Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SSHハニーポット(Cowrie) つくってあそぼのススメ

Avatar for pypypyo14 pypypyo14
July 06, 2018
Technology
57
0

SSHハニーポット(Cowrie) つくってあそぼのススメ

2018/07/06 インフラ勉強会オンライン登壇

Avatar for pypypyo14

pypypyo14

July 06, 2018

More Decks by pypypyo14

See All by pypypyo14
アラート対応で疲弊してるチームがいまできること
Avatar for pypypyo14 pypypyo14
3
4.4k
タツノコハイツ DockerHandsOn
Avatar for pypypyo14 pypypyo14
0
130

Other Decks in Technology

See All in Technology
【PHPカンファレンス小田原2026】Webアプリケーションエンジニアにも知ってほしい オブザーバビリティ の本質
Avatar for Futoshi Endo fendo181
0
590
システムは「動く」だけでは足りない 実装編 - 非機能要件・分散システム・トレードオフをコードで見る
Avatar for nwiizo nwiizo
3
350
NOSTR, réseau social et espace de liberté décentralisé
Avatar for Renaud Lifchitz rlifchitz
0
170
申請待ちゼロへ!AWS × Entra IDで実現した「権限付与」のセルフサービス化
Avatar for みずほリサーチ&テクノロジーズ株式会社 先端技術研究部 mhrtech
1
290
🀄️ on swiftc
Avatar for giginet giginet
PRO
0
340
生成AI時代のエンジニア育成 変わる時代と変わらないコト
Avatar for starfish719 starfish719
0
660
Discordでリモートポケカしてたら、なぜかDOを25分間動かせるようになった話
Avatar for Kaito Udagawa umireon
0
130
Databricksを用いたセキュアなデータ基盤構築とAIプロダクトへの応用.pdf
Avatar for PKSHA Technology(パークシャテクノロジー) pkshadeck
PRO
0
300
こんなアーキテクチャ図はいやだ / Anti-pattern in AWS Architecture Diagrams
Avatar for Naomi Yamasaki naospon
1
180
すごいぞManaged Kubernetes
Avatar for Haruka Sakihara harukasakihara
1
400
今年60歳のおっさんCBになる
Avatar for Hiroo Katoh kentapapa
1
370
CC Workflow Studio
Avatar for breaking-brake seiyakobayashi
0
320

Featured

See All Featured
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
320
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
Avatar for Ines Montani inesmontani
PRO
0
310
ラッコキーワード サービス紹介資料
Avatar for ラッコ株式会社 rakko
1
3M
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
52k
How to Grow Your eCommerce with AI & Automation
Avatar for Katarina Dahlin katarinadahlin
PRO
1
160
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
141
7.4k
Building a A Zero-Code AI SEO Workflow
Avatar for Ian Lurie portentint
PRO
0
440
The Illustrated Guide to Node.js - THAT Conference 2024
Avatar for David Neal reverentgeek
1
330
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
2
200
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
287
14k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
47
8k

Transcript

  1. SSHハニーポット(Cowrie) つくってあそぼのススメ 2018.07.06 おさじ@pypypyo14

  2. 自己紹介 おさじ @pypypyo14 人前で喋ることに慣れたいインフラエンジニア ハニーポット初心者 インフラ勉強会 過去の登壇 2018.02.17 独自ドメインのメールアドレスを作ろう

  3. はじめに ハニーポットを 既に触られている方には 物足りない内容です よかったらよりよい遊び方教えてください

  4. はじめに 本セッションのゴール • ハニーポットという楽しいツールの存在を知る • 本物の不正アクセス攻撃ログを見て 楽しい気持ちになる 目次: (質疑込み30分) •

    ハニーポットって何? • 低対話型SSHハニーポット Cowrie の紹介 • デモンストレーション • 2日間の不正ログイン情報まとめてみた

  5. ハニーポットって何? Honeypot is nani?

  6. ハニーポットっ て何?                        ––– wikipedia 概要 • 攻撃者をおびき寄せる「甘い罠」 • 敢えて攻撃を受け、そのログを分析することで

    攻撃者の動向分析をしたりするツール

  7. 低対話型SSHハニーポット Cowrie の紹介 Cowrie is nani?

  8. Cowrieの紹介 Cowrieとは? • SSHサーバのフリをしてくれる 「低対話型」ハニーポットの一種 • 低対話型:OSやアプリケーションをエミュレート • 高対話型:脆弱性を持つ本物の OSやアプリケーションを利用

      何ができるの? • 不正ログインに使用されたログイン情報の記録 • 侵入者がシェルに打ち込んだコマンドの記録&再生
 • 侵入者がサーバに置いたファイルの保存

  9. Cowrieの紹介 つまりどういう仕組み? • 悪者が無防備なサーバの22番ポートを狙って侵入…   Linuxサーバ 22 任意のuser名 任意のpassword ログイン成功!シェル起動!

    -------- user@svr04:~$ cat /etc/passwd user@svr04:~$ wget http://(悪いファイル) ...

  10. Cowrieの紹介 つまりどういう仕組み? • 残念!それは私のCowrieさんだ  Linuxサーバ 22 2222 Cowrie xxxxx SSH

    (本物) 管理者 シェルは本物ではなくてエミュレートされたもの 侵入者が打ったコマンド等の情報はログに残される

  11. Cowrieの紹介 インストール参考資料 • 公式GitHub(英語) https://github.com/micheloosterhof/cowrie • 発表者がかつてまとめたもの https://qiita.com/pypypyo14/items/f399366b34b8dfcb7aa1 (参考)構築に要求されるインフラスキル •

    インターネットにつながる Linuxサーバの用意 • Linux 一般ユーザ作成 • SSHポート番号の変更 • ファイアウォール設定変更 ◦ 必要なポートの解放 ◦ ポートフォワーディング設定 (22 → 2222) python全くわかんなくても何とか構築はできました

  12. デモンストレーション Demonstration

  13. デモンストレー ション どんな感じのログが残るか見てみよう • ログイン情報(txt, json) • 発行したコマンドのログ • おいていったファイル

  14. 不正ログイン情報 まとめてみた Access Log Summary

  15. 不正ログイン情 報まとめてみた 集計期間 • 2018/7/2(月) 00:00 ~ 7/3(火) 23:59 ※

    UTC 集計対象 • アクセス元の国 • ログインユーザID • ログインパスワード

  16. 不正ログイン情 報まとめてみた 集計期間 • 2018/7/2(月) 00:00 ~ 7/3(火) 23:59 ※

    UTC 集計対象 • アクセス元の国 • ログインユーザID • ログインパスワード ログイン試行回数 27,702件 ユニークIPアドレス 66個(12ヶ国)

  17. 不正ログイン情 報まとめてみた • (参考)かっこよい可視化の例(T-Pot)

  18. 不正ログイン情 報まとめてみた • (今回)雑な集計の例 ↓ jsonをCSVに雑に変換 +α 温かみのある手作業 ↓ からのピボット

  19. 不正ログイン情 報まとめてみた • アクセス元(国別) (日本は私の可能性が結構ある)

  20. 不正ログイン情 報まとめてみた • ログインユーザID

  21. 不正ログイン情 報まとめてみた • ログインパスワード パスワードはバリエーションに富んでいて 見てて楽しかったので 一緒に見てみましょう

  22. おしまい