Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SSHハニーポット(Cowrie) つくってあそぼのススメ

Avatar for pypypyo14 pypypyo14
July 06, 2018
Technology
57
0

SSHハニーポット(Cowrie) つくってあそぼのススメ

2018/07/06 インフラ勉強会オンライン登壇

Avatar for pypypyo14

pypypyo14

July 06, 2018

More Decks by pypypyo14

See All by pypypyo14
アラート対応で疲弊してるチームがいまできること
Avatar for pypypyo14 pypypyo14
3
4.4k
タツノコハイツ DockerHandsOn
Avatar for pypypyo14 pypypyo14
0
130

Other Decks in Technology

See All in Technology
ルールやカスタム機能、どう活かす?ハンズオンで体感するIBM Bobの出力コントロール
Avatar for mu (Mizuho Uehara) muehara
1
130
[モダンアプリ勉強会]今更聞けないGit/GitHub入門
Avatar for つくぼし tsukuboshi
0
370
Oracle AI Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
2.9k
作って終わりにしない タイミーのセマンティックレイヤー育成の現在地
Avatar for chanyou0311 chanyou0311
4
2.2k
タクシーアプリ『GO』の実践的データ活用
Avatar for GO Inc. dev mot_techtalk
3
190
How Timee Delivers Day 1 Production Ready LLM Features
Avatar for tomoyks tomoyks
0
140
2026 TECHFRESH 畢業分享會 - 開發日常大解密!從領域驅動到企業級上線
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
840
AmazonRoute 53ではじめてのドメイン取得!HTTPS化までの道のりを整理してみた
Avatar for usanchuu usanchuu
3
130
AGENTS.mdとSkillsで始めるAIエージェント活用
Avatar for そのだ sonoda_mj
3
200
MCP Appsを作ってみよう
Avatar for iwamot iwamot
PRO
4
550
Dario Amodi『Policy on the AI Exponential』を理解する
Avatar for 長津孝輔 nagatsu
0
230
Android の公式 Skill / Android skills
Avatar for Yuki Anzai yanzm
0
130

Featured

See All Featured
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.7k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.5k
From Legacy to Launchpad: Building Startup-Ready Communities
Avatar for Dug Song dugsong
0
230
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
Avatar for Ines Montani inesmontani
PRO
3
3.5k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
1.2k
Writing Fast Ruby
Avatar for Erik Berlin sferik
630
63k
Google's AI Overviews - The New Search
Avatar for Barry Adams badams
0
1k
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
250
sira's awesome portfolio website redesign presentation
Avatar for ElsiraPls elsirapls
0
280
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
Avatar for Akihiro Kokubo akihiro_kokubo
PRO
71
40k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
25k

Transcript

  1. SSHハニーポット(Cowrie) つくってあそぼのススメ 2018.07.06 おさじ@pypypyo14

  2. 自己紹介 おさじ @pypypyo14 人前で喋ることに慣れたいインフラエンジニア ハニーポット初心者 インフラ勉強会 過去の登壇 2018.02.17 独自ドメインのメールアドレスを作ろう

  3. はじめに ハニーポットを 既に触られている方には 物足りない内容です よかったらよりよい遊び方教えてください

  4. はじめに 本セッションのゴール • ハニーポットという楽しいツールの存在を知る • 本物の不正アクセス攻撃ログを見て 楽しい気持ちになる 目次: (質疑込み30分) •

    ハニーポットって何? • 低対話型SSHハニーポット Cowrie の紹介 • デモンストレーション • 2日間の不正ログイン情報まとめてみた

  5. ハニーポットって何? Honeypot is nani?

  6. ハニーポットっ て何?                        ––– wikipedia 概要 • 攻撃者をおびき寄せる「甘い罠」 • 敢えて攻撃を受け、そのログを分析することで

    攻撃者の動向分析をしたりするツール

  7. 低対話型SSHハニーポット Cowrie の紹介 Cowrie is nani?

  8. Cowrieの紹介 Cowrieとは? • SSHサーバのフリをしてくれる 「低対話型」ハニーポットの一種 • 低対話型:OSやアプリケーションをエミュレート • 高対話型:脆弱性を持つ本物の OSやアプリケーションを利用

      何ができるの? • 不正ログインに使用されたログイン情報の記録 • 侵入者がシェルに打ち込んだコマンドの記録&再生
 • 侵入者がサーバに置いたファイルの保存

  9. Cowrieの紹介 つまりどういう仕組み? • 悪者が無防備なサーバの22番ポートを狙って侵入…   Linuxサーバ 22 任意のuser名 任意のpassword ログイン成功!シェル起動!

    -------- user@svr04:~$ cat /etc/passwd user@svr04:~$ wget http://(悪いファイル) ...

  10. Cowrieの紹介 つまりどういう仕組み? • 残念!それは私のCowrieさんだ  Linuxサーバ 22 2222 Cowrie xxxxx SSH

    (本物) 管理者 シェルは本物ではなくてエミュレートされたもの 侵入者が打ったコマンド等の情報はログに残される

  11. Cowrieの紹介 インストール参考資料 • 公式GitHub(英語) https://github.com/micheloosterhof/cowrie • 発表者がかつてまとめたもの https://qiita.com/pypypyo14/items/f399366b34b8dfcb7aa1 (参考)構築に要求されるインフラスキル •

    インターネットにつながる Linuxサーバの用意 • Linux 一般ユーザ作成 • SSHポート番号の変更 • ファイアウォール設定変更 ◦ 必要なポートの解放 ◦ ポートフォワーディング設定 (22 → 2222) python全くわかんなくても何とか構築はできました

  12. デモンストレーション Demonstration

  13. デモンストレー ション どんな感じのログが残るか見てみよう • ログイン情報(txt, json) • 発行したコマンドのログ • おいていったファイル

  14. 不正ログイン情報 まとめてみた Access Log Summary

  15. 不正ログイン情 報まとめてみた 集計期間 • 2018/7/2(月) 00:00 ~ 7/3(火) 23:59 ※

    UTC 集計対象 • アクセス元の国 • ログインユーザID • ログインパスワード

  16. 不正ログイン情 報まとめてみた 集計期間 • 2018/7/2(月) 00:00 ~ 7/3(火) 23:59 ※

    UTC 集計対象 • アクセス元の国 • ログインユーザID • ログインパスワード ログイン試行回数 27,702件 ユニークIPアドレス 66個(12ヶ国)

  17. 不正ログイン情 報まとめてみた • (参考)かっこよい可視化の例(T-Pot)

  18. 不正ログイン情 報まとめてみた • (今回)雑な集計の例 ↓ jsonをCSVに雑に変換 +α 温かみのある手作業 ↓ からのピボット

  19. 不正ログイン情 報まとめてみた • アクセス元(国別) (日本は私の可能性が結構ある)

  20. 不正ログイン情 報まとめてみた • ログインユーザID

  21. 不正ログイン情 報まとめてみた • ログインパスワード パスワードはバリエーションに富んでいて 見てて楽しかったので 一緒に見てみましょう

  22. おしまい