Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
Search
takahoyo
August 13, 2014
Technology
0
55
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
セキュリティ・キャンプ 全国大会 2014 のチューター成果報告で発表したハニーポットの運用の話です。
takahoyo
August 13, 2014
Tweet
Share
More Decks by takahoyo
See All by takahoyo
OSEP取るまでにやったこと
takahoyo
0
1.2k
"申" (猿)がつくセキュリティツールを検証してみた
takahoyo
4
940
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
takahoyo
4
1.7k
malspamの情報収集と解析 / malspam information gathering and analysis
takahoyo
0
77
Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack
takahoyo
0
89
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
takahoyo
2
1.7k
パケットで遊ぼう / let's play using network packet
takahoyo
0
140
hpingで作るパケット / network packet craft by hping
takahoyo
0
240
Other Decks in Technology
See All in Technology
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
670
LLM開発・活用の舞台裏@2024.04.25
yushin_n
1
150
require(ESM)とECMAScript仕様
uhyo
3
660
DevOpsDays History and my DevOps story
kawaguti
PRO
9
2.5k
Vertex AI を中心に 生成AIのアップデートを共有します
kaz1437
0
310
長期間TiDBを使ってきた話 @ 私たちはなぜNewSQLを使うのかTiDB選定5社が語る選定理由と活用LT / Experiences with TiDB Over Time
chibiegg
2
900
反実仮想機械学習とは何か
usaito
PRO
11
4.6k
どうするコスト最適化のトレードオフ
tetsuyaooooo
1
520
ServiceNow Knowledge 24の歩き方 EYストラテジー・アンド・コンサルティング
manarobot
0
200
LayerXにおけるLLMプロダクト開発の今までとこれから
layerx
PRO
1
180
オーナーシップを持つ領域を明確にする
konifar
13
3.2k
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
7
1.3k
Featured
See All Featured
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
How to name files
jennybc
65
93k
Mobile First: as difficult as doing things right
swwweet
216
8.6k
Building Applications with DynamoDB
mza
88
5.6k
Why Our Code Smells
bkeepers
PRO
331
56k
Creatively Recalculating Your Daily Design Routine
revolveconf
210
11k
Being A Developer After 40
akosma
57
580k
BBQ
matthewcrist
80
8.8k
Building an army of robots
kneath
300
41k
The Brand Is Dead. Long Live the Brand.
mthomps
49
29k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
19
1.7k
Transcript
ハニーポットの運用結果及び考察 @takahoyo
目次 ハニーポットとは 運用したハニーポットの概要 ログの解析について 解析結果 結果から考えられること 今後どうするか
ハニーポットとは 攻撃を受けやすいようわざと脆弱性を残したサーバなど 主な目的 マルウェアを捕獲する 攻撃者(マルウェア)の攻撃を分析する 様々な種類
低対話型:サービスをエミュレート 高対話型:本物のアプリケーションやOS クライアント型:自分から怪しいサイトにアクセスしに行く
運用したハニーポット 2種類の低対話型ハニーポット Dionaea Kippo
Dionaea(ハエトリグサ) FTP,HTTP,SMB,MSSQL,MYSQLなど多くのサービスをエミュレート SMBやFTPで捕まえたバイナリを保存 通信のログも保存 SQLiteのデータベースでログを出力可 Virus Totalとの連携機能(バイナリの解析結果をログに保存) p0f v2とも連携が可 通信からOSを予測(passive
fingerprinting)しログに保存
Kippo SSHをエミュレート Brute-force Attackをログするように設計 ログインした攻撃者にはシェルを操作させる コマンドもエミュレート シェル操作履歴もログに残る(Demo) wgetでダウンロードしたバイナリも保存 Dionaeaと共存が可能!!
ログの解析項目 Dionaea 日毎のアクセス回数 アクセスされているサービス アクセスしてきた国 アクセスしてきた端末のOS 捕まったマルウェアの種類 Kippo アクセスしてきた国 アクセスしてきたユーザ
アクセスしてきたパスワード
解析に用いたツール Excel 時々 Python Excel SQLite DBをすべてCSVにしてExcelにインポート 頻度分析や結果のグラフ化など Python IP→Countryの変換(GeoIP
DBのPython用APIを使用) Kippoのログからuser/passのcsvファイル作成
解析結果 2014年6月7日 ~ 7月31日の約2カ月間運用 総アクセス数 Dionaea : 2,504,496件 (SQLiteのログが2GBくらい) Kippo
: 12,243件
Dionaea 解析結果
なんとなく周期がある?
圧倒的にSMB
SMB以外では HTTP, SQL系が狙われやすい
アメリカ・ロシア・台湾・中国が多い
圧倒的にWindows ※結果が正確ではありません
Windows XP・2000が目立つ ※結果が正確ではありません
ほとんどがワーム
Kippo 解析結果
ほとんど中国
・rootが圧倒的( rootでログインできないようにする) ・ここにあるユーザ名は使うべきではない
ここにあるパスワードは使うべきではない
結果から考えられること (Dionaea) アクセスのほとんどがマルウェア(ワーム)による感染活動 → アクセスして来た国はマルウェア感染端末が多い → Win Vista以前のOSに感染してることが多い SQLは狙われやすいから、使わないなら塞ごう マルウェア収集には限界がある
→マルウェア収集にはWebクライアント型の方が良いかも
結果から考えられること (Kippo) マルウェアがパスワードの試行を試している可能性も rootでログインできないようにしておこう passwordとかわかりやすいパスワードにするのは絶対やめよう (Honeypotなら別だが…)
今後どうするか ログ解析について マクロな解析だけでなくミクロな解析も 改善点 ハニーポットとわかりにくくする Dionaeaは、nmapでバレる Kippoは、SHODANにバレる、シェルを操作するとバレる → コードに改良を施す
9月くらいには再稼働したいな…
END Thank you for Listening