Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SSHハニーポット(Cowrie) つくってあそぼのススメ

Avatar for pypypyo14 pypypyo14
July 06, 2018
Technology
0
53

SSHハニーポット(Cowrie) つくってあそぼのススメ

2018/07/06 インフラ勉強会オンライン登壇

Avatar for pypypyo14

pypypyo14

July 06, 2018
Tweet

More Decks by pypypyo14

See All by pypypyo14
アラート対応で疲弊してるチームがいまできること
Avatar for pypypyo14 pypypyo14
3
4.3k
タツノコハイツ DockerHandsOn
Avatar for pypypyo14 pypypyo14
0
130

Other Decks in Technology

See All in Technology
AWSを利用する上で知っておきたい名前解決のはなし(10分版)
Avatar for nagisa_53 nagisa53
8
2.5k
生成AI時代のデータ基盤
Avatar for shibuiwilliam shibuiwilliam
6
3.8k
下手な強制、ダメ!絶対! 「ガードレール」を「檻」にさせない"ガバナンス"の取り方とは?
Avatar for Masataka Tsukamoto tsukaman
2
390
Flutterでキャッチしないエラーはどこに行く
Avatar for AOKI Taiju taiju59
0
220
Function Body Macros で、SwiftUI の View に Accessibility Identifier を自動付与する/Function Body Macros: Autogenerate accessibility identifiers for SwiftUI Views
Avatar for Yuki Miida miichan
2
170
ヘブンバーンズレッドのレンダリングパイプライン刷新
Avatar for gree_tech gree_tech
PRO
0
600
フィンテック養成勉強会#56
Avatar for フィンテック養成コミュニティ finengine
0
130
エラーとアクセシビリティ
Avatar for Tajima Sachiko schktjm
0
1.1k
【Grafana Meetup Japan #6】Grafanaをリバプロ配下で動かすときにやること ~ Grafana Liveってなんだ ~
Avatar for よしたけ yoshitake945
0
380
DevIO2025_継続的なサービス開発のための技術的意思決定のポイント / how-to-tech-decision-makaing-devio2025
Avatar for Logy nologyance
1
320
Skrub: machine-learning with dataframes
Avatar for Gael Varoquaux gaelvaroquaux
0
120
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
8.7k

Featured

See All Featured
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
580
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
229
22k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
207
24k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
33
2.4k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
30
9.6k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
96
6.2k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
51
5.6k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
6.9k

Transcript

  1. SSHハニーポット(Cowrie) つくってあそぼのススメ 2018.07.06 おさじ@pypypyo14

  2. 自己紹介 おさじ @pypypyo14 人前で喋ることに慣れたいインフラエンジニア ハニーポット初心者 インフラ勉強会 過去の登壇 2018.02.17 独自ドメインのメールアドレスを作ろう

  3. はじめに ハニーポットを 既に触られている方には 物足りない内容です よかったらよりよい遊び方教えてください

  4. はじめに 本セッションのゴール • ハニーポットという楽しいツールの存在を知る • 本物の不正アクセス攻撃ログを見て 楽しい気持ちになる 目次: (質疑込み30分) •

    ハニーポットって何? • 低対話型SSHハニーポット Cowrie の紹介 • デモンストレーション • 2日間の不正ログイン情報まとめてみた

  5. ハニーポットって何? Honeypot is nani?

  6. ハニーポットっ て何?                        ––– wikipedia 概要 • 攻撃者をおびき寄せる「甘い罠」 • 敢えて攻撃を受け、そのログを分析することで

    攻撃者の動向分析をしたりするツール

  7. 低対話型SSHハニーポット Cowrie の紹介 Cowrie is nani?

  8. Cowrieの紹介 Cowrieとは? • SSHサーバのフリをしてくれる 「低対話型」ハニーポットの一種 • 低対話型:OSやアプリケーションをエミュレート • 高対話型:脆弱性を持つ本物の OSやアプリケーションを利用

      何ができるの? • 不正ログインに使用されたログイン情報の記録 • 侵入者がシェルに打ち込んだコマンドの記録&再生
 • 侵入者がサーバに置いたファイルの保存

  9. Cowrieの紹介 つまりどういう仕組み? • 悪者が無防備なサーバの22番ポートを狙って侵入…   Linuxサーバ 22 任意のuser名 任意のpassword ログイン成功!シェル起動!

    -------- user@svr04:~$ cat /etc/passwd user@svr04:~$ wget http://(悪いファイル) ...

  10. Cowrieの紹介 つまりどういう仕組み? • 残念!それは私のCowrieさんだ  Linuxサーバ 22 2222 Cowrie xxxxx SSH

    (本物) 管理者 シェルは本物ではなくてエミュレートされたもの 侵入者が打ったコマンド等の情報はログに残される

  11. Cowrieの紹介 インストール参考資料 • 公式GitHub(英語) https://github.com/micheloosterhof/cowrie • 発表者がかつてまとめたもの https://qiita.com/pypypyo14/items/f399366b34b8dfcb7aa1 (参考)構築に要求されるインフラスキル •

    インターネットにつながる Linuxサーバの用意 • Linux 一般ユーザ作成 • SSHポート番号の変更 • ファイアウォール設定変更 ◦ 必要なポートの解放 ◦ ポートフォワーディング設定 (22 → 2222) python全くわかんなくても何とか構築はできました

  12. デモンストレーション Demonstration

  13. デモンストレー ション どんな感じのログが残るか見てみよう • ログイン情報(txt, json) • 発行したコマンドのログ • おいていったファイル

  14. 不正ログイン情報 まとめてみた Access Log Summary

  15. 不正ログイン情 報まとめてみた 集計期間 • 2018/7/2(月) 00:00 ~ 7/3(火) 23:59 ※

    UTC 集計対象 • アクセス元の国 • ログインユーザID • ログインパスワード

  16. 不正ログイン情 報まとめてみた 集計期間 • 2018/7/2(月) 00:00 ~ 7/3(火) 23:59 ※

    UTC 集計対象 • アクセス元の国 • ログインユーザID • ログインパスワード ログイン試行回数 27,702件 ユニークIPアドレス 66個(12ヶ国)

  17. 不正ログイン情 報まとめてみた • (参考)かっこよい可視化の例(T-Pot)

  18. 不正ログイン情 報まとめてみた • (今回)雑な集計の例 ↓ jsonをCSVに雑に変換 +α 温かみのある手作業 ↓ からのピボット

  19. 不正ログイン情 報まとめてみた • アクセス元(国別) (日本は私の可能性が結構ある)

  20. 不正ログイン情 報まとめてみた • ログインユーザID

  21. 不正ログイン情 報まとめてみた • ログインパスワード パスワードはバリエーションに富んでいて 見てて楽しかったので 一緒に見てみましょう

  22. おしまい