Soumettre la recherche
Mettre en ligne
低対話型サーバハニーポットの運用結果及び考察
•
2 j'aime
•
2,700 vues
Takaaki Hoyo
Suivre
2年くらい前に某所で発表したハニーポットの運用の話です。 (結果は2014年のものなので少し古いです)
Lire moins
Lire la suite
Technologie
Affichage du diaporama
Signaler
Partager
Affichage du diaporama
Signaler
Partager
1 sur 25
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
Wordbench倉敷楽しかったです!LTでお話させて頂いた内容です。
0805wordbench倉敷
0805wordbench倉敷
真琴 平賀
輪講で作った資料
Online Social Networkにおけるセキュリティとプライバシ
Online Social Networkにおけるセキュリティとプライバシ
Chiemi Watanabe
http2.0 negotiation&header compression
http2.0 negotiation&header compression
yuki-f
#ssmjp 2015/04で発表したスライドです。 pcapファイルをいろいろと弄って遊んでみました!
パケットで遊ぼう! #ssmjp 2015/04
パケットで遊ぼう! #ssmjp 2015/04
Takaaki Hoyo
第5回ICTトラブルシューティングコンテストの懇親会でやったLTです
○○はいいぞ
○○はいいぞ
Takaaki Hoyo
第20回 「ネットワークパケットを読む会」( https://atnd.org/events/54939 )で発表したスライドになります。
hpingで作るパケット
hpingで作るパケット
Takaaki Hoyo
第32回「ネットワーク パケットを読む会(仮)」で発表した資料です。 #pakeana https://atnd.org/events/70080
Scapyで作る・解析するパケット
Scapyで作る・解析するパケット
Takaaki Hoyo
「第12回セキュリティさくら」で発表したLT資料です
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
Recommandé
Wordbench倉敷楽しかったです!LTでお話させて頂いた内容です。
0805wordbench倉敷
0805wordbench倉敷
真琴 平賀
輪講で作った資料
Online Social Networkにおけるセキュリティとプライバシ
Online Social Networkにおけるセキュリティとプライバシ
Chiemi Watanabe
http2.0 negotiation&header compression
http2.0 negotiation&header compression
yuki-f
#ssmjp 2015/04で発表したスライドです。 pcapファイルをいろいろと弄って遊んでみました!
パケットで遊ぼう! #ssmjp 2015/04
パケットで遊ぼう! #ssmjp 2015/04
Takaaki Hoyo
第5回ICTトラブルシューティングコンテストの懇親会でやったLTです
○○はいいぞ
○○はいいぞ
Takaaki Hoyo
第20回 「ネットワークパケットを読む会」( https://atnd.org/events/54939 )で発表したスライドになります。
hpingで作るパケット
hpingで作るパケット
Takaaki Hoyo
第32回「ネットワーク パケットを読む会(仮)」で発表した資料です。 #pakeana https://atnd.org/events/70080
Scapyで作る・解析するパケット
Scapyで作る・解析するパケット
Takaaki Hoyo
「第12回セキュリティさくら」で発表したLT資料です
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
小澤 嘉尚 毎日のように報告されるサイバー攻撃被害の報道。このような事態に巻き込まれない為に必要な防衛策とはなにかをFireEyeの提唱する「適応型防御(AdaptiveDefence)」を具体的な攻撃手法に照らし合わせて、FireEye製品、サービスを紹介します。
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
Insight Technology, Inc.
本件コンサルティング、調査レポートのお問い合わせは以下にお願いいたします。なお、初回相談は無料ですので、お気軽にご連絡ください。 ホームページ; http://www.fusion-reactor.biz/japanese 担当; 徳田 浩司 電話 日本 050-5534-1114 (国内電話で通じます) E-mail: info@fusion-reactor.biz Linkedin; www.linkedin.com/in/tokuda
アクセス・ログ取得システム導入の考察(完全版)
アクセス・ログ取得システム導入の考察(完全版)
Fusion Reactor LLC
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
wintechq
オープンソースカンファレンス 2014 のセッション発表資料です (2014/06/16:OSC 2014 Hokkaido 発表資料に更新) (2014/07/07:OSC 2014 Nagoya 発表資料に更新) (2014/8/4:OSC 2014 Kansai@Kyoto 発表資料に更新) (2014/9/5:OSC 2014.Enterprise@Osaka 発表資料に更新) (2014/9/20:OSC 2014 Hiroshima 発表資料に更新) (2014/10/21:OSC 2014 Tokyo/Fall 発表資料に更新) (2014/11/22:OSC 2014 Fukuoka 発表資料に更新) (2014/12/12:OSC 2014.Enterprise 発表資料に更新)
【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で
【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で
Hinemos
Active Directory 侵害と推奨対策についての勉強会
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
Why Lotus Notes/Domino
Why Lotus Notes/Domino?
Why Lotus Notes/Domino?
Kamoshita Yoshihiro
20120609 cod ws2012概要
20120609 cod ws2012概要
Osamu Takazoe
Sensibleを試してみた@FxOSコードリーディングミートアップ#16
Sensibleを試してみた@FxOSコードリーディングミートアップ#16
Sensibleを試してみた@FxOSコードリーディングミートアップ#16
Hayato Hiratori
このService Fabric野郎!!
このService Fabric野郎!!
このService Fabric野郎!!
Toru Makabe
2016年7月のささみの会で発表した内容です。 当たりさわりの無い Sphinx についての紹介をしています。
Sphinx GO!!
Sphinx GO!!
Go Yamada
『新潟県サイバーセキュリティフォーラム2017』(第6回反社会的勢力排除分科会),2017/12/11 http://www.cyber.niigata.jp/html/antisocial.html
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
Noriaki Hayashi
Proxy War
Proxy War
zaki4649
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
Takahiro Shinagawa
勉強会資料①
勉強会資料①
真亮 坂口
次期Exchangeのご紹介
次期Exchangeのご紹介
kumo2010
Man-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSch
Atsuhiko Yamanaka
日々蓄積されるデータ。そのデータ、溜めっぱなしになっていませんか? 分析したくても環境がない。時間がない。やり方がわからない。スキルがない。予算がない。 多くのお客様が今そこにあるデータの活用に悩まれている昨今、IBM Cloudを利用して寝かしたままの"分析したかった"データを活用する企業が増えています。 当Webセミナーでは、これまでのデータベース運用の常識を覆す、完全自動運用のデータベースサービス「Db2 Warehouse on Cloud」を使って、 手つかずのデータを短時間で簡単に分析する方法をデモも交えながらご紹介いたします。 また、社内データとクラウドデータの効率的な連係方法について、株式会社クライムより異種データソース間の双方向に対応した リアルタイムレプリケーションツール「DBMoto」をご紹介いたします。 DBMotoを導入することによって、データベースを止めることなくGUIベースで簡単にデータのレプリケーションを実現することができます。 当Webセミナーを受講いただくことで、社内環境とクラウド環境の連係とクラウドでのデータ分析のファーストステップを理解することにもお役立ていただけます。
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
株式会社クライム
2016/09/12「クラウド時代のIT運用管理 - OSSツールは商用ツールに追いついたか?」セミナーにて、「クラウド監視」の観点からZabbix、MIRACLE ZBX、Hatoholを紹介しています。
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
Takashi Matsunaga
MySQL Talk in 長野 (NSEG #49) での発表資料です。 http://nseg.doorkeeper.jp/events/9286 Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~ ①Transactdとは? ②よいところ ③初めの一歩 ④ライセンス ⑤おわりに
Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~
Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~
bizstation
18ページがエラー表示されてしまう方は、お手数ですがダウンロードしてご覧ください。 各Atlassian製品の紹介 ・JIRA ・FishEye ・Crucible ・Confluence ・Crowd
1_各Atlassian製品の紹介
1_各Atlassian製品の紹介
Ricksoft
Contenu connexe
Similaire à 低対話型サーバハニーポットの運用結果及び考察
小澤 嘉尚 毎日のように報告されるサイバー攻撃被害の報道。このような事態に巻き込まれない為に必要な防衛策とはなにかをFireEyeの提唱する「適応型防御(AdaptiveDefence)」を具体的な攻撃手法に照らし合わせて、FireEye製品、サービスを紹介します。
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
Insight Technology, Inc.
本件コンサルティング、調査レポートのお問い合わせは以下にお願いいたします。なお、初回相談は無料ですので、お気軽にご連絡ください。 ホームページ; http://www.fusion-reactor.biz/japanese 担当; 徳田 浩司 電話 日本 050-5534-1114 (国内電話で通じます) E-mail: info@fusion-reactor.biz Linkedin; www.linkedin.com/in/tokuda
アクセス・ログ取得システム導入の考察(完全版)
アクセス・ログ取得システム導入の考察(完全版)
Fusion Reactor LLC
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
wintechq
オープンソースカンファレンス 2014 のセッション発表資料です (2014/06/16:OSC 2014 Hokkaido 発表資料に更新) (2014/07/07:OSC 2014 Nagoya 発表資料に更新) (2014/8/4:OSC 2014 Kansai@Kyoto 発表資料に更新) (2014/9/5:OSC 2014.Enterprise@Osaka 発表資料に更新) (2014/9/20:OSC 2014 Hiroshima 発表資料に更新) (2014/10/21:OSC 2014 Tokyo/Fall 発表資料に更新) (2014/11/22:OSC 2014 Fukuoka 発表資料に更新) (2014/12/12:OSC 2014.Enterprise 発表資料に更新)
【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で
【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で
Hinemos
Active Directory 侵害と推奨対策についての勉強会
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
Why Lotus Notes/Domino
Why Lotus Notes/Domino?
Why Lotus Notes/Domino?
Kamoshita Yoshihiro
20120609 cod ws2012概要
20120609 cod ws2012概要
Osamu Takazoe
Sensibleを試してみた@FxOSコードリーディングミートアップ#16
Sensibleを試してみた@FxOSコードリーディングミートアップ#16
Sensibleを試してみた@FxOSコードリーディングミートアップ#16
Hayato Hiratori
このService Fabric野郎!!
このService Fabric野郎!!
このService Fabric野郎!!
Toru Makabe
2016年7月のささみの会で発表した内容です。 当たりさわりの無い Sphinx についての紹介をしています。
Sphinx GO!!
Sphinx GO!!
Go Yamada
『新潟県サイバーセキュリティフォーラム2017』(第6回反社会的勢力排除分科会),2017/12/11 http://www.cyber.niigata.jp/html/antisocial.html
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
Noriaki Hayashi
Proxy War
Proxy War
zaki4649
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
Takahiro Shinagawa
勉強会資料①
勉強会資料①
真亮 坂口
次期Exchangeのご紹介
次期Exchangeのご紹介
kumo2010
Man-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSch
Atsuhiko Yamanaka
日々蓄積されるデータ。そのデータ、溜めっぱなしになっていませんか? 分析したくても環境がない。時間がない。やり方がわからない。スキルがない。予算がない。 多くのお客様が今そこにあるデータの活用に悩まれている昨今、IBM Cloudを利用して寝かしたままの"分析したかった"データを活用する企業が増えています。 当Webセミナーでは、これまでのデータベース運用の常識を覆す、完全自動運用のデータベースサービス「Db2 Warehouse on Cloud」を使って、 手つかずのデータを短時間で簡単に分析する方法をデモも交えながらご紹介いたします。 また、社内データとクラウドデータの効率的な連係方法について、株式会社クライムより異種データソース間の双方向に対応した リアルタイムレプリケーションツール「DBMoto」をご紹介いたします。 DBMotoを導入することによって、データベースを止めることなくGUIベースで簡単にデータのレプリケーションを実現することができます。 当Webセミナーを受講いただくことで、社内環境とクラウド環境の連係とクラウドでのデータ分析のファーストステップを理解することにもお役立ていただけます。
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
株式会社クライム
2016/09/12「クラウド時代のIT運用管理 - OSSツールは商用ツールに追いついたか?」セミナーにて、「クラウド監視」の観点からZabbix、MIRACLE ZBX、Hatoholを紹介しています。
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
Takashi Matsunaga
MySQL Talk in 長野 (NSEG #49) での発表資料です。 http://nseg.doorkeeper.jp/events/9286 Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~ ①Transactdとは? ②よいところ ③初めの一歩 ④ライセンス ⑤おわりに
Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~
Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~
bizstation
18ページがエラー表示されてしまう方は、お手数ですがダウンロードしてご覧ください。 各Atlassian製品の紹介 ・JIRA ・FishEye ・Crucible ・Confluence ・Crowd
1_各Atlassian製品の紹介
1_各Atlassian製品の紹介
Ricksoft
Similaire à 低対話型サーバハニーポットの運用結果及び考察
(20)
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
アクセス・ログ取得システム導入の考察(完全版)
アクセス・ログ取得システム導入の考察(完全版)
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で
【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Why Lotus Notes/Domino?
Why Lotus Notes/Domino?
20120609 cod ws2012概要
20120609 cod ws2012概要
Sensibleを試してみた@FxOSコードリーディングミートアップ#16
Sensibleを試してみた@FxOSコードリーディングミートアップ#16
このService Fabric野郎!!
このService Fabric野郎!!
Sphinx GO!!
Sphinx GO!!
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
Proxy War
Proxy War
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
勉強会資料①
勉強会資料①
次期Exchangeのご紹介
次期Exchangeのご紹介
Man-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSch
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~
Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~
1_各Atlassian製品の紹介
1_各Atlassian製品の紹介
低対話型サーバハニーポットの運用結果及び考察
1.
ハニーポットの運用結果及び考察 @takahoyo
2.
目次 šハニーポットとは š運用したハニーポットの概要 šログの解析について š解析結果 š結果から考えられること š今後どうするか
3.
ハニーポットとは š 攻撃を受けやすいようわざと脆弱性を残したサーバなど š 主な目的 šマルウェアを捕獲する š攻撃者(マルウェア)の攻撃を分析する š
様々な種類 š 低対話型:サービスをエミュレート š 高対話型:本物のアプリケーションやOS š クライアント型:自分から怪しいサイトにアクセスしに行く
4.
運用したハニーポット š2種類の低対話型ハニーポット šDionaea šKippo šVPS(Virtual Private Server)にて運用
5.
Dionaea(ハエトリグサ) šFTP,HTTP,SMB,MSSQL,MYSQLなど多くのサービスをエミュレート šSMBやFTPで捕まえたバイナリを保存 š通信のログも保存 šSQLiteのデータベースでログを出力可 šVirus Totalとの連携機能(バイナリの解析結果をログに保存) šp0f v2とも連携が可 通信からOSを予測(passive
fingerprinting)しログに保存
6.
Kippo šSSHをエミュレート šBrute-force Attackをログするように設計 šログインした攻撃者にはシェルを操作させる šコマンドもエミュレート šシェル操作履歴もログに残る(Demo) šwgetでダウンロードしたバイナリも保存 šDionaeaと共存が可能!!
7.
ログの解析項目 šDionaea š日毎のアクセス回数 šアクセスされているサービス šアクセスしてきた国 šアクセスしてきた端末のOS š捕まったマルウェアの種類 šKippo šアクセスしてきた国 šアクセスしてきたユーザ šアクセスしてきたパスワード
8.
解析に用いたツール šExcel 時々 Python šExcel šSQLite
DBをすべてCSVにしてExcelにインポート š頻度分析や結果のグラフ化など šPython šIP→Countryの変換(GeoIP DBのPython用APIを使用) šKippoのログからuser/passのcsvファイル作成
9.
解析結果 š2014年6月7日 ~ 7月31日の約2カ月間運用 š総アクセス数 šDionaea
: 2,504,496件 (SQLiteのログが2GBくらい) šKippo : 12,243件
10.
Dionaea 解析結果
11.
なんとなく周期がある?
12.
圧倒的にSMB
13.
SMB以外では HTTP, SQL系が狙われやすい
14.
アメリカ・ロシア・台湾・中国が多い
15.
圧倒的にWindows ※結果が正確ではありません
16.
Windows XP・2000が目立つ ※結果が正確ではありません
17.
ほとんどがワーム
18.
Kippo 解析結果
19.
ほとんど中国
20.
・rootが圧倒的( rootでログインできないようにする) ・ここにあるユーザ名は使うべきではない
21.
ここにあるパスワードは使うべきではない
22.
結果から考えられること (Dionaea) šアクセスのほとんどがマルウェア(ワーム)による感染活動 → アクセスして来た国はマルウェア感染端末が多い →
Win Vista以前のOSに感染してることが多い šSQLは狙われやすいから、使わないなら塞ごう šマルウェア収集には限界がある →マルウェア収集にはWebクライアント型の方が良いかも
23.
結果から考えられること (Kippo) šマルウェアがパスワードの試行を試している可能性も šrootでログインできないようにしておこう špasswordとかわかりやすいパスワードにするのは絶対やめよう (Honeypotなら別だが…)
24.
今後どうするか šログ解析について šマクロな解析だけでなくミクロな解析も š改善点 šハニーポットとわかりにくくする šDionaeaは、nmapでバレる šKippoは、SHODANにバレる、シェルを操作するとバレる → コードに改良を施す š 9月くらいには再稼働したいな…
25.
END Thank you for
Listening
Télécharger maintenant