Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Yattewaikenai 3 osaka

21 views

Published on

Yattewaikenai Osaka Seminar

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Yattewaikenai 3 osaka

  1. 1. © SIOS Technology, Inc. All rights Reserved. Internal Only 「やってはイケナイ」をやってみよう SIOSテクノロジー(株)  執行役員: 面 和毅
  2. 2. © SIOS Technology, Inc. All rights Reserved. 前口上 IT関連で「やってはいけない」とされていることって結構あ りますよね? - SPAMを踏む、変な添付ファイルをクリックする - 無防備なサーバを放置する ・・・・etc. 実際にやったらどうなるか、見てみましょう!!
  3. 3. © SIOS Technology, Inc. All rights Reserved. 講師紹介 - Security 研究者/エンジニア/開発 (19年) - SELinux/MAC Evangelist (14年) - Linux エンジニア (19年) - システム管理者(4年) - Antivirus Professional エンジニア(3年) - SIEM Professional エンジニア (3年) - CISSP #366942
  4. 4. © SIOS Technology, Inc. All rights Reserved. https://security.sios.com
  5. 5. © SIOS Technology, Inc. All rights Reserved. https://redhat.sios.jp
  6. 6. © SIOS Technology, Inc. All rights Reserved. 注意事項 - 絶対に真似しないでください - 実際にアクセスはやめてください - ここで知ったことを悪用しないでください
  7. 7. © SIOS Technology, Inc. All rights Reserved. 目次 とりあえず色々やってみましょう - クライアント(ノートPC, モバイル(Android)) - サーバ and クラウド - まとめ
  8. 8. © SIOS Technology, Inc. All rights Reserved. クライアント ● 「佐川の不在通知」を見る ● 「AppleIDをロックしました!」を見る ● 「振込先が変わりました」メールの添付ファイル
  9. 9. © SIOS Technology, Inc. All rights Reserved. 佐川の不在通知
  10. 10. © SIOS Technology, Inc. All rights Reserved. 「キター!!!(笑)」
  11. 11. © SIOS Technology, Inc. All rights Reserved. アクセスしてみよう!! sagawa.mkv 参照
  12. 12. © SIOS Technology, Inc. All rights Reserved. アクセスしてみよう!!
  13. 13. © SIOS Technology, Inc. All rights Reserved. 気をつけよう!! ● 怪しいリンクはクリックしない!! ● クリックする前にドメイン(又はURL)を確認する ● わからなければ、その件名等でググる ● 「PCがあれば」PCでアクセスしてみる(実行はしない)
  14. 14. © SIOS Technology, Inc. All rights Reserved. 「AppleIDがロックされました」
  15. 15. © SIOS Technology, Inc. All rights Reserved. 「AppleIDがロック」 - 有名なやつですね。PC/モバイルの両方で(動画)。
  16. 16. © SIOS Technology, Inc. All rights Reserved. 気をつけよう!! - リンクのアドレスをしっかり確認しよう - PCがあればPCでリンクのアドレスを見てみよう - モバイルしか無い場合には「機内モード」「無線OFF」 - を行ってから、リンク先を確認しよう
  17. 17. © SIOS Technology, Inc. All rights Reserved. 振込先が変わりました!!
  18. 18. © SIOS Technology, Inc. All rights Reserved. 正規の相手のように見える 動画(Targeted_Petcha.mkv) 電話番号も変わりましたと..
  19. 19. © SIOS Technology, Inc. All rights Reserved. 標的型攻撃
  20. 20. © SIOS Technology, Inc. All rights Reserved. ランサムウェア ランサムウェア 別名:身代金ウィルス,身代金ウイルス,身代金型ウィルス,身代金要求ウイルス 【英】ransomware ランサムウェアとは、マルウェア(悪意のある ソフトウェア)の一種で、ユーザーのデータを「人質」にとり、データの回復の ために「身代金」(ransom)を要求するソフトウェアのことである。
  21. 21. © SIOS Technology, Inc. All rights Reserved. アンチウイルスソフトで大概OK (参考):https://www.av-comparatives.org/tests/malware-protection-test-march-2019/ アンチウイルスソフトは、ほぼほぼ(良い意味で)変わりません。
  22. 22. © SIOS Technology, Inc. All rights Reserved. 気をつけよう!! - 知ってる相手でも確認する - 不用意に添付ファイルを開かない - アンチウイルスソフトは必ず入れておく - わからない場合には社内の情シス等に問い合わせる
  23. 23. © SIOS Technology, Inc. All rights Reserved. サーバ&クラウド編
  24. 24. © SIOS Technology, Inc. All rights Reserved. サーバ ● AWSのIDをGithubに置いてみる ● Azureにサーバを立ててノーガード
  25. 25. © SIOS Technology, Inc. All rights Reserved. AWSのIDをGithubに晒してみる
  26. 26. © SIOS Technology, Inc. All rights Reserved. 結構よくある話です AWSアカウント情報・認証情報 Githubで漏れた(ソースコードに..) XXX万円請求された 仮想通貨採掘に利用された .. etc. ハードコードで入ってるので パスワード二重化では防げない!!
  27. 27. © SIOS Technology, Inc. All rights Reserved. 試しにGithubに晒してみる import logging import boto3 from boto3.session import Session print('Loading function... ') logger = logging.getLogger() logger.setLevel(logging.INFO) # set your access key here, don't use my key!! AWS_ACCESS_KEY = 'AKIAJTC8RTDGMGIRHH4A' # set your secret access key here, don't use my key!! AWS_ACCESS_SECRET = '9Z/jzN1C+hauz8f2hwroL9ABmx06wr/EjnNgucEc' # option AWS_REGION = 'ap-northeast-1' 鍵はフェイクです。
  28. 28. © SIOS Technology, Inc. All rights Reserved. あっという間にアクセス数が上がる 直前までViewが2件だったのが、上げて5分で22件に
  29. 29. © SIOS Technology, Inc. All rights Reserved. 御親切な注意のメールも直ぐに届く どうやら機械学習とBotを組み合わせて警告を出しているらしい つまり、Botで常にキーを探し回ってる人たちもいるということ。
  30. 30. © SIOS Technology, Inc. All rights Reserved. とりあえず、このぐらいで削除 これ以上やるには、AWSアカウントが必要 (で、何かやらかすとカードに響きそう) 削除したらあっという間にViewが無くなったよ・・
  31. 31. © SIOS Technology, Inc. All rights Reserved. 結論: ● Githubのアクセスを増やしたいなら AWSアカウントの情報を置く AWSアカウント情報の漏洩には 気をつけましょう
  32. 32. © SIOS Technology, Inc. All rights Reserved. Azureにノーガード戦法のサーバ?
  33. 33. © SIOS Technology, Inc. All rights Reserved. Azureにサーバ立ててみる 「クラウドに簡単にサーバ立てられるぜー」 「AWSやらAzureやらのサーバ使って簡単に サービス作れるぜー」 なら、ノーガードでやってみようか
  34. 34. © SIOS Technology, Inc. All rights Reserved. AzureでVMを立てると [jsosug@azuretest ~] sudo /bin/ls [sudo] jsosug のパスワード: 最後の失敗ログイン: 2019/02/05 (火) 11:22:25 UTC ns3937129.ip-54-38-82.euから 開始日時 ssh:notty 最後の正しいログインの後に 93 回の失敗ログインの試行があります Feb 5 09:33:31 localhost sshd[32535]: Failed password for invalid user admin from XX.XX.XX.XX port 38664 ssh2 Feb 5 09:33:34 localhost sshd[32539]: Failed password for root from XX.XX.XX.XX port 49036 ssh2 Feb 5 09:35:46 localhost sshd[32624]: Failed password for invalid user subzero from XX.XX.XX.XX port 43628 ssh2 Feb 5 09:36:41 localhost sshd[32688]: Failed password for invalid user openvpn from XX.XX.XX.XX port 16244 ssh2 Feb 5 09:36:45 localhost sshd[32690]: Failed password for invalid user t3rr0r from XX.XX.XX.XX port 17922 ssh2 Feb 5 09:36:49 localhost sshd[32694]: Failed password for invalid user fazan from XX.XX.XX.XX port 19617 ssh2 Feb 5 09:36:52 localhost sshd[32698]: Failed password for invalid user butter from XX.XX.XX.XX port 21341 ssh2 1時間以内で攻撃が来ます!!
  35. 35. © SIOS Technology, Inc. All rights Reserved. Azureでハニーポットを立ててみる ハニーポット(Honey Pott: 「蜜がつまった壺」) 故意に脆弱性があるように見せかけてアクセス履歴や行動を掴むための罠サーバ・ネットワーク 実はフェイク(偽)
  36. 36. © SIOS Technology, Inc. All rights Reserved. Azureでハニーポットを立ててみる 不正なsshログインの形跡(CowrieというSSH/Telnetハニーポットを使用) 2019-05-08T01:20:09.632092Z [HoneyPotSSHTransport,51,XX.XX.XX.XX] starting service 'ssh-userauth' 2019-05-08T01:20:09.721529Z [SSHService 'ssh-userauth' on HoneyPotSSHTransport,51,XX.XX.XX.XX] 'root' trying auth 'password' 2019-05-08T01:20:09.721954Z [SSHService 'ssh-userauth' on HoneyPotSSHTransport,51,XX.XX.XX.XX] login attempt [root/admin] succeeded ----------------------- 2019-05-07T17:05:25.470241Z [SSHService 'ssh-userauth' on HoneyPotSSHTransport,12,XX.XX.XX.XX] login attempt [root/ababbabababbaba] succeeded 2019-05-07T17:05:25.471273Z [SSHService 'ssh-userauth' on HoneyPotSSHTransport,12,XX.XX.XX.XX] Initialized emulated server as architecture: linux- x64-lsb ------------------------- 2019-05-07T12:23:27.456251Z [SSHService 'ssh-userauth' on HoneyPotSSHTransport,1,XX.XX.XX.XX] login attempt [mysql/pass] succeeded 2019-05-07T12:23:27.457069Z [SSHService 'ssh-userauth' on HoneyPotSSHTransport,1,XX.XX.XX.XX] Initialized emulated server as architecture: linux- x64-lsb
  37. 37. © SIOS Technology, Inc. All rights Reserved. Azureでハニーポットを立ててみる phpMyAdminの脆弱性への攻撃の形跡 XX.XX.XX.XX - - [07/May/2019:06:22:41 +0000] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 200 748 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0" XX.XX.XX.XX - - [07/May/2019:06:22:43 +0000] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 200 748 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0" XX.XX.XX.XX - - [07/May/2019:06:22:45 +0000] "GET /phpmyadmin/scripts/db___.init.php HTTP/1.1" 404 231 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0“ XX.XX.XX.XX - - [07/May/2019:06:22:52 +0000] "GET /index.php?s=%2f%69%6e %64%65%78%2f%5c%74%68%69%6e%6b%5c%61%70%70%2f%69%6e%76%6f%6b %65%66%75%6e%63%74%69%6f%6e&function=%63%61%6c%6c%5f %75%73%65%72%5f%66%75%6e%63%5f%61%72%72%61%79&vars[0]=%6d %645&vars[1][]=%48%65%6c%6c%6f%54%68%69%6e%6b%50%x80x96x98 HTTP/1.1" 404 207 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0"
  38. 38. © SIOS Technology, Inc. All rights Reserved. Azureでハニーポットを立ててみる Wordpressの脆弱性への攻撃の形跡 ZZ.ZZ.ZZ.ZZ - - [08/May/2019:01:38:29 +0000] "POST /xmlrpc.php HTTP/1.1" 404 208 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0" ZZ.ZZ.ZZ.ZZ - - [08/May/2019:01:38:29 +0000] "POST /blog/xmlrpc.php HTTP/1.1" 404 213 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0“
  39. 39. © SIOS Technology, Inc. All rights Reserved. Azureでハニーポットを立ててみる sshのハニーポットに残ってたファイルを実行 (Corona: トロイの木馬) 動画(linux_Corona)
  40. 40. © SIOS Technology, Inc. All rights Reserved. Azureでも 常に危険がある&狙われている事を 自覚しましょう。 → 一般的なシステム保護は必須!!
  41. 41. © SIOS Technology, Inc. All rights Reserved. まとめ 一般の人達 - 変なメールが来たら「件名」「URL」等でググる - 怪しい添付ファイルは開かない。情シスに相談 - アンチウイルスソフトはやっぱり大事。 IT業界の人達 - リテラシー教育は必須。でもシステムで守れる所は守ろう - 適当にクラウドで作れちゃうので気をつけよう - 管理部署以外の人達が作った物のお守りが大変 orz
  42. 42. © SIOS Technology, Inc. All rights Reserved. Any Questions?

×