 6.攻撃者の通信を見 ることができる

Slide 8

Slide 8 text

スパムメールが送られるはずだったが オープンプロキシ メールサーバ smtp.gmail.com:25

Slide 9

Slide 9 text

ハニーポットの中にメールが送信される リバースプロキシ smtp.gmail.com:25 ハニーポット localhost:25 honeypot:1080

Slide 10

Slide 10 text

多段プロキシにも対応 smtp.gmail.com:25 ハニーポット localhost:25 honeypot:1080 proxy1:8000 proxy2:8080 proxy3:80

Slide 11

Slide 11 text

既存のハニーポットに誘導できる ハニーポット dionaea:20 dionaea:21 cowrie:22 cowrie:23 smtpd:25 dionaea:42 dionaea:1883 dionaea:3306 dicompot:11112 honeypot:1080 proxy1:8000 proxy2:8080 proxy3:80 hostname:port

Slide 12

Slide 12 text

ペイロード書き換えも可能 ハニーポット smtp4dev:25 honeypot:1080 proxy1:8000 proxy2:8080 proxy3:80 socat:25 sed -u 's/220.*smtp4dev ready/220 smtp.gmail.com ESMTP - gsmtp/g'

Slide 13

Slide 13 text

必要なサーバスペック ハニーポット 1 cpu: 2 memory: 1GB ハニーポット 2 cpu: 2 memory: 1GB ハニーポット 3 cpu: 2 memory: 1GB SCP or AMQP ログ可視化サーバ (データ量に応じてスケールする )