Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Openproxy型ハニーポット「Proxypot」

phishing-hunter
December 18, 2022
Research
0
390

 Openproxy型ハニーポット「Proxypot」

OpenProxyをエミュレーションする高インタラクションなハニーポット「proxypot」を開発しました。

ハニーポット
https://github.com/phishing-hunter/proxypot
ログ解析ツール
https://github.com/phishing-hunter/proxypot-analyzer

---------------------------------------------------------------------------
他にも以下のツールやサービスを提供しております

フィッシングサイト通知サービス「フィッシングハンター」
http://phishing-hunter.com/

サイトクローン検出ツール
https://github.com/phishing-hunter/phishing-blocker

類似ドメイン検索サイト
http://demo.phishing-hunter.com/

phishing-hunter

December 18, 2022
Tweet

More Decks by phishing-hunter

See All by phishing-hunter
フィッシングサイトをテイクダウンする方法
tatsui
0
310
Phishing Hunging Operations (PHOps)
tatsui
0
2.1k

Other Decks in Research

See All in Research
第21回チャンピオンズミーティング・カプリコーン杯ラウンド1集計 / Umamusume Capricorn 2023 Round1
kitachan_black
0
850
[SPEASIP 2023招待講演] マルチスポット再生 meets 多言語ニューラル音声合成 ~実装 is ホンマに all we need~
takuma_okamoto
1
120
[IR Reading 2022秋 論文紹介] Price DOES Matter!: Modeling Price and Interest Preferences in Session-based Recommendation (SIGIR 2022) /IR-Reading-2022-fall
koheishinden
3
120
ABEMAにおけるサムネイル検証とOPE活用
ebisawahayata
2
1k
ランダムフォレストによる因果推論と最近の展開
tomoshige_n
11
6k
Self-Supervised Learning
naok615
5
2.9k
第23回チャンピオンズミーティング・ピスケス杯ラウンド2集計 / Umamusume Aquarius 2023 Round2
kitachan_black
0
640
ウェブ・ソーシャルメディア論文読み会: How digital media drive affective polarization through partisan sorting
hkefka385
0
110
広告文生成タスクの規定とベンチマーク構築(NLP2023)
chemical_tree
0
160
NLPとVision-and-Languageの基礎・最新動向 (2) / DEIM Tutorial Part 2 Vision-and-Language
kyoun
10
5.3k
機械学習と機械発見:自然科学研究におけるデータ利活用の再考
itakigawa
4
2k
NICOGRAPH 2022 で発表してきました
enkatsu
0
130

Featured

See All Featured
GitHub's CSS Performance
jonrohan
1021
430k
Teambox: Starting and Learning
jrom
124
8k
Keith and Marios Guide to Fast Websites
keithpitt
407
21k
Art Directing for the Web. Five minutes with CSS Template Areas
malarkey
197
11k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
224
50k
Become a Pro
speakerdeck
PRO
6
3.3k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
182
15k
Done Done
chrislema
178
15k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
15
1.3k
5 minutes of I Can Smell Your CMS
philhawksworth
198
18k
Six Lessons from altMBA
skipperchong
15
2.4k
4 Signs Your Business is Dying
shpigford
171
20k

Transcript

  1. プロキシ型ハニーポット
    「Proxypot」

    View Slide

  2. 自己紹介
    Twitter: @hunter_phishing
    Github: phishing-hunter
    フィッシング・ハンターを開発してます。
    http://phishing-hunter.com/

    View Slide

  3. Proxypot
    ● ハニーポット本体
    ○ https://github.com/phishing-hunter/proxypot
    ● ログ解析ツール
    ○ https://github.com/phishing-hunter/proxypot-analyzer

    View Slide

  4. 踏み台のスキャン
    攻撃者は踏み台として利用できそう
    なサーバをスキャンする
    オープンプロキシリスト

    View Slide

  5. 匿名性の確認
    プロキシサーバ
    HTTP_CONNECTION = keep-alive
    HTTP_HOST = azenv.net
    REMOTE_PORT = 65268
    REMOTE_ADDR = プロキシサーバのIPアドレス
    REQUEST_SCHEME = http
    REQUEST_URI = /
    REQUEST_METHOD = GET
    REQUEST_TIME_FLOAT = 1669536890.6417
    REQUEST_TIME = 1669536890
    PHP環境変数
    チェッカー
    ・レスポンスに「プロキシサーバのIPアドレス」が含まれている: OK
    ・攻撃者のIPアドレス情報が含まれていない
    : OK
    ・プロキシ特有のヘッダが入っている
    : NG
    ・プロキシサーバの応答速度
    : OK

    View Slide

  6. スパムメールの送信
    オープンプロキシ メールサーバ
    smtp.gmail.com:25

    View Slide

  7. プロキシチェッカーのランキングを操作する
    5.踏み台として利用
    1. オープンプロキシ
    チェッカーでスキャン
    2. 自動スキャン
    4.結果を参照
    プロキシ型ハニーポット
    3.ハニーポット
    が登録される
    6.攻撃者の通信を見
    ることができる

    View Slide

  8. スパムメールが送られるはずだったが
    オープンプロキシ メールサーバ
    smtp.gmail.com:25

    View Slide

  9. ハニーポットの中にメールが送信される
    リバースプロキシ
    smtp.gmail.com:25
    ハニーポット
    localhost:25
    honeypot:1080

    View Slide

  10. 多段プロキシにも対応
    smtp.gmail.com:25
    ハニーポット
    localhost:25
    honeypot:1080
    proxy1:8000
    proxy2:8080
    proxy3:80

    View Slide

  11. 既存のハニーポットに誘導できる
    ハニーポット
    dionaea:20
    dionaea:21
    cowrie:22
    cowrie:23
    smtpd:25
    dionaea:42
    dionaea:1883
    dionaea:3306
    dicompot:11112
    honeypot:1080
    proxy1:8000
    proxy2:8080
    proxy3:80 hostname:port

    View Slide

  12. ペイロード書き換えも可能
    ハニーポット
    smtp4dev:25
    honeypot:1080
    proxy1:8000
    proxy2:8080
    proxy3:80
    socat:25
    sed -u 's/220.*smtp4dev ready/220 smtp.gmail.com ESMTP - gsmtp/g'

    View Slide

  13. 必要なサーバスペック
    ハニーポット 1
    cpu: 2
    memory: 1GB
    ハニーポット 2
    cpu: 2
    memory: 1GB
    ハニーポット 3
    cpu: 2
    memory: 1GB
    SCP or AMQP
    ログ可視化サーバ
    (データ量に応じてスケールする )

    View Slide