社内勉強会で発表したやつ

1. ハニーポットによる解析
加筆修正版
社内勉強会
2012年5月18日 1

2. 今回のスライドは、、、
• ハニーポットというセキュリティツールを勉
強してみておもしろかったので共有します
• まだまだやりはじめたてなので勉強不足な点
もありますがよろしくおねがいします
• ネットワークやインフラという観点からだと
業務に役に立つ？
2

3. 目次
• 自己紹介
• ハニーポットとは
• 調査
• 使ったツール
• 結果と解析
• まとめと今後の課題
3

4. 自己紹介
4

5. 勉強会のいきさつ
• 勉強会の言い出しっぺです
• いろいろな人の話が聞きたいですねー！
5

6. ハニーポットとは
6

7. ハニーポットとは
7

8. ハニーポットとは
ハニーポット (英語: Honeypot) は、コンピュー
タセキュリティ用語としては、不正アクセスを
受けることに価値を持つシステムのことを指
す。元来は「蜜（の詰まった）壷」の意味で、
何らかの有益そうな情報や資源がありそうな場
所を用意して、それにつられた者を観察した
り、肝心な部分で被害を出さないために目を逸
らせたり、コンピュータ・フォレンジックスを
行うための証拠を集めたりする、一種の囮手法
に使われる。手法そのものをハニーポットと呼
ぶこともある。（Wikipedia）
8

9. ハニーポットとは
9

10. ハニーポットとは
自らを弱いサーバに見立て不審なアクセスを収集
する
不審なアクセス ハニーポット
ログ収集
10

11. 不審なアクセス
• 不審なアクセスは、たいてい自動化を行って
いる
• ツールを流して弱い相手を探しにいく
• 様々な手法を使ってくる
11

12. 一例
ポートスキャン
アプリケーションの調査
エクスプロイト
攻撃者 マルウェア送信等
被害者
ハニーポットが収集
12

13. ハニーポットの活用法
• マルウェア解析用の
• 攻撃手法を分析する
検体を収集する
13

14. 活用事例
警視庁情報通信局情報技術解析課
情報技術解析平成23年報
別紙資料 インターネット観測結果等について
http://www.npa.go.jp/cyberpolice/detect/pdf/H23_betsu.pdf
• インターネットの”定点観測”を行う
• アクセスを解析する
14

15. ハニーポットの欠点
• “ミイラとりがミイラになる”
• 攻撃により被害が拡大する、さらなる攻撃
の踏み台になる危険際がある
• 独立したネットワークを用いて細心の注意
を払いながら管理する必要がある（図参
照）
15

16. 調査
16

17. 目的
• ハニーポットを使いながら仕組みを理解する
• 攻撃手法からセキュリティに対策を理解する
• マルウェア解析の第一歩に
17

18. 使ったツール
18

19. 使ったツール
• Dionaea
• オープンソースのハニーポットツール
• ハニーポット Nepenthes の後継として登場し
た
19

20. Dionaea??
• ハエトリグサ
20

21. Nepenthes??
• ウツボカズラ
21

22. 1スライドでわかるハニーポットの歴
史
22

23. Dionaeaの特徴
• オープンソース
• 様々なプロトコルに対応
（http, ftp, VoIP, SQL）
• Sqlite形式でログを出力
23

24. サーバ
• VPS
– VPS ( Virtual Private Server )
– 仮想サーバとしてroot権限を使用することができ
る
– いろいろな設定ができるため、Webサーバ/メー
ルサーバ以外の運用も可能
24

25. サーバ
• 自分専用のIPで自由な設定が可能
http://www.onamae-server.com/compare/
25

26. サーバ
• 独立したネットワークが実現
SSH
26

27. インストール
依存ライブラリが多い、、、
• libev >=4.04, schmorp.de
• libglib >=2.20
• libssl, openssl.org
• liblcfg, liblcfg.carnivore.it
• libemu, libemu.carnivore.it
• python >=3.2, python.org
• sqlite >=3.3.6 sqlite.org
• readline >=3 cnswww.cns.cwru.edu
• cython >0.14.1, cython.org
• libudns, corpit.ru
• libcurl >=7.18, curl.haxx.se
• libpcap >=1.1.1, tcpdump.org
• libnl from git, infradead.org (optional)
• libgc >=6.8, hp.com (optional)
27

28. 結果と解析
28

29. 結果
• 2012年4月末ごろから測定開始
• 一昨日までになんと3933件のアクセスをいた
だきました！
• 集めたデータから4つの方法で解析を行った
29

30. 分析１
どこから来てるの？
30

31. どこから？
中国からの攻撃が多いとか言うけど、
実際にどこから来てるんだろう
• IPアドレスから国を判断
• IPアドレスの重複を除き国ごとに集計
31

32. どこから？
• IPアドレスから都市名を返してくれる Web
API を用いて一斉取得
• GETメソッドにIPを入れれば XML 形式で都市
名、国名、位置座標が返ってくる
32

33. 解析
• 国別ランキング
China 62
United States 33
Japan 8
Korea, Republic of 7
Germany 7
Netherlands 6
Australia 5
India 5
Mexico 5
France 4
Israel 3
Brazil 3
33

34. 分析２
どこに来てるの？
34

35. どこに？
サーバにアクセスするって
どこを狙っているのだろう
• アクセスを受信したポート番号ごとに集計
35

36. どこに？
• ポートランキング
httpd:80 654
mssqld:1433 448
smbd:445 419
mysqld:3306 115
epmapper:135 102
36

37. どこに？
ポート番
カウント 目的
号
80 654 HTTPへのアクセス、クロール
1433 448 MS SQL Server へのアクセス
445 419 Windows の脆弱性
3306 115 MySQL へのアクセス
135 102 Windows の脆弱性
37

38. 分析３
どうやって
38

39. どうやって？
どうやって入ってくるのか
• 認証を突破しようとしてきたパスワードを集
計
39

40. どうやって？
@#$% 11 123abc Internet manager security
!@#$%^ 110 123asd abc monitor server
!@#$%^& 111 123qwe abc123 network sql
!@#$%^&* 111111 147258 abcd oracle super
!@#$%^&*( 11111111 147258369 admin pass sybase
!@#$%^&*() 121212 2009 administrator passwd system
%null% 123 2600 alpha password telnet
* 123123 54321 asdf private test
0 123321 654321 asdfgh public tivoli
0000 1234 666666 computer real user
000000 12345 741852 database root xp
00000000 123456 741852963 debug sa
007 1234567 888 default sa123
010101 12345678 8888 enable sasa
0147852 123456789 888888 godblessyou sasql
1 1234qwer 88888888 ihavenopass secret
40

41. 分析4
何を？
41

42. 何を？
どんなマルウェアを送りつけてくるのか？
• 送ってきたバイナリデータをウィルススキャ
ン
42

43. 何を？
• マルウェアはハニーポット内に保管されてい
る
43

44. 何を？
• Clamscanというツールでコンソール上でス
キャン
ヒットすると、
どのマルウェアか表示される
OKと出ているのは問題なし
※実際はマルウェア
44

45. 何を？
• Virustotalというサイトでチェックサムから複
数ベンダのスキャン結果を調べることができ
る
45

46. 何を
PE_SALITY.JER 24
TROJ_DRPR.DEJ 18
PE_SALITY.RL 14
PE_SALITY.JER 12
TROJ_INJECTO.VY 11
46

47. 何を
第1位 PE_SALITY.JER 危険度：低
• 感染経路: フラッシュドライブを介した感染活動
• ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。 ウイルスは、悪意ある
Webサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
• ウイルスは、特定のレジストリ値を変更し、セキュリティセンター機能を無効にします。これに
より、ウイルスは自身を検出されることなく不正活動を実行することが可能になります。 ウイル
スは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。 ウイルス
は、レジストリ値を変更し、システムファイルおよび読み取り専用属性のファイルを非表示にし
ます。
• ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を
実行します。
• ウイルスは、すべてのリムーバブルドライブ内に自身のコピーを作成します。 ウイルスは、ユー
ザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、
"AUTORUN.INF" を作成します。
• ウイルスは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTS
ファイルを改変します。
47

48. 何を
第2位 TROJ_DRPR.DEJ 危険度：低
• マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトか
らユーザが誤ってダウンロードすることによりコンピュータに侵入しま
す。
48

49. 何を
第3位 PE_SALITY.RL 危険度：低
• ウイルスは、感染コンピュータ上の全ての物理ドライブおよびリムーバブルドライブ内に自身の
コピーを作成します。 ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自
身のコピーが自動実行するように、"AUTORUN.INF" を作成します
49

50. 何を
第4位 PE_SALITY.JER 危険度：低
• 感染経路: フラッシュドライブを介した感染活動
• ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。 ウイルスは、悪意ある
Webサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
• ウイルスは、特定のレジストリ値を変更し、セキュリティセンター機能を無効にします。これに
より、ウイルスは自身を検出されることなく不正活動を実行することが可能になります。 ウイル
スは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。 ウイルス
は、レジストリ値を変更し、システムファイルおよび読み取り専用属性のファイルを非表示にし
ます。
• ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を
実行します。
• ウイルスは、すべてのリムーバブルドライブ内に自身のコピーを作成します。 ウイルスは、ユー
ザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、
"AUTORUN.INF" を作成します。
• ウイルスは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTS
ファイルを改変します。
50

51. 何を
第5位 TROJ_INJECT.VY 危険度：低
• マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウン
ロードすることによりコンピュータに侵入します。
51

52. まとめと今後の課題
52

53. まとめ
まとめ
• ハニーポットを設置した
• 攻撃を集め、分析を行った
今後の課題
• 全体の量が少ないので正確な統計がとれない
• マルウェアの解析
53