Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SSHハニーポット(Cowrie) つくってあそぼのススメ

Avatar for pypypyo14 pypypyo14
July 06, 2018
Technology
57
0

SSHハニーポット(Cowrie) つくってあそぼのススメ

2018/07/06 インフラ勉強会オンライン登壇

Avatar for pypypyo14

pypypyo14

July 06, 2018

More Decks by pypypyo14

See All by pypypyo14
アラート対応で疲弊してるチームがいまできること
Avatar for pypypyo14 pypypyo14
3
4.4k
タツノコハイツ DockerHandsOn
Avatar for pypypyo14 pypypyo14
0
130

Other Decks in Technology

See All in Technology
サンプリングは「作る」のか「使う」のか? 分散トレースのコストと運用を両立する実践的戦略 / Why you need the tail sampling and why you don't want it
Avatar for ymotongpoo ymotongpoo
3
140
ブラウザの投機的読み込みと投機ルールAPIを理解し、Webサービスのパフォーマンスを最適化する
Avatar for did0es shuta13
3
300
Building Production-Ready Agents Microsoft Agent Framework
Avatar for Mert Metin _mertmetin
0
160
「強制アップデート」か「チームの自律」か?エンタープライズが辿り着いたプラットフォームのハイブリッド運用/cloudnative-kaigi-hybrid-platform-operations
Avatar for みずほリサーチ&テクノロジーズ株式会社 先端技術研究部 mhrtech
0
150
AI駆動開発で生産性を追いかけたら、行き着いたのは品質とシフトレフトだった
Avatar for Koichiro Matsuoka littlehands
0
460
SREの仕事は「壊さないこと」ではなくなった 〜自律化していくシステムに、責任と判断を与えるという価値〜 / 20260515 Naoki Shimada
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
100
Claude Code / Codex / Kiro に AWS 権限を 渡すとき、何を設計すべきか
Avatar for Kazuki Adachi k_adachi_01
2
290
PdM・Eng・QAで進めるAI駆動開発の現在地/aidd-with-pdm-eng-qa
Avatar for butatamasoba / Shota Kusaba / 草場翔太 shota_kusaba
0
150
Swift Sequence の便利 API 再発見
Avatar for treastrain / Tanaka Ryoga treastrain
1
230
AI時代に越境し、 組織を変えるQAスキルの正体 / QA Skills for Transforming an Organization
Avatar for miisan mii3king
5
4.2k
20260513_生成AIを専属DSに_AI分析結果の検品テクニック_ハンズオン_交通事故データ
Avatar for NobuakiOshiro doradora09
PRO
0
210
(きっとたぶん)人材育成や教育のような何かの話
Avatar for Takanori Sejima sejima
0
670

Featured

See All Featured
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
378
71k
The Mindset for Success: Future Career Progression
Avatar for Greg Gifford greggifford
PRO
0
330
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2.1k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
Avatar for Tech SEO Connect techseoconnect
PRO
0
180
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.7k
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.4k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.8k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
77
5.3k
エンジニアに許された特別な時間の終わり
Avatar for watany watany
106
240k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
3
120
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
Avatar for Szymon Słowik szymonslowik
1
1k

Transcript

  1. SSHハニーポット(Cowrie) つくってあそぼのススメ 2018.07.06 おさじ@pypypyo14

  2. 自己紹介 おさじ @pypypyo14 人前で喋ることに慣れたいインフラエンジニア ハニーポット初心者 インフラ勉強会 過去の登壇 2018.02.17 独自ドメインのメールアドレスを作ろう

  3. はじめに ハニーポットを 既に触られている方には 物足りない内容です よかったらよりよい遊び方教えてください

  4. はじめに 本セッションのゴール • ハニーポットという楽しいツールの存在を知る • 本物の不正アクセス攻撃ログを見て 楽しい気持ちになる 目次: (質疑込み30分) •

    ハニーポットって何? • 低対話型SSHハニーポット Cowrie の紹介 • デモンストレーション • 2日間の不正ログイン情報まとめてみた

  5. ハニーポットって何? Honeypot is nani?

  6. ハニーポットっ て何?                        ––– wikipedia 概要 • 攻撃者をおびき寄せる「甘い罠」 • 敢えて攻撃を受け、そのログを分析することで

    攻撃者の動向分析をしたりするツール

  7. 低対話型SSHハニーポット Cowrie の紹介 Cowrie is nani?

  8. Cowrieの紹介 Cowrieとは? • SSHサーバのフリをしてくれる 「低対話型」ハニーポットの一種 • 低対話型:OSやアプリケーションをエミュレート • 高対話型:脆弱性を持つ本物の OSやアプリケーションを利用

      何ができるの? • 不正ログインに使用されたログイン情報の記録 • 侵入者がシェルに打ち込んだコマンドの記録&再生
 • 侵入者がサーバに置いたファイルの保存

  9. Cowrieの紹介 つまりどういう仕組み? • 悪者が無防備なサーバの22番ポートを狙って侵入…   Linuxサーバ 22 任意のuser名 任意のpassword ログイン成功!シェル起動!

    -------- user@svr04:~$ cat /etc/passwd user@svr04:~$ wget http://(悪いファイル) ...

  10. Cowrieの紹介 つまりどういう仕組み? • 残念!それは私のCowrieさんだ  Linuxサーバ 22 2222 Cowrie xxxxx SSH

    (本物) 管理者 シェルは本物ではなくてエミュレートされたもの 侵入者が打ったコマンド等の情報はログに残される

  11. Cowrieの紹介 インストール参考資料 • 公式GitHub(英語) https://github.com/micheloosterhof/cowrie • 発表者がかつてまとめたもの https://qiita.com/pypypyo14/items/f399366b34b8dfcb7aa1 (参考)構築に要求されるインフラスキル •

    インターネットにつながる Linuxサーバの用意 • Linux 一般ユーザ作成 • SSHポート番号の変更 • ファイアウォール設定変更 ◦ 必要なポートの解放 ◦ ポートフォワーディング設定 (22 → 2222) python全くわかんなくても何とか構築はできました

  12. デモンストレーション Demonstration

  13. デモンストレー ション どんな感じのログが残るか見てみよう • ログイン情報(txt, json) • 発行したコマンドのログ • おいていったファイル

  14. 不正ログイン情報 まとめてみた Access Log Summary

  15. 不正ログイン情 報まとめてみた 集計期間 • 2018/7/2(月) 00:00 ~ 7/3(火) 23:59 ※

    UTC 集計対象 • アクセス元の国 • ログインユーザID • ログインパスワード

  16. 不正ログイン情 報まとめてみた 集計期間 • 2018/7/2(月) 00:00 ~ 7/3(火) 23:59 ※

    UTC 集計対象 • アクセス元の国 • ログインユーザID • ログインパスワード ログイン試行回数 27,702件 ユニークIPアドレス 66個(12ヶ国)

  17. 不正ログイン情 報まとめてみた • (参考)かっこよい可視化の例(T-Pot)

  18. 不正ログイン情 報まとめてみた • (今回)雑な集計の例 ↓ jsonをCSVに雑に変換 +α 温かみのある手作業 ↓ からのピボット

  19. 不正ログイン情 報まとめてみた • アクセス元(国別) (日本は私の可能性が結構ある)

  20. 不正ログイン情 報まとめてみた • ログインユーザID

  21. 不正ログイン情 報まとめてみた • ログインパスワード パスワードはバリエーションに富んでいて 見てて楽しかったので 一緒に見てみましょう

  22. おしまい