SlideShare une entreprise Scribd logo

低対話型サーバハニーポットの運用結果及び考察

Takaaki Hoyo
Takaaki Hoyo

2年くらい前に某所で発表したハニーポットの運用の話です。 (結果は2014年のものなので少し古いです)

Technologie
1  sur  25
Télécharger pour lire hors ligne
ハニーポットの運用結果及び考察 @takahoyo
目次 šハニーポットとは š運用したハニーポットの概要 šログの解析について š解析結果 š結果から考えられること š今後どうするか
ハニーポットとは š 攻撃を受けやすいようわざと脆弱性を残したサーバなど š 主な目的 šマルウェアを捕獲する š攻撃者(マルウェア)の攻撃を分析する š 様々な種類 š 低対話型:サービスをエミュレート š 高対話型:本物のアプリケーションやOS š クライアント型:自分から怪しいサイトにアクセスしに行く
運用したハニーポット š2種類の低対話型ハニーポット šDionaea šKippo šVPS(Virtual Private Server)にて運用
Dionaea(ハエトリグサ) šFTP,HTTP,SMB,MSSQL,MYSQLなど多くのサービスをエミュレート šSMBやFTPで捕まえたバイナリを保存 š通信のログも保存 šSQLiteのデータベースでログを出力可 šVirus Totalとの連携機能(バイナリの解析結果をログに保存) šp0f v2とも連携が可 通信からOSを予測(passive fingerprinting)しログに保存
Kippo šSSHをエミュレート šBrute-force Attackをログするように設計 šログインした攻撃者にはシェルを操作させる šコマンドもエミュレート šシェル操作履歴もログに残る(Demo) šwgetでダウンロードしたバイナリも保存 šDionaeaと共存が可能!!
ログの解析項目 šDionaea š日毎のアクセス回数 šアクセスされているサービス šアクセスしてきた国 šアクセスしてきた端末のOS š捕まったマルウェアの種類 šKippo šアクセスしてきた国 šアクセスしてきたユーザ šアクセスしてきたパスワード
解析に用いたツール šExcel 時々 Python šExcel šSQLite DBをすべてCSVにしてExcelにインポート š頻度分析や結果のグラフ化など šPython šIP→Countryの変換(GeoIP DBのPython用APIを使用) šKippoのログからuser/passのcsvファイル作成
解析結果 š2014年6月7日 ~ 7月31日の約2カ月間運用 š総アクセス数 šDionaea : 2,504,496件 (SQLiteのログが2GBくらい) šKippo : 12,243件
Dionaea 解析結果
なんとなく周期がある?
圧倒的にSMB
SMB以外では HTTP, SQL系が狙われやすい
アメリカ・ロシア・台湾・中国が多い
圧倒的にWindows ※結果が正確ではありません
Windows XP・2000が目立つ ※結果が正確ではありません
ほとんどがワーム
Kippo 解析結果
ほとんど中国
・rootが圧倒的( rootでログインできないようにする) ・ここにあるユーザ名は使うべきではない
ここにあるパスワードは使うべきではない
結果から考えられること (Dionaea) šアクセスのほとんどがマルウェア(ワーム)による感染活動 → アクセスして来た国はマルウェア感染端末が多い → Win Vista以前のOSに感染してることが多い šSQLは狙われやすいから、使わないなら塞ごう šマルウェア収集には限界がある →マルウェア収集にはWebクライアント型の方が良いかも
結果から考えられること (Kippo) šマルウェアがパスワードの試行を試している可能性も šrootでログインできないようにしておこう špasswordとかわかりやすいパスワードにするのは絶対やめよう (Honeypotなら別だが…)
今後どうするか šログ解析について šマクロな解析だけでなくミクロな解析も š改善点 šハニーポットとわかりにくくする šDionaeaは、nmapでバレる šKippoは、SHODANにバレる、シェルを操作するとバレる → コードに改良を施す š 9月くらいには再稼働したいな…
END Thank you for Listening

Recommandé

0805wordbench倉敷
0805wordbench倉敷0805wordbench倉敷
0805wordbench倉敷
真琴 平賀
 
Online Social Networkにおけるセキュリティとプライバシ
Online Social NetworkにおけるセキュリティとプライバシOnline Social Networkにおけるセキュリティとプライバシ
Online Social Networkにおけるセキュリティとプライバシ
Chiemi Watanabe
 
http2.0 negotiation&header compression
http2.0 negotiation&header compressionhttp2.0 negotiation&header compression
http2.0 negotiation&header compression
yuki-f
 
パケットで遊ぼう! #ssmjp 2015/04
パケットで遊ぼう! #ssmjp 2015/04 パケットで遊ぼう! #ssmjp 2015/04
パケットで遊ぼう! #ssmjp 2015/04
Takaaki Hoyo
 
○○はいいぞ
○○はいいぞ○○はいいぞ
○○はいいぞ
Takaaki Hoyo
 
hpingで作るパケット
hpingで作るパケットhpingで作るパケット
hpingで作るパケット
Takaaki Hoyo
 
Scapyで作る・解析するパケット
Scapyで作る・解析するパケットScapyで作る・解析するパケット
Scapyで作る・解析するパケット
Takaaki Hoyo
 
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
 

Recommandé

0805wordbench倉敷
0805wordbench倉敷0805wordbench倉敷
0805wordbench倉敷
真琴 平賀
 
Online Social Networkにおけるセキュリティとプライバシ
Online Social NetworkにおけるセキュリティとプライバシOnline Social Networkにおけるセキュリティとプライバシ
Online Social Networkにおけるセキュリティとプライバシ
Chiemi Watanabe
 
http2.0 negotiation&header compression
http2.0 negotiation&header compressionhttp2.0 negotiation&header compression
http2.0 negotiation&header compression
yuki-f
 
パケットで遊ぼう! #ssmjp 2015/04
パケットで遊ぼう! #ssmjp 2015/04 パケットで遊ぼう! #ssmjp 2015/04
パケットで遊ぼう! #ssmjp 2015/04
Takaaki Hoyo
 
○○はいいぞ
○○はいいぞ○○はいいぞ
○○はいいぞ
Takaaki Hoyo
 
hpingで作るパケット
hpingで作るパケットhpingで作るパケット
hpingで作るパケット
Takaaki Hoyo
 
Scapyで作る・解析するパケット
Scapyで作る・解析するパケットScapyで作る・解析するパケット
Scapyで作る・解析するパケット
Takaaki Hoyo
 
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
 
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
Insight Technology, Inc.
 
アクセス・ログ取得システム導入の考察(完全版)
アクセス・ログ取得システム導入の考察(完全版)アクセス・ログ取得システム導入の考察(完全版)
アクセス・ログ取得システム導入の考察(完全版)
Fusion Reactor LLC
 
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
wintechq
 
【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で
【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で
【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で
Hinemos
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
 
Why Lotus Notes/Domino?
Why Lotus Notes/Domino?Why Lotus Notes/Domino?
Why Lotus Notes/Domino?
Kamoshita Yoshihiro
 
20120609 cod ws2012概要
20120609 cod ws2012概要20120609 cod ws2012概要
20120609 cod ws2012概要
Osamu Takazoe
 
Sensibleを試してみた@FxOSコードリーディングミートアップ#16
Sensibleを試してみた@FxOSコードリーディングミートアップ#16Sensibleを試してみた@FxOSコードリーディングミートアップ#16
Sensibleを試してみた@FxOSコードリーディングミートアップ#16
Hayato Hiratori
 
このService Fabric野郎!!
このService Fabric野郎!!このService Fabric野郎!!
このService Fabric野郎!!
Toru Makabe
 
Sphinx GO!!
Sphinx GO!!Sphinx GO!!
Sphinx GO!!
Go Yamada
 
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
Noriaki Hayashi
 
Proxy War
Proxy WarProxy War
Proxy War
zaki4649
 
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
Takahiro Shinagawa
 
勉強会資料①
勉強会資料①勉強会資料①
勉強会資料①
真亮 坂口
 
次期Exchangeのご紹介
次期Exchangeのご紹介次期Exchangeのご紹介
次期Exchangeのご紹介
kumo2010
 
Man-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSchMan-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSch
Atsuhiko Yamanaka
 
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
株式会社クライム
 
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
Takashi Matsunaga
 
Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~
Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~
Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~
bizstation
 
1_各Atlassian製品の紹介
1_各Atlassian製品の紹介1_各Atlassian製品の紹介
1_各Atlassian製品の紹介
Ricksoft
 

Contenu connexe

Similaire à 低対話型サーバハニーポットの運用結果及び考察

Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
wintechq
 
20120609 cod ws2012概要
20120609 cod ws2012概要20120609 cod ws2012概要
20120609 cod ws2012概要
Osamu Takazoe
 
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
Takahiro Shinagawa
 
次期Exchangeのご紹介
次期Exchangeのご紹介次期Exchangeのご紹介
次期Exchangeのご紹介
kumo2010
 
Man-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSchMan-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSch
Atsuhiko Yamanaka
 
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
株式会社クライム
 

Similaire à 低対話型サーバハニーポットの運用結果及び考察 (20)

[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
 
アクセス・ログ取得システム導入の考察(完全版)
アクセス・ログ取得システム導入の考察(完全版)アクセス・ログ取得システム導入の考察(完全版)
アクセス・ログ取得システム導入の考察(完全版)
 
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
 
【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で
【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で
【OSC2014】監視もジョブも、クラウド管理も「Hinemos」で
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
 
Why Lotus Notes/Domino?
Why Lotus Notes/Domino?Why Lotus Notes/Domino?
Why Lotus Notes/Domino?
 
20120609 cod ws2012概要
20120609 cod ws2012概要20120609 cod ws2012概要
20120609 cod ws2012概要
 
Sensibleを試してみた@FxOSコードリーディングミートアップ#16
Sensibleを試してみた@FxOSコードリーディングミートアップ#16Sensibleを試してみた@FxOSコードリーディングミートアップ#16
Sensibleを試してみた@FxOSコードリーディングミートアップ#16
 
このService Fabric野郎!!
このService Fabric野郎!!このService Fabric野郎!!
このService Fabric野郎!!
 
Sphinx GO!!
Sphinx GO!!Sphinx GO!!
Sphinx GO!!
 
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
 
Proxy War
Proxy WarProxy War
Proxy War
 
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
 
勉強会資料①
勉強会資料①勉強会資料①
勉強会資料①
 
次期Exchangeのご紹介
次期Exchangeのご紹介次期Exchangeのご紹介
次期Exchangeのご紹介
 
Man-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSchMan-in-the-Middle Attack for SSH with Scala and JSch
Man-in-the-Middle Attack for SSH with Scala and JSch
 
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
3/1(木)開催 分析したいデータが眠っていませんか? IBM Cloudを利用したデータ分析ことはじめ。~インフラ検討編~
 
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
 
Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~
Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~
Transactd ~高速・高機能なNoSQLプラグイン for MySQL/MariaDB~
 
1_各Atlassian製品の紹介
1_各Atlassian製品の紹介1_各Atlassian製品の紹介
1_各Atlassian製品の紹介
 

低対話型サーバハニーポットの運用結果及び考察