Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ハニーポッターの興味を引く攻撃事例紹介& Web サーバのログ調査方法紹介
Search
Kazuaki Morihisa
June 04, 2017
Technology
5
3.4k
ハニーポッターの興味を引く攻撃事例紹介& Web サーバのログ調査方法紹介
2017年6月4日 第3回tktkセキュリティ勉強会@高槻市立生涯学習センター発表資料
https://tktksec.connpass.com/event/52665/
Kazuaki Morihisa
June 04, 2017
Tweet
Share
More Decks by Kazuaki Morihisa
See All by Kazuaki Morihisa
まだ見ぬ攻撃を求めて
morihi_soc
1
1k
ハニーポットのログを国別で傾向分析してみた
morihi_soc
1
1.9k
ハニーポットで見る攻撃の検知傾向 〜秘密のファイル〜
morihi_soc
2
1.9k
あの脆弱性は今 ~ハニーポットで追ってみた~
morihi_soc
5
3.1k
ハニーポット活用事例紹介
morihi_soc
0
1.2k
ハニーポットの育てかた
morihi_soc
0
1.2k
Satori 系ボットネット観察 Attack from Japan
morihi_soc
0
1.8k
ハニーポットと脆弱性スキャン
morihi_soc
2
1.3k
Drupalgeddon2 をハニーポットで観察してみた
morihi_soc
1
1.2k
Other Decks in Technology
See All in Technology
開発生産性向上! 育成を「改善」と捉えるエンジニア育成戦略
shoota
2
400
[Ruby] Develop a Morse Code Learning Gem & Beep from Strings
oguressive
1
170
組織に自動テストを書く文化を根付かせる戦略(2024冬版) / Building Automated Test Culture 2024 Winter Edition
twada
PRO
17
4.7k
watsonx.ai Dojo #5 ファインチューニングとInstructLAB
oniak3ibm
PRO
0
170
Wantedly での Datadog 活用事例
bgpat
1
520
WACATE2024冬セッション資料(ユーザビリティ)
scarletplover
0
210
ガバメントクラウドのセキュリティ対策事例について
fujisawaryohei
0
560
Opcodeを読んでいたら何故かphp-srcを読んでいた話
murashotaro
0
270
サイバー攻撃を想定したセキュリティガイドライン 策定とASM及びCNAPPの活用方法
syoshie
3
1.3k
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
170
MLOps の現場から
asei
7
650
Microsoft Azure全冠になってみた ~アレを使い倒した者が試験を制す!?~/Obtained all Microsoft Azure certifications Those who use "that" to the full will win the exam! ?
yuj1osm
2
110
Featured
See All Featured
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Making the Leap to Tech Lead
cromwellryan
133
9k
Being A Developer After 40
akosma
87
590k
Typedesign – Prime Four
hannesfritz
40
2.4k
Done Done
chrislema
181
16k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
Code Review Best Practice
trishagee
65
17k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Java REST API Framework Comparison - PWX 2021
mraible
28
8.3k
How STYLIGHT went responsive
nonsquared
95
5.2k
Building Your Own Lightsaber
phodgson
103
6.1k
Transcript
݄ୈճULULηΩϡϦςΟษڧձ!ߴ௬ࢢཱੜֶ֔शηϯλʔ IUUQTULULTFDDPOOQBTTDPNFWFOU ϋχʔϙολʔͷڵຯΛҾ͘߈ܸࣄྫհ 8FCαʔόͷϩάௐࠪํ๏հ !NPSJIJ@TPD
XIPBNJ w ٱত !NPSJIJ@TPD w ຊۀηΩϡϦςΟΤϯδχΞɾΞφϦετ w झຯͰϋχʔϙοτͷӡ༻Λ͢Δϋχʔϙολʔ w
ϒϩάˠIUUQXXXNPSJIJTPDOFU ˡϒϩάͷʮϋχʔϙοτ؍هʯ͕ ຊʹͳΓ·ͨ͠ ݄ൃച ిࢠॻ੶൛ແྉࢼಡ൛͋Γ·͢ ʮαΠόʔ߈ܸͷΛੳ͢Δ ϋχʔϙοτ؍هʯ ஶऀɿٱত ग़൛ɿलγεςϜ ࠓ·Ͱʹ͓ੈʹͳͬͨΠϕϯτ ɾ*5,FZT ݱ4FD$BQ ɾωοτϫʔΫύέοτΛಡΉձ Ծ ɾ/*4$αΠόʔϋϩΟϯ ɾ*OUFSOFU8FFL ɾ)BSEFOJOH 7BMVF$IBJO༏উ ɾTTNKQ ɾ"*4FD ɾULULηΩϡϦςΟษڧձˡ/&8
ϋχʔϙοτͱ w᠘ʹ͔͔ͬͨ߈ܸऀͷߦಈΛͭ·ͼΒ͔ʹ ͢ΔγεςϜ ߈ܸऀ͕ෆਖ਼ϩάΠϯ͢Δͱɾɾɾ
44)ϋχʔϙοτͷ؍ ྫ SSHϋχʔϙοτ(Kippo)Ͱ࠾औͨ͠ෆਖ਼ϩάΠϯޙͷܗ2 https://youtu.be/iFvLr55A5nU
ϋχʔϙολʔඞಡهࣄ w μʔΫ8FCͰͷαΠόʔ൜ࡑऀಉ࢜ͷೄுΓ૪͍ w τϨϯυϚΠΫϩηΩϡϦςΟϒϩά w IUUQCMPHUSFOENJDSPDPKQBSDIJWFT w ࣍ w
αΠόʔ൜ࡑऀΛ͓ͼ͖دͤΔϋχʔϙοτΛઃஔ w ʮσΟʔϓ8FCʯରʮද8FCʯ w μʔΫ8FC෦߅૪ w ݁ ͜ΜͳλΠτϧ͚ͭΒΕͨΒ ಡΉ͔͠ͳ͍ΑͶ
ࠓճͷςʔϚ JG ͕ࣗ͠ཧ͢Δαʔόʹ44)Ͱෆਖ਼ϩάΠϯ͞ΕͨΒɾɾɾ ͠8PSE1SFTTͷϒϩάΛվ͟Μ͞ΕͨΒɾɾɾ ͠8FCαʔόͷϩάΛௐࠪ͢Δඞཁ͕ग़͖ͯͨΒɾɾɾ
ڵຯΛҾ͍ͨϩά ࡉ͔͗ͯ͢ΘΒͳ͍44)ϋχʔϙοτฤ w 44)ϋχʔϙοτͰ߈ܸऀ͕ෆਖ਼ϩάΠϯͨ͋͠ͱ ࣮ߦͨ͠ίϚϯυΛهͰ͖Δ w ߈ܸऀʹΑͬͯૂ͍༷ʑɾɾɾ ΞΫηε੍ݶ
$αʔόԽ όοΫυΞΛࠐΉ αʔϏεఀࢭ աܹ σϞΛަ͑ͭͭհ
ΞΫηε੍ݶ w ϑΝΠΞΥʔϧ JQUBCMFT ͷઃఆΛมߋ w ߈ܸऀͷ*1ΞυϨε͔ΒUDQͷΞΫηεΛڐՄ w ͦͷଞͷUDQͷΞΫηεΛڋ൱
ˠਖ਼نͷཧऀ44)ͰϩάΠϯͰ͖ͳ͘ͳΔ ߈ܸऀͷ IP ΞυϨε
$αʔόԽ w ϘοτωοτͷߏΛ͓͓·͔ʹྨ͢Δͱ w $αʔό Ϙοτωοτͷ࢘ྩౝ w κϯϏ ϘοτωοτͷΫϥΠΞϯτͷҰ෦
˞$ɾɾɾ$$ $PNNBOEBOE$POUSPMͷུ κϯϏ κϯϏ κϯϏ $ ߈ܸର ᶅ߈ܸ ᶃࢦࣔ͘Ε ᶄ%P4߈ܸ͠Ζ
$αʔόԽ w 44)κϯϏԽ͢ΔͨΊʹ߈ܸ͞ΕΔ͜ͱ͕ଟ͍ w كʹɺ$αʔόԽΛૂͬͨϩάΠϯ͕͋Δ w QTZCOD ͍͞ͼʔ͑͵͠ʔ *3$αʔόιϑτΣΞͷ
ͭͰɺ*3$Ϙοτͷ੍ޚʹར༻͞ΕΔ߹͕͋Δ ͕ࣗཧ͍ͯ͠ΔαʔόͰɺೝ͍ͯ͠ͳ͍ϓϩηε͕ ϙʔτΛ։͚͍ͯͨΒ telnet ͯ͠ΈΔ͜ͱΛΦεεϝ͠·͢ɻ όφʔ͔Βใ͕ಘΒΕΔ͔͠Ε·ͤΜɻ
όοΫυΞΛࠐΉ w όοΫυΞɺ߈ܸऀ͕ΑΓ؆୯ʹ߈ܸରΛૢ࡞͢ ΔͨΊʹར༻͞ΕΔɻ ※OpenSSH όοΫυΞͷαϯϓϧ(sshbd5.5p1.diff ͷதͷҰ෦)
όοΫυΞΛࠐΉ w TTICEQEJ⒎ͷ༰ ػೳ w ϚελʔύεϫʔυΛՃ͢Δ w 44)ϩάΠϯ࣌ͷύεϫʔυΛอଘ͢Δ
ˠ߈ܸऀ͕͍ͭͰϩάΠϯՄೳʹͳΔ ˠϩάΠϯϢʔβͷύεϫʔυΛऔ͞ΕΔ
αʔϏεఀࢭ w ߈ܸऀʹͱͬͯअຐͳϓϩηεΛఀࢭ͢Δ͜ͱ͕͋Δ ᶃෆਖ਼ϩάΠϯ͢ΔͷҰਓ͚ͩͰͳ͍ ͔͠Εͳ͍ ᶄଞͷ߈ܸऀ͕ར༻͍ͯ͠ΔͰ͋Ζ͏ϓϩηεΛఀࢭ αΠόʔ൜ࡑऀؒͰʮ౪ਓʹਔٛ͋Γʯͷश׳ͳ͍Α͏Ͱ͢ɻ
աܹ w փᗙʹؼ͢ LJMM ˞࣮ߦ͍͚ͯ͠ͳ͍
աܹ w ͯ͢ͷϓϩηεʹ,*--γάφϧΛૹΔίϚϯυ ※kill ίϚϯυͷ man ͔ΒҾ༻
ڵຯΛҾ͍ͨϩά 8PSE1SFTT3&45"1*ฤ ϦΞϧϋχʔϙοτˠ ौ୩۠;Ε͍͋২ηϯλʔʹ݄ͯࡱӨ
ڵຯΛҾ͍ͨϩά 8PSE1SFTT3&45"1*ฤ w ݄͔Β߈ܸ͕ྲྀߦͨ͠ w 3&45"1*ͷॲཧʹෆඋ͕͋Γɺ8PSE1SFTTͷهࣄ Λվ͟Μ͞ΕΔ੬ऑੑ Ҿ༻ݩɿ8PSE1SFTTͷ੬ऑੑରࡦʹ͍ͭͯ *1"
IUUQTXXXJQBHPKQTFDVSJUZDJBESWVMXPSEQSFTTIUNM
ϋχʔϙολʔͷΈ w ੈؒͰྲྀߦ͍ͬͯΔͷʹɺͳ͔ͳ͔ϋχʔϙοτͰ ߈ܸΛݕͰ͖ͳ͍ɾɾɾ ˞ը૾Ҿ༻ݩɿ݄ॳΊͷෳͷࠃαΠτͷվ͟Μʹ͍ͭͯ·ͱΊͯΈͨ QJZPMPH IUUQEIBUFOBOFKQ,BOHP
߈ܸΛޭͤ͞Δʹஈ֊ඞཁ 8PSE1SFTTͷهࣄ*%औಘ ࢦఆͨ͠هࣄ*%ͷίϯςϯπΛվ͟Μ ˞ͨͩ͠ɺͦͦ߈ܸରͷ63-Ͱ 8PSE1SFTT͕ಈ͍͍ͯΔ͜ͱ͕લఏ ϋχʔϙοτ௨ৗɺ8PSE1SFTTͷ ใΛฦ͞ͳ͍ͷͰɺ߈ܸऀ͕ʹͨͲΓ ண͔ͳ͍ɻ ˠ8PSE1SFTTΛઃஔͯ͠ΈͨΒ˕
࣮ࡍͷ߈ܸͷྲྀΕ ˣ8PSE1SFTTͬͯΔͧ ࢲ(PPHMFCPUͰ͢ɻϖʔδΛݟ͍ͤͯͩ͘͞ɻ ࢲ(PPHMFCPUͰ͢ɻ هࣄ*%ͷҰཡΛऔಘ͠·͢ɻ QFSMϓϩάϥϜͰ͋Δ͜ͱ͕໌ɻ 1045ϝιουͰ+40/ܗࣜͷσʔλΛૹ৴ɻ ˣվ͟Μͯ͠Δͥ
վ͟Μྫ ϦϯΫʹͳ͍ͬͯΔˠ ؍ଌͨ͠ύέοτΛݩʹ ߈ܸΛ࠶ݱͯ͠ΈΔͱ ˞8PSE1SFTTͰݕূ
ϦϯΫઌͷαΠτΛௐࠪͯ͠Έͨ w ΫϨδοτΧʔυใͷൢച ͷ͍ٙͷ͋Δ αΠτ ͩͬͨɻ ˞ΞΫηε͚ͨͩ͠Ͱɺ࣮ࡍʹߪೖ͍ͯ͠ͳ͍ͨΊϑΟογϯάαΠτͳͷ͔ෆ໌
ඃঢ়گ w (PPHMFݕࡧ͢Δͱଟɺώοτͨ͠ɻ w ΞϯμʔάϥϯυϚʔέοτͷࠂͷՄೳੑ͕͋ Δ ਅِෆ໌ ɻ
8FCαʔόͷϩάௐࠪํ๏հ
8FCαʔόͷϩάௐࠪํ๏հ w ΞΫηεϩάΛௐࠪ͢Δ؆୯ͳͭͷํ๏ J-PH4DBOOFSΛ͏ HSFQGΛ͏
J-PH4DBOOFSͱ w ΣϒαΠτͷ߈ܸஹީݕग़πʔϧJ-PH4DBOOFS w IUUQTXXXJQBHPKQTFDVSJUZWVMOJ-PH4DBOOFS J-PH4DBOOFSɺΣϒαʔόͷΞΫηεϩά͔Β ߈ܸͱࢥΘΕΔࠟΛݕग़͢ΔͨΊͷπʔϧͰ͢ɻ ΣϒαΠτͷϩάΛղੳ͢Δ͜ͱͰ߈ܸͷࠟΛ ֬ೝͰ͖ɺҰ෦ͷࠟʹ͍ͭͯ߈ܸ͕ޭͨ͠Մ
ೳੑΛ֬ೝͰ͖·͢ɻ·ͨɺ44)'51αʔόͷϩ άʹରͯ͠ɺ߈ܸͱࢥΘΕΔࠟΛݕग़͢Δ͜ͱ ͕Ͱ͖·͢ɻ ˞*1"ͷ8FCαΠτ͔ΒҾ༻
J-PH4DBOOFS͍ํ ᶃ ᶄ ᶅ
J-PH4DBOOFS͍ํ w ສ݅ఔͷϩάͳΒඵͰղੳ͕ྃ͢Δ
J-PH4DBOOFSղੳ݁Ռ ྫ w ղੳ݁Ռɺ)5.-5959.-ܗࣜͰอଘՄೳ )5.-ܗࣜͷղੳ݁Ռɻ࣮ࡍ͜ͷԼʹ֤߈ܸͷղઆจɺ߈ܸͱఆͨ͠ϩάใ͕هࡌ͞Ε͍ͯΔɻ
HSFQG w J-PH4DBOOFSศརͳπʔϧ͕ͩݶք͋Δ ˠࣗͰ߈ܸͷϙΠϯτΛ·ͱΊ͓͍ͯͯҰׅݕࡧ͢Δ w HSFQͷʮGʯΦϓγϣϯɺࢦఆͨ͠ϑΝΠϧͷ ༰ʹ߹க͢ΔߦΛநग़͢Δ͜ͱ͕Ͱ͖Δɻ w ྫ BUUBDLTJHUYU
w HSFQGBUUBDLTJHUYUBDDFTT@MPH DHJGPSDF@SFEJSFDU $'*%& XQDPOpHQIQ
߈ܸͷϙΠϯτͱݴΘΕͯ·ͯ͠ɾɾɾ w ͦΜͳΈΛ͓࣋ͪͷ͋ͳͨʹɺ͏͚ͬͯͭͷॻ੶ ͕͋Γ·͢
ϋχʔϙοτ؍ه ॻ੶ w ୈষҎ߱ͷ߈ܸղઆͷ࠷ޙʹɺϩάௐࠪ࣌ͷΩʔ ϫʔυΛهࡌ͍ͯ͠·͢ɻ w ͜ΕΒͷΩʔϫʔυΛ༗ޮ׆༻͍͚ͯͨͩ͠Δͱɺ ϩάௐ͕ࠪΔͷͰͳ͍͔ͱࢥ͍·͢ɻ
·ͱΊ w 44)Ͱෆਖ਼ϩάΠϯͯ͘͠Δ߈ܸऀͷૂ͍ઍࠩສผ w JQUBCMFTʹΑΔΞΫηε੍ݶ w QTZCODΛར༻ͨ͠$αʔόԽ w 0QFO44)ͷόοΫυΞΛࠐΉ w
ଞਓͷ߈ܸπʔϧΛఀࢭͤ͞Δ w શϓϩηεఀࢭΛࢼΈΔաܹ w 8PSE1SFTT3&45"1*௨ৗͷϋχʔϙοτͰ ߈ܸΛݕ͢Δ͜ͱ͕͍͕͠ɺ߈ܸख๏Λཧղ͢Δ ͜ͱͰɺ߈ܸ௨৴Λิ͢Δ͜ͱ͕ՄೳʹͳΔɻ w ϩάௐࠪ࣌ʹʮJ-PH4DBOOFSʯʮHSFQGʯͳͲ ͷπʔϧΛ༗ޮ׆༻͠·͠ΐ͏ɻ