Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
低対話型サーバハニーポットの運用結果及び考察 / Operation result of lo...
Search
takahoyo
August 13, 2014
Technology
260
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
セキュリティ・キャンプ 全国大会 2014 のチューター成果報告で発表したハニーポットの運用の話です。
takahoyo
August 13, 2014
More Decks by takahoyo
See All by takahoyo
OSEP取るまでにやったこと
takahoyo
3
2.4k
"申" (猿)がつくセキュリティツールを検証してみた
takahoyo
4
1.3k
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
takahoyo
4
1.9k
malspamの情報収集と解析 / malspam information gathering and analysis
takahoyo
0
120
Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack
takahoyo
0
220
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
takahoyo
2
2.2k
パケットで遊ぼう / let's play using network packet
takahoyo
0
230
hpingで作るパケット / network packet craft by hping
takahoyo
0
430
Other Decks in Technology
See All in Technology
フルAIで個人開発して学んだあれこれ / yuruai vol.1
isaoshimizu
0
170
Fabricをフル活用する AI Agent Hub -製造業特化AIエージェントの設計
iotcomjpadmin
0
190
デジタル・デザイン構想 by Sayaka Ishizuka
y150saya
0
170
記録をかんたんに、提案をパーソナルに ── AIであすけんが目指すもの
oprstchn
0
110
クラウドファンディング版StackChan 3体(4体)をインタラクティブな体験型作品にして展示もした話 / スタックチャンお誕生日会2026
you
PRO
0
270
product engineering with qa
nealle
0
140
AIエージェントとPhysical AIが拓く製造業の変革(ハノーバーメッセリキャップ)
iotcomjpadmin
0
200
Docker Desktop不要の時代が来る? WSL標準の「wslc」で Linuxコンテナを動かしてみた.
ueponx
0
500
背中から、背中へ /paying forward to community
naitosatoshi
0
210
AWS Summit 2026で見えたSIerにとっての Amazon Quickの位置づけ
maf_0521
0
150
BPaaSで進むAIオペレーションの現在地 AI実装が効く領域とスケーラビリティの選定と実装
kentarofujii
0
250
どうして今サーバーサイドKotlinを選択したのか
nealle
0
180
Featured
See All Featured
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
4.1k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
250
1.3M
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
2
590
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
170
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.3k
Balancing Empowerment & Direction
lara
6
1.2k
30 Presentation Tips
portentint
PRO
1
340
Prompt Engineering for Job Search
mfonobong
0
360
Leo the Paperboy
mayatellez
7
1.9k
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
1
260
Thoughts on Productivity
jonyablonski
76
5.2k
Transcript
ハニーポットの運用結果及び考察 @takahoyo
目次 ハニーポットとは 運用したハニーポットの概要 ログの解析について 解析結果 結果から考えられること 今後どうするか
ハニーポットとは 攻撃を受けやすいようわざと脆弱性を残したサーバなど 主な目的 マルウェアを捕獲する 攻撃者(マルウェア)の攻撃を分析する 様々な種類
低対話型:サービスをエミュレート 高対話型:本物のアプリケーションやOS クライアント型:自分から怪しいサイトにアクセスしに行く
運用したハニーポット 2種類の低対話型ハニーポット Dionaea Kippo
Dionaea(ハエトリグサ) FTP,HTTP,SMB,MSSQL,MYSQLなど多くのサービスをエミュレート SMBやFTPで捕まえたバイナリを保存 通信のログも保存 SQLiteのデータベースでログを出力可 Virus Totalとの連携機能(バイナリの解析結果をログに保存) p0f v2とも連携が可 通信からOSを予測(passive
fingerprinting)しログに保存
Kippo SSHをエミュレート Brute-force Attackをログするように設計 ログインした攻撃者にはシェルを操作させる コマンドもエミュレート シェル操作履歴もログに残る(Demo) wgetでダウンロードしたバイナリも保存 Dionaeaと共存が可能!!
ログの解析項目 Dionaea 日毎のアクセス回数 アクセスされているサービス アクセスしてきた国 アクセスしてきた端末のOS 捕まったマルウェアの種類 Kippo アクセスしてきた国 アクセスしてきたユーザ
アクセスしてきたパスワード
解析に用いたツール Excel 時々 Python Excel SQLite DBをすべてCSVにしてExcelにインポート 頻度分析や結果のグラフ化など Python IP→Countryの変換(GeoIP
DBのPython用APIを使用) Kippoのログからuser/passのcsvファイル作成
解析結果 2014年6月7日 ~ 7月31日の約2カ月間運用 総アクセス数 Dionaea : 2,504,496件 (SQLiteのログが2GBくらい) Kippo
: 12,243件
Dionaea 解析結果
なんとなく周期がある?
圧倒的にSMB
SMB以外では HTTP, SQL系が狙われやすい
アメリカ・ロシア・台湾・中国が多い
圧倒的にWindows ※結果が正確ではありません
Windows XP・2000が目立つ ※結果が正確ではありません
ほとんどがワーム
Kippo 解析結果
ほとんど中国
・rootが圧倒的( rootでログインできないようにする) ・ここにあるユーザ名は使うべきではない
ここにあるパスワードは使うべきではない
結果から考えられること (Dionaea) アクセスのほとんどがマルウェア(ワーム)による感染活動 → アクセスして来た国はマルウェア感染端末が多い → Win Vista以前のOSに感染してることが多い SQLは狙われやすいから、使わないなら塞ごう マルウェア収集には限界がある
→マルウェア収集にはWebクライアント型の方が良いかも
結果から考えられること (Kippo) マルウェアがパスワードの試行を試している可能性も rootでログインできないようにしておこう passwordとかわかりやすいパスワードにするのは絶対やめよう (Honeypotなら別だが…)
今後どうするか ログ解析について マクロな解析だけでなくミクロな解析も 改善点 ハニーポットとわかりにくくする Dionaeaは、nmapでバレる Kippoは、SHODANにバレる、シェルを操作するとバレる → コードに改良を施す
9月くらいには再稼働したいな…
END Thank you for Listening