Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Openproxy型ハニーポット「Proxypot」

phishing-hunter
December 18, 2022
Research
0
910

 Openproxy型ハニーポット「Proxypot」

OpenProxyをエミュレーションする高インタラクションなハニーポット「proxypot」を開発しました。

ハニーポット
https://github.com/phishing-hunter/proxypot
ログ解析ツール
https://github.com/phishing-hunter/proxypot-analyzer

---------------------------------------------------------------------------
他にも以下のツールやサービスを提供しております

フィッシングサイト通知サービス「フィッシングハンター」
http://phishing-hunter.com/

サイトクローン検出ツール
https://github.com/phishing-hunter/phishing-blocker

類似ドメイン検索サイト
http://demo.phishing-hunter.com/

phishing-hunter

December 18, 2022
Tweet

More Decks by phishing-hunter

See All by phishing-hunter
フィッシングサイトをテイクダウンする方法
tatsui
0
540
Phishing Hunging Operations (PHOps)
tatsui
0
3.1k

Other Decks in Research

See All in Research
[Human-AI Decision Making勉強会] 説明の更新はユーザにどのような影響をもたらすか
okoso
1
180
CSC590 Lecture 01
javiergs
PRO
0
130
NeurIPS-23 参加報告 + DPO 解説
akifumi_wachi
4
1.5k
データで診て考える合志市の渋滞と公共交通 ~めざせ 車1割削減、渋滞半減、公共交通2倍~
trafficbrain
0
460
Gmail の「メール送信者のガイドライン」強化から 1 ヵ月、今後予想されるメールセキュリティの変化とは
hirachan
1
240
Introduction of NII S. Koyama's Lab (AY2024)
skoyamalab
0
110
[ICLR'24] Towards Assessing and Benchmarking Risk-Return Tradeoff of OPE
harukakiyohara_
0
200
Discovering Universal Geometry in Embeddings with ICA
momoseoyama
1
350
F0に基づいて伸縮された画像文字からの音声合成 [ASJ2024春]
nehi0615
0
120
メタ動画データセットによる動作認識の現状と可能性
yuyay
0
180
MLtraq: Track your AI experiments at hyperspeed
micheda
1
110
ゼロからわかるリザバーコンピューティング
kurotaky
1
300

Featured

See All Featured
Become a Pro
speakerdeck
PRO
11
4.5k
A Modern Web Designer's Workflow
chriscoyier
689
190k
Side Projects
sachag
451
41k
The Pragmatic Product Professional
lauravandoore
25
5.8k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
7
1k
Making the Leap to Tech Lead
cromwellryan
124
8.5k
What's in a price? How to price your products and services
michaelherold
237
11k
How GitHub (no longer) Works
holman
304
140k
Teambox: Starting and Learning
jrom
128
8.4k
What the flash - Photography Introduction
edds
64
11k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
40
4.4k
Mobile First: as difficult as doing things right
swwweet
216
8.6k

Transcript

  1. プロキシ型ハニーポット 「Proxypot」

  2. 自己紹介 Twitter: @hunter_phishing Github: phishing-hunter フィッシング・ハンターを開発してます。 http://phishing-hunter.com/

  3. Proxypot • ハニーポット本体 ◦ https://github.com/phishing-hunter/proxypot • ログ解析ツール ◦ https://github.com/phishing-hunter/proxypot-analyzer

  4. 踏み台のスキャン 攻撃者は踏み台として利用できそう なサーバをスキャンする オープンプロキシリスト

  5. 匿名性の確認 プロキシサーバ HTTP_CONNECTION = keep-alive HTTP_HOST = azenv.net REMOTE_PORT =

    65268 REMOTE_ADDR = プロキシサーバのIPアドレス REQUEST_SCHEME = http REQUEST_URI = / REQUEST_METHOD = GET REQUEST_TIME_FLOAT = 1669536890.6417 REQUEST_TIME = 1669536890 PHP環境変数 チェッカー ・レスポンスに「プロキシサーバのIPアドレス」が含まれている: OK ・攻撃者のIPアドレス情報が含まれていない : OK ・プロキシ特有のヘッダが入っている : NG ・プロキシサーバの応答速度 : OK

  6. スパムメールの送信 オープンプロキシ メールサーバ smtp.gmail.com:25

  7. プロキシチェッカーのランキングを操作する 5.踏み台として利用 1. オープンプロキシ チェッカーでスキャン 2. 自動スキャン 4.結果を参照 プロキシ型ハニーポット 3.ハニーポット

    が登録される 6.攻撃者の通信を見 ることができる

  8. スパムメールが送られるはずだったが オープンプロキシ メールサーバ smtp.gmail.com:25

  9. ハニーポットの中にメールが送信される リバースプロキシ smtp.gmail.com:25 ハニーポット localhost:25 honeypot:1080

  10. 多段プロキシにも対応 smtp.gmail.com:25 ハニーポット localhost:25 honeypot:1080 proxy1:8000 proxy2:8080 proxy3:80

  11. 既存のハニーポットに誘導できる ハニーポット dionaea:20 dionaea:21 cowrie:22 cowrie:23 smtpd:25 dionaea:42 dionaea:1883 dionaea:3306

    dicompot:11112 honeypot:1080 proxy1:8000 proxy2:8080 proxy3:80 hostname:port

  12. ペイロード書き換えも可能 ハニーポット smtp4dev:25 honeypot:1080 proxy1:8000 proxy2:8080 proxy3:80 socat:25 sed -u

    's/220.*smtp4dev ready/220 smtp.gmail.com ESMTP - gsmtp/g'

  13. 必要なサーバスペック ハニーポット 1 cpu: 2 memory: 1GB ハニーポット 2 cpu:

    2 memory: 1GB ハニーポット 3 cpu: 2 memory: 1GB SCP or AMQP ログ可視化サーバ (データ量に応じてスケールする )