Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Extreme Honyepotter

Extreme Honyepotter

WordPressよ永遠に

yoshinori matsumoto

October 05, 2017
Tweet

More Decks by yoshinori matsumoto

Other Decks in Technology

Transcript

  1. 彡(゚)(゚) 今日の内容
    • WordPressのセキュリティについて
    • WordPressの攻撃を集めてみた
    • WordPressの攻撃をExtremeに集める
    • 今後の展望

    View full-size slide

  2. WordPressの
    セキュリティについて

    View full-size slide

  3. 彡(゚)(゚) WordPressとは
    • オープンソースのCMS
    • ユーザシェアが圧倒的に多い
    • ユーザが多い反面、セキュリティ面で狙われるこ
    とがあり、被害を受けているサイトが多い
    全体シェア
    マーケットシェア

    View full-size slide

  4. 彡(゚)(゚) WordPressの被害事例
    • よく見られる改ざんパターン
    HACKED
    BY
    A HACKER
    ① 攻撃者の名前や主張が
    表示される場合
    ② JavaScript が埋め込まれる

    View full-size slide

  5. 彡(゚)(゚) WordPressの被害事例
    踏み台サイト
    (WordPress)
    攻撃者 標的となる組織
    ①マルウエア設置
    ②標的型メール送信
    ③誘導

    View full-size slide

  6. 彡(゚)(゚) 開発者・運用者の悩み
    • セキュリティ設定とか見たけど結構大変だし、
    うちの運用では使えないのもチラホラ…
    • プラグイン入れたけど、これで大丈夫か心配
    • どのような攻撃があるのか知りたい
    彡(^)(^)「せや!攻撃あつめたろ!」

    View full-size slide

  7. WordPressの
    攻撃を集めてみた

    View full-size slide

  8. 彡(゚)(゚) 作成したサイト
    • WordPressに対する攻撃を収集するツール
    • 攻撃を受けるWordPressを設置
    • 実際はプロキシが全て取得してログを収集

    View full-size slide

  9. 彡(゚)(゚) 考慮すべきこと
    通常のサーバ
    Web系の攻撃
    WP
    サーバ / ネットワークに対する攻撃
    広範囲で行われる
    IPアドレスを使用している
    Webサーバに対する攻撃
    使用するツール等を知っている
    (脆弱性を特定するため?)

    View full-size slide

  10. 彡(゚)(゚) 考慮すべきこと
    通常のサーバ
    Web系の攻撃
    WP
    静的ページ
    WordPress
    にする必要がある!
    dst_port : 80

    View full-size slide

  11. 彡(゚)(゚) 考慮すべきこと
    • 攻撃を受け付けるサーバはWordPressである必要
    がある
    • 何らかの方法で攻撃者に見つけてもらうサイトが
    必要
    “生きたサイト” を演じる

    View full-size slide

  12. 彡(゚)(゚) 生きたサイト
    • 自動的にサイトを更新
    • 常に新しい情報を提供
    13
    Contents
    Websites
    RSS Reader
    Scraping
    Tweet
    Post on
    WordPress

    View full-size slide

  13. 彡(゚)(゚) システム概要

    View full-size slide

  14. 彡(゚)(゚) 作成したサイト(つづき)
    • 会場のみ

    View full-size slide

  15. 集計データ
    会場のみ

    View full-size slide

  16. 彡(゚)(゚) ファイルアップロード
    画像
    攻撃用
    WordPress
    テーマ
    攻撃者によるアップロード方法
    外部からアクセス可能

    View full-size slide

  17. 彡(゚)(゚) ここまでの成果
    • WordPressに対する攻撃を収集することができた
    • ログイン画面に対する総当たり攻撃
    • テーマ、テーマプラグインに対する攻撃
    (OSSのハニポログと比べて、攻撃者はWPと分かって
    攻撃してるっぽい?)

    View full-size slide

  18. Extreme に集める

    View full-size slide

  19. 彡(゚)(゚) すいません
    • ここから先は諸事情により公開できませんので、
    かわりに私のクライマックスシリーズの予想を書
    きたいと思います

    View full-size slide

  20. 彡(゚)(゚) CS2017予想
    セ パ
    1stステージ 阪神 西武
    2ndステージ 広島 ソフトバンク
    日本シリーズ
    広島 – ソフトバンク
    (2勝 – 4勝)
    どのチームもがんばるたま~

    View full-size slide

  21. 彡(゚)(゚) 今後の課題
    今後の課題
    • データ収集して、分析
    • セキュリティ研究者、WordPress運用者との連携

    View full-size slide