Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ハニーポッターと謎のアクセス

364 views

Published on

T-POTを設置することで、どのようなものが見えるのかを、特定の1日の状況で説明した際の資料。

Published in: Engineering
  • Be the first to comment

  • Be the first to like this

ハニーポッターと謎のアクセス

  1. 1. ハニーポッターと       謎のアクセス 2017/06/06 INOUE Kei ハニーポットの設置とアクセスに関する情報共有
  2. 2. お前誰よ?(who are you?) そんなことどうでもいいじゃないですか、省略しますね。 5分LTなので、内容に進みましょう。
  3. 3. 攻撃を観測したい!→honeypot置こう! 最近、wannacryがは流行しました(過去形でいいですよね?) 攻撃は受けないにしても、どれだけの攻撃が飛び交っているのかを確認したいですよ ね? WordPress攻撃観測用にサイトを立てていますが、HTTP/HTTPS以外の攻撃も見たく なりました! 仮想化やクラウドの普及により、昔よりもおとりサーバ構築の敷居が下がりました。だっ たら作ってしまいましょう。
  4. 4. つくり方 1. T-PotのISOファイルを取得します a. https://github.com/dtag-dev-sec/tpotce 辺り。 2. クラウドでサーバを作ります a. 4GB_MEM, 64GB_HDD(Standard.M4, 64GBで6880円)が最低ラインです 3. 設定します a. 内部でDockerで複数のサーバが構成されます b. 最終的には、観測するポートを NATでグローバルに開放します 4. 記録を見て楽しみます a. 社会情勢やアクセス傾向から、現状や今後を類推します b. 必要に応じて、防御処置を検討、実装します ※設置及び運用に際し、知識がない場合はリスクがあります。  安易に設置することはお勧めしません。
  5. 5. データを見てみよう とある1日の記録を、延々と見てみます。 傾向は、私の保有する別のIP/サーバ でも同じようなものでした。
  6. 6. HTTPS access
  7. 7. SSH attacks ありがちなUsername/Password。 usaurioはスペイン語で”User”っぽい。 christopherはいいとして、seikoは誰だ?
  8. 8. SSH access 10時、21時くらいに多かったみたい。
  9. 9. Destination Port この日は、16:00位でport25への攻撃が少な くなっていた。 2222はあまりよろしくない感じ。
  10. 10. Other destinations (without SSH,HTTP/HTTPS) DBのポートへの攻撃。 SIPが思ったより少なかった。
  11. 11. Other destination user/passwd サンプル少なすぎた。 不正アクセスしといて helpmeと はどういうことですか?
  12. 12. Destination port, histgram, country 安定の1433ポートasMSSQL。 445はWannaCryやSambaCry も。 PRC国が安定して多い。RUS国 は比較すると少なめ?
  13. 13. Network attack: Events and ports histgramnetworkScanが止まった?=探索 が終わったのかも。 port53が多いみたい。
  14. 14. Network attack: details PEなバイナリ置かれている。 Connectは少ない。 PRC多いね。
  15. 15. 雑感 ● GeoProectionは有効かもしれない ○ Russiaは、Port25への攻撃が多い様だ。 Chinaは、全部多い。 ○ 思ったよりも、USは多くないようだ ● SSH攻撃は多い ○ 複数のIPから、各IPで2-3回ずつアクセスしてくるので、 IP単体でのブロックは無効 ○ だからGeoProtectionだと、何度言ったら(ry ○ 面白アカウントあり: pi, mother, libsys, usuario,... ● ファイルを配置してくる ○ Windows用のバイナリを配置する = 水飲み場攻撃のような ○ ELFを置きにくる場合もあるようだ ● ネットワーク攻撃は多い ○ smbdへの攻撃もいまだにある = wannacry 1990年末期ごろは、数は少な かった。 攻撃元IP逆引きで日本企業 が出てきて、怪しいようであれ ば連絡してあげるのがよさそ う。
  16. 16. まとめ ● Firewallは非常に重要 ○ ポートが空いていなければ、サーバが脆弱でもある程度は耐えられる可能性がある。 ■ アップデート等での脆弱性対応は必要。 Vuls等使うのもよい。 ● 有名無名は関係なく、ネットワーク攻撃はある ○ このhonypotさんのグローバルIPは、数日前に取得したものだが、初期の攻撃が多い ○ ある程度有名になった IPでは、攻撃の質が少し違っているように見えた ■ サイトの構成にあった攻撃が来ている。今後の比較課題か。 ● 一般に言われる対策、は必要 ○ GeoProtectionは有効、アカウント名 /パスワードの推測難化は必須。 ○ グローバルIP/32個でのブロックは、あまり有効ではない。ゾンビネットワークを利用しているよう だ。 ● 観測による推測は有効 ○ アドレス帯への攻撃なので、この攻撃パターンが他のユーザにも来ているはず。 我々は、賢いので。
  17. 17. 以上です。

×