Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Openproxy型ハニーポット「Proxypot」

phishing-hunter
December 18, 2022

 Openproxy型ハニーポット「Proxypot」

OpenProxyをエミュレーションする高インタラクションなハニーポット「proxypot」を開発しました。

ハニーポット
https://github.com/phishing-hunter/proxypot
ログ解析ツール
https://github.com/phishing-hunter/proxypot-analyzer

---------------------------------------------------------------------------
他にも以下のツールやサービスを提供しております

フィッシングサイト通知サービス「フィッシングハンター」
http://phishing-hunter.com/

サイトクローン検出ツール
https://github.com/phishing-hunter/phishing-blocker

類似ドメイン検索サイト
http://demo.phishing-hunter.com/

phishing-hunter

December 18, 2022
Tweet

More Decks by phishing-hunter

Other Decks in Research

Transcript

  1. プロキシ型ハニーポット
    「Proxypot」

    View full-size slide

  2. 自己紹介
    Twitter: @hunter_phishing
    Github: phishing-hunter
    フィッシング・ハンターを開発してます。
    http://phishing-hunter.com/

    View full-size slide

  3. Proxypot
    ● ハニーポット本体
    ○ https://github.com/phishing-hunter/proxypot
    ● ログ解析ツール
    ○ https://github.com/phishing-hunter/proxypot-analyzer

    View full-size slide

  4. 踏み台のスキャン
    攻撃者は踏み台として利用できそう
    なサーバをスキャンする
    オープンプロキシリスト

    View full-size slide

  5. 匿名性の確認
    プロキシサーバ
    HTTP_CONNECTION = keep-alive
    HTTP_HOST = azenv.net
    REMOTE_PORT = 65268
    REMOTE_ADDR = プロキシサーバのIPアドレス
    REQUEST_SCHEME = http
    REQUEST_URI = /
    REQUEST_METHOD = GET
    REQUEST_TIME_FLOAT = 1669536890.6417
    REQUEST_TIME = 1669536890
    PHP環境変数
    チェッカー
    ・レスポンスに「プロキシサーバのIPアドレス」が含まれている: OK
    ・攻撃者のIPアドレス情報が含まれていない
    : OK
    ・プロキシ特有のヘッダが入っている
    : NG
    ・プロキシサーバの応答速度
    : OK

    View full-size slide

  6. スパムメールの送信
    オープンプロキシ メールサーバ
    smtp.gmail.com:25

    View full-size slide

  7. プロキシチェッカーのランキングを操作する
    5.踏み台として利用
    1. オープンプロキシ
    チェッカーでスキャン
    2. 自動スキャン
    4.結果を参照
    プロキシ型ハニーポット
    3.ハニーポット
    が登録される
    6.攻撃者の通信を見
    ることができる

    View full-size slide

  8. スパムメールが送られるはずだったが
    オープンプロキシ メールサーバ
    smtp.gmail.com:25

    View full-size slide

  9. ハニーポットの中にメールが送信される
    リバースプロキシ
    smtp.gmail.com:25
    ハニーポット
    localhost:25
    honeypot:1080

    View full-size slide

  10. 多段プロキシにも対応
    smtp.gmail.com:25
    ハニーポット
    localhost:25
    honeypot:1080
    proxy1:8000
    proxy2:8080
    proxy3:80

    View full-size slide

  11. 既存のハニーポットに誘導できる
    ハニーポット
    dionaea:20
    dionaea:21
    cowrie:22
    cowrie:23
    smtpd:25
    dionaea:42
    dionaea:1883
    dionaea:3306
    dicompot:11112
    honeypot:1080
    proxy1:8000
    proxy2:8080
    proxy3:80 hostname:port

    View full-size slide

  12. ペイロード書き換えも可能
    ハニーポット
    smtp4dev:25
    honeypot:1080
    proxy1:8000
    proxy2:8080
    proxy3:80
    socat:25
    sed -u 's/220.*smtp4dev ready/220 smtp.gmail.com ESMTP - gsmtp/g'

    View full-size slide

  13. 必要なサーバスペック
    ハニーポット 1
    cpu: 2
    memory: 1GB
    ハニーポット 2
    cpu: 2
    memory: 1GB
    ハニーポット 3
    cpu: 2
    memory: 1GB
    SCP or AMQP
    ログ可視化サーバ
    (データ量に応じてスケールする )

    View full-size slide