• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
社内勉強会 20120518
 

社内勉強会 20120518

on

  • 4,166 views

社内勉強会で発表したやつ

社内勉強会で発表したやつ

Statistics

Views

Total Views
4,166
Views on SlideShare
4,064
Embed Views
102

Actions

Likes
4
Downloads
12
Comments
0

6 Embeds 102

https://cybozulive.com 48
http://ym405nm.ddo.jp 31
https://twitter.com 13
http://blog.ym405nm.info 8
https://si0.twimg.com 1
http://twitter.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    社内勉強会 20120518 社内勉強会 20120518 Presentation Transcript

    • ハニーポットによる解析 加筆修正版 社内勉強会2012年5月18日 1
    • 今回のスライドは、、、• ハニーポットというセキュリティツールを勉 強してみておもしろかったので共有します• まだまだやりはじめたてなので勉強不足な点 もありますがよろしくおねがいします• ネットワークやインフラという観点からだと 業務に役に立つ? 2
    • 目次• 自己紹介• ハニーポットとは• 調査• 使ったツール• 結果と解析• まとめと今後の課題 3
    • 自己紹介 4
    • 勉強会のいきさつ• 勉強会の言い出しっぺです• いろいろな人の話が聞きたいですねー! 5
    • ハニーポットとは 6
    • ハニーポットとは 7
    • ハニーポットとはハニーポット (英語: Honeypot) は、コンピュータセキュリティ用語としては、不正アクセスを受けることに価値を持つシステムのことを指す。元来は「蜜(の詰まった)壷」の意味で、何らかの有益そうな情報や資源がありそうな場所を用意して、それにつられた者を観察したり、肝心な部分で被害を出さないために目を逸らせたり、コンピュータ・フォレンジックスを行うための証拠を集めたりする、一種の囮手法に使われる。手法そのものをハニーポットと呼ぶこともある。(Wikipedia) 8
    • ハニーポットとは 9
    • ハニーポットとは自らを弱いサーバに見立て不審なアクセスを収集する 不審なアクセス ハニーポット ログ収集 10
    • 不審なアクセス• 不審なアクセスは、たいてい自動化を行って いる• ツールを流して弱い相手を探しにいく• 様々な手法を使ってくる 11
    • 一例 ポートスキャン アプリケーションの調査 エクスプロイト攻撃者 マルウェア送信等 被害者 ハニーポットが収集 12
    • ハニーポットの活用法• マルウェア解析用の • 攻撃手法を分析する 検体を収集する 13
    • 活用事例 警視庁情報通信局情報技術解析課 情報技術解析平成23年報 別紙資料 インターネット観測結果等について http://www.npa.go.jp/cyberpolice/detect/pdf/H23_betsu.pdf• インターネットの”定点観測”を行う• アクセスを解析する 14
    • ハニーポットの欠点• “ミイラとりがミイラになる”• 攻撃により被害が拡大する、さらなる攻撃 の踏み台になる危険際がある• 独立したネットワークを用いて細心の注意 を払いながら管理する必要がある(図参 照) 15
    • 調査 16
    • 目的• ハニーポットを使いながら仕組みを理解する• 攻撃手法からセキュリティに対策を理解する• マルウェア解析の第一歩に 17
    • 使ったツール 18
    • 使ったツール• Dionaea• オープンソースのハニーポットツール• ハニーポット Nepenthes の後継として登場し た 19
    • Dionaea??• ハエトリグサ 20
    • Nepenthes??• ウツボカズラ 21
    • 1スライドでわかるハニーポットの歴 史 22
    • Dionaeaの特徴• オープンソース• 様々なプロトコルに対応 (http, ftp, VoIP, SQL)• Sqlite形式でログを出力 23
    • サーバ• VPS – VPS ( Virtual Private Server ) – 仮想サーバとしてroot権限を使用することができ る – いろいろな設定ができるため、Webサーバ/メー ルサーバ以外の運用も可能 24
    • サーバ• 自分専用のIPで自由な設定が可能 http://www.onamae-server.com/compare/ 25
    • サーバ• 独立したネットワークが実現 SSH 26
    • インストール依存ライブラリが多い、、、• libev >=4.04, schmorp.de• libglib >=2.20• libssl, openssl.org• liblcfg, liblcfg.carnivore.it• libemu, libemu.carnivore.it• python >=3.2, python.org• sqlite >=3.3.6 sqlite.org• readline >=3 cnswww.cns.cwru.edu• cython >0.14.1, cython.org• libudns, corpit.ru• libcurl >=7.18, curl.haxx.se• libpcap >=1.1.1, tcpdump.org• libnl from git, infradead.org (optional)• libgc >=6.8, hp.com (optional) 27
    • 結果と解析 28
    • 結果• 2012年4月末ごろから測定開始• 一昨日までになんと3933件のアクセスをいた だきました!• 集めたデータから4つの方法で解析を行った 29
    • 分析1どこから来てるの? 30
    • どこから? 中国からの攻撃が多いとか言うけど、 実際にどこから来てるんだろう• IPアドレスから国を判断• IPアドレスの重複を除き国ごとに集計 31
    • どこから?• IPアドレスから都市名を返してくれる Web API を用いて一斉取得• GETメソッドにIPを入れれば XML 形式で都市 名、国名、位置座標が返ってくる 32
    • 解析• 国別ランキング China 62 United States 33 Japan 8Korea, Republic of 7 Germany 7 Netherlands 6 Australia 5 India 5 Mexico 5 France 4 Israel 3 Brazil 3 33
    • 分析2どこに来てるの? 34
    • どこに? サーバにアクセスするって どこを狙っているのだろう• アクセスを受信したポート番号ごとに集計 35
    • どこに?• ポートランキング httpd:80 654 mssqld:1433 448 smbd:445 419 mysqld:3306 115 epmapper:135 102 36
    • どこに?ポート番 カウント 目的 号 80 654 HTTPへのアクセス、クロール1433 448 MS SQL Server へのアクセス 445 419 Windows の脆弱性3306 115 MySQL へのアクセス 135 102 Windows の脆弱性 37
    • 分析3どうやって 38
    • どうやって? どうやって入ってくるのか• 認証を突破しようとしてきたパスワードを集 計 39
    • どうやって?@#$% 11 123abc Internet manager security!@#$%^ 110 123asd abc monitor server!@#$%^& 111 123qwe abc123 network sql!@#$%^&* 111111 147258 abcd oracle super!@#$%^&*( 11111111 147258369 admin pass sybase!@#$%^&*() 121212 2009 administrator passwd system%null% 123 2600 alpha password telnet* 123123 54321 asdf private test0 123321 654321 asdfgh public tivoli0000 1234 666666 computer real user000000 12345 741852 database root xp00000000 123456 741852963 debug sa007 1234567 888 default sa123010101 12345678 8888 enable sasa0147852 123456789 888888 godblessyou sasql1 1234qwer 88888888 ihavenopass secret 40
    • 分析4何を? 41
    • 何を? どんなマルウェアを送りつけてくるのか?• 送ってきたバイナリデータをウィルススキャ ン 42
    • 何を?• マルウェアはハニーポット内に保管されてい る 43
    • 何を?• Clamscanというツールでコンソール上でス キャン ヒットすると、 どのマルウェアか表示される OKと出ているのは問題なし ※実際はマルウェア 44
    • 何を?• Virustotalというサイトでチェックサムから複 数ベンダのスキャン結果を調べることができ る 45
    • 何を PE_SALITY.JER 24 TROJ_DRPR.DEJ 18 PE_SALITY.RL 14 PE_SALITY.JER 12TROJ_INJECTO.VY 11 46
    • 何を 第1位 PE_SALITY.JER 危険度:低• 感染経路: フラッシュドライブを介した感染活動• ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。 ウイルスは、悪意ある Webサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。• ウイルスは、特定のレジストリ値を変更し、セキュリティセンター機能を無効にします。これに より、ウイルスは自身を検出されることなく不正活動を実行することが可能になります。 ウイル スは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。 ウイルス は、レジストリ値を変更し、システムファイルおよび読み取り専用属性のファイルを非表示にし ます。• ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を 実行します。• ウイルスは、すべてのリムーバブルドライブ内に自身のコピーを作成します。 ウイルスは、ユー ザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、 "AUTORUN.INF" を作成します。• ウイルスは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTS ファイルを改変します。 47
    • 何を 第2位 TROJ_DRPR.DEJ 危険度:低• マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトか らユーザが誤ってダウンロードすることによりコンピュータに侵入しま す。 48
    • 何を 第3位 PE_SALITY.RL 危険度:低• ウイルスは、感染コンピュータ上の全ての物理ドライブおよびリムーバブルドライブ内に自身の コピーを作成します。 ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自 身のコピーが自動実行するように、"AUTORUN.INF" を作成します 49
    • 何を 第4位 PE_SALITY.JER 危険度:低• 感染経路: フラッシュドライブを介した感染活動• ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。 ウイルスは、悪意ある Webサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。• ウイルスは、特定のレジストリ値を変更し、セキュリティセンター機能を無効にします。これに より、ウイルスは自身を検出されることなく不正活動を実行することが可能になります。 ウイル スは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。 ウイルス は、レジストリ値を変更し、システムファイルおよび読み取り専用属性のファイルを非表示にし ます。• ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を 実行します。• ウイルスは、すべてのリムーバブルドライブ内に自身のコピーを作成します。 ウイルスは、ユー ザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、 "AUTORUN.INF" を作成します。• ウイルスは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTS ファイルを改変します。 50
    • 何を 第5位 TROJ_INJECT.VY 危険度:低• マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウン ロードすることによりコンピュータに侵入します。 51
    • まとめと今後の課題 52
    • まとめまとめ• ハニーポットを設置した• 攻撃を集め、分析を行った今後の課題• 全体の量が少ないので正確な統計がとれない• マルウェアの解析 53