ハニーポットを防衛に利⽤してる話

1. 突然100個のssh
raintrees.net 1

2. ⾃⼰紹介
HN : kanata
Twitter : @kanata201612
Web : https://raintrees.net
Notes
CTFとシェル芸と温泉好きなおっさん
難読化シェル芸
本書いた https://amzn.to/2UKNQfIraintrees.net 2

3. 趣味でセキュリティをやっているもの
です
SECCON2019オンライン予選作問
AVTOKYO2019に登壇
ハニーポットを防衛に利⽤してる話をします
raintrees.net 3

4. すみだセキュリティ勉強会2015#2
現在、例のアレで勉強会は休⽌中
その中での主催者の @ozuma5119 さんの発表内容より、
実践してみた話
主催者の意向を鑑みて発表するか、ちょっと迷ったけど
直接悪⽤できる⼿段じゃないのでお話することにしまし
た
raintrees.net 4

5. sshのポートをデフォルトの22/tcpか
ら変えるべきか論争
sshのポートは、やっぱり22/tcpから変えましょう
プリンタポート…具体的には9100/tcpから9107/tcpの8つ
のポートにするだけで隠れることができる
9100/tcpはプリンタが使うポートで、⼀部の機種ではこ
こに送られたデータをそのまま印刷するという機能があ
る。nmapでスキャンをすると⼤量の印刷をしてしまう
おそれがあるため、デフォルトでスキャン対象していな
い。
raintrees.net 5

6. つまり
ポートスキャンをしても⼀発で分からないようにすれば
防衛に有効
ssh分⾝の術により、⼤量のsshを⾒せる
＿人人人人人人人人人人＿
＞ 突然の100個のssh ＜
￣Y^Y^Y^Y^Y^Y^Y^Y^Y￣
を、やってみた
raintrees.net 6

7. kippoを使った
kippoとは
kippoとはsshっぽく振る舞うハニーポット
python(ver2系)製
今は Cowrie を使ったほうがよいと思う
raintrees.net 7

8. 多重起動できるシェルスクリプト
を作って試してみた
(kippo)$ chmod u+x kippoBrinkerSumida.sh
(kippo)$ chmod u+x kippoBrinkerStop.sh
任意のポート番号で起動できるように
(kippo)$ vi kippoBrinkerSumida.sh
- KIPPO_PORT_LIST="1020 1021 1022 1023 1024 1025" # ダミーsshdのポートリスト
+ KIPPO_PORT_LIST="任意のポート番号1..." # ダミーsshdのポートリスト
raintrees.net 8

9. SSHのバナーも設定する
(kippo)$ vi kippoBrinkerSumida.sh
- SSH_VERSION_STRING="SSH-2.0-OpenSSH_6.6.1"
+ SSH_VERSION_STRING="SSH-2.0-OpenSSH_6.7"
確認
$ telnet localhost 22
Trying ::1...
Connected to localhost.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.7
raintrees.net 9

10. 結果、めっちゃメモリ⾷う
100個は無理
4〜5個なら
でも…
ほとんど不正な通信はきてない(と思うじゃん?)
sshのポートは22番から変えてる
ざっくり⽇本国内だけ通信許可するiptables
ハニポとバレることで逆にセキュリティに役⽴つ︕
raintrees.net 10

11. 来てたわ めっちゃ来てたわ
$ su -
パスワード:
最終ログイン: 2020/01/01 (水) 19:20:42 JST日時 pts/0
最後の失敗ログイン:
2020/01/05 (日) 09:03:14 JST ---.--.---.23から開始日時 ssh:notty
最後の正しいログインの後に 133 回の失敗ログインの試行があります
#
6684回来てたわ
$ cat secure |grep "input_userauth_request: invalid user"|
awk '{print $(NF-1)}'|sort|wc -l
6684
raintrees.net 11

12. そんな訳でワースト15(4263ユーザ中)
$ cat secure |grep "input_userauth_request: invalid user"
|awk '{print $(NF-1)}'|sort|uniq -c|sort -r|head -15
123 admin
89 test
85 user
51 oracle
43 ftpuser
29 ubuntu
28 ubnt
26 nagios
25 postgres
24 test2
24 guest
23 testuser
22 tester
22 temp
22 administrator
raintrees.net 12

13. 1回だけの試⾏ユーザ(3462回)
$ cat secure |grep "input_userauth_request: invalid user"
|awk '{print $(NF-1)}'|sort|uniq -c|sort|grep " 1 " |
awk '{print $2}'|xargs|fold -60|head -16
(OL> 0l0ctyQh243O63uD 1 102938 111111 123123 123321 1234asdf
1234qwerasdf 12wqasxz 1a2s3d4f 1q2w3e4r 1qw23e 2 23 26 2pac
2wsx3edc 31994 321 3www 4tech2 654321 666666 88888888 98765
4321 @1 @dmn!Amn3t @st3l15tu1992dementu* ABC123 ADONIS ARIS9
Admin123 Alli BAD Brantley Cisco Emma Ernesti FDB_DIF FIELD
Fedora Giani Hille I2b2hive Ilmatar Into Irina Joshua Juhan
a Leads M MBbRB951 MC NetLinx P@$$w0rd P@ssw0rd P@sswOrd PAS
SW0RD Pass Pass123 Password!@#x Password123 Rupesh SC SYSTRA
Y Saila Sampsa Server Sylvia Systemback TEST4 Teppo Test Tes
te Th3P4ssWord Tnnexus Ulpu Vision WKADMIN _apt aac aadbo aa
gesen aaj aal aatul aavetsland aax ab abacus abelaye abhiram
abigail abiven ablao abuse abw abz accesdenied accounts acc
t ackley ackmann acm aco action activemq acu ad adaline adam
adauto addetto addm adebayo adelice adelman admin01 admin02
admin2 admin8 admina adminbb administ administradorweb admi
ssions adolpho adorno adr adrc adrian advani ady ael aen ...
raintrees.net 13

14. IPは⾊んな国からまばらに来てる
$ cat secure |grep "Failed password for invalid user"
|awk '{print $13}'|sort|uniq -c|sort -r |head -15|
sed 's/ [0-9]*.[0-9]*./ ---.---./g'
98 ---.---.103.1
96 ---.---.32.150
80 ---.---.179.38
50 ---.---.112.21
50 ---.---.132.239
50 ---.---.164.246
50 ---.---.9.76
50 ---.---.148.7
50 ---.---.34.79
50 ---.---.112.87
50 ---.---.222.141
50 ---.---.64.10
50 ---.---.32.150
50 ---.---.28.232
50 ---.---.208.211
raintrees.net 14

15. もはや説得⼒がない
ざっくり⽇本国内だけを通信許可
⽇本管理のIPアドレスが何レコードあるか
$ curl -s http://nami.jp/ipv4bycc/cidr.txt|grep JP|wc -l
2859
このファイルを基にエイヤッとするとiptables設定できます
raintrees.net 15

16. おわり
ありがとうございました︕
関連URL
すみだセキュリティ勉強会2015#2に参加してきました
https://raintrees.net/news/37
KippoBrinker
https://raintrees.net/projects/a-painter-and-a-black-
cat/wiki/KippoBrinker
ざっくり⽇本国内だけ通信許可するiptables
https://raintrees.net/news/14
raintrees.net 16