Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

突然100個のssh

472 views

Published on

ハニーポットを防衛に利⽤してる話

Published in: Technology
  • Be the first to comment

突然100個のssh

  1. 1. 突然100個のssh raintrees.net 1
  2. 2. ⾃⼰紹介 HN : kanata Twitter : @kanata201612 Web : https://raintrees.net Notes CTFとシェル芸と温泉好きなおっさん 難読化シェル芸 本書いた https://amzn.to/2UKNQfIraintrees.net 2
  3. 3. 趣味でセキュリティをやっているもの です SECCON2019オンライン予選作問 AVTOKYO2019に登壇 ハニーポットを防衛に利⽤してる話をします raintrees.net 3
  4. 4. すみだセキュリティ勉強会2015#2 現在、例のアレで勉強会は休⽌中 その中での主催者の @ozuma5119 さんの発表内容より、 実践してみた話 主催者の意向を鑑みて発表するか、ちょっと迷ったけど 直接悪⽤できる⼿段じゃないのでお話することにしまし た raintrees.net 4
  5. 5. sshのポートをデフォルトの22/tcpか ら変えるべきか論争 sshのポートは、やっぱり22/tcpから変えましょう プリンタポート…具体的には9100/tcpから9107/tcpの8つ のポートにするだけで隠れることができる 9100/tcpはプリンタが使うポートで、⼀部の機種ではこ こに送られたデータをそのまま印刷するという機能があ る。nmapでスキャンをすると⼤量の印刷をしてしまう おそれがあるため、デフォルトでスキャン対象していな い。 raintrees.net 5
  6. 6. つまり ポートスキャンをしても⼀発で分からないようにすれば 防衛に有効 ssh分⾝の術により、⼤量のsshを⾒せる _人人人人人人人人人人_ > 突然の100個のssh <  ̄Y^Y^Y^Y^Y^Y^Y^Y^Y ̄ を、やってみた raintrees.net 6
  7. 7. kippoを使った kippoとは kippoとはsshっぽく振る舞うハニーポット python(ver2系)製 今は Cowrie を使ったほうがよいと思う     raintrees.net 7
  8. 8. 多重起動できるシェルスクリプト を作って試してみた (kippo)$ chmod u+x kippoBrinkerSumida.sh (kippo)$ chmod u+x kippoBrinkerStop.sh 任意のポート番号で起動できるように (kippo)$ vi kippoBrinkerSumida.sh - KIPPO_PORT_LIST="1020 1021 1022 1023 1024 1025" # ダミーsshdのポートリスト + KIPPO_PORT_LIST="任意のポート番号1..." # ダミーsshdのポートリスト raintrees.net 8
  9. 9. SSHのバナーも設定する (kippo)$ vi kippoBrinkerSumida.sh - SSH_VERSION_STRING="SSH-2.0-OpenSSH_6.6.1" + SSH_VERSION_STRING="SSH-2.0-OpenSSH_6.7" 確認 $ telnet localhost 22 Trying ::1... Connected to localhost. Escape character is '^]'. SSH-2.0-OpenSSH_6.7 raintrees.net 9
  10. 10. 結果、めっちゃメモリ⾷う 100個は無理 4〜5個なら でも… ほとんど不正な通信はきてない(と思うじゃん?) sshのポートは22番から変えてる ざっくり⽇本国内だけ通信許可するiptables ハニポとバレることで逆にセキュリティに役⽴つ︕ raintrees.net 10
  11. 11. 来てたわ めっちゃ来てたわ $ su - パスワード: 最終ログイン: 2020/01/01 (水) 19:20:42 JST日時 pts/0 最後の失敗ログイン: 2020/01/05 (日) 09:03:14 JST ---.--.---.23から開始日時 ssh:notty 最後の正しいログインの後に 133 回の失敗ログインの試行があります # 6684回来てたわ $ cat secure |grep "input_userauth_request: invalid user"| awk '{print $(NF-1)}'|sort|wc -l 6684 raintrees.net 11
  12. 12. そんな訳でワースト15(4263ユーザ中) $ cat secure |grep "input_userauth_request: invalid user" |awk '{print $(NF-1)}'|sort|uniq -c|sort -r|head -15 123 admin 89 test 85 user 51 oracle 43 ftpuser 29 ubuntu 28 ubnt 26 nagios 25 postgres 24 test2 24 guest 23 testuser 22 tester 22 temp 22 administrator raintrees.net 12
  13. 13. 1回だけの試⾏ユーザ(3462回) $ cat secure |grep "input_userauth_request: invalid user" |awk '{print $(NF-1)}'|sort|uniq -c|sort|grep " 1 " | awk '{print $2}'|xargs|fold -60|head -16 (OL> 0l0ctyQh243O63uD 1 102938 111111 123123 123321 1234asdf 1234qwerasdf 12wqasxz 1a2s3d4f 1q2w3e4r 1qw23e 2 23 26 2pac 2wsx3edc 31994 321 3www 4tech2 654321 666666 88888888 98765 4321 @1 @dmn!Amn3t @st3l15tu1992dementu* ABC123 ADONIS ARIS9 Admin123 Alli BAD Brantley Cisco Emma Ernesti FDB_DIF FIELD Fedora Giani Hille I2b2hive Ilmatar Into Irina Joshua Juhan a Leads M MBbRB951 MC NetLinx P@$$w0rd P@ssw0rd P@sswOrd PAS SW0RD Pass Pass123 Password!@#x Password123 Rupesh SC SYSTRA Y Saila Sampsa Server Sylvia Systemback TEST4 Teppo Test Tes te Th3P4ssWord Tnnexus Ulpu Vision WKADMIN _apt aac aadbo aa gesen aaj aal aatul aavetsland aax ab abacus abelaye abhiram abigail abiven ablao abuse abw abz accesdenied accounts acc t ackley ackmann acm aco action activemq acu ad adaline adam adauto addetto addm adebayo adelice adelman admin01 admin02 admin2 admin8 admina adminbb administ administradorweb admi ssions adolpho adorno adr adrc adrian advani ady ael aen ... raintrees.net 13
  14. 14. IPは⾊んな国からまばらに来てる $ cat secure |grep "Failed password for invalid user" |awk '{print $13}'|sort|uniq -c|sort -r |head -15| sed 's/ [0-9]*.[0-9]*./ ---.---./g' 98 ---.---.103.1 96 ---.---.32.150 80 ---.---.179.38 50 ---.---.112.21 50 ---.---.132.239 50 ---.---.164.246 50 ---.---.9.76 50 ---.---.148.7 50 ---.---.34.79 50 ---.---.112.87 50 ---.---.222.141 50 ---.---.64.10 50 ---.---.32.150 50 ---.---.28.232 50 ---.---.208.211 raintrees.net 14
  15. 15. もはや説得⼒がない ざっくり⽇本国内だけを通信許可 ⽇本管理のIPアドレスが何レコードあるか $ curl -s http://nami.jp/ipv4bycc/cidr.txt|grep JP|wc -l 2859 このファイルを基にエイヤッとするとiptables設定できます                                raintrees.net 15
  16. 16. おわり ありがとうございました︕ 関連URL すみだセキュリティ勉強会2015#2に参加してきました https://raintrees.net/news/37 KippoBrinker https://raintrees.net/projects/a-painter-and-a-black- cat/wiki/KippoBrinker ざっくり⽇本国内だけ通信許可するiptables https://raintrees.net/news/14 raintrees.net 16

×