www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(36)「phpMyAdminの設定不備を狙ったWebShell作成の試み」

どうも。ハニーポッターの森久です。

WOWHoneypot で phpMyAdmin の設定不備を狙った WebShell 作成の試みを検知しました。
phpMyAdmin はデータベースソフトウェアの1つである MySQL を Web から管理するプログラムの1つです。手軽に利用することができ非常に人気の高い反面、攻撃の対象になることも多いです。
phpMyAdmin をインストールするときに、通常はパスワードを設定します。これは正規のユーザ以外が、データベースを操作する画面にアクセスできないように制限するためです。

phpMyAdminログイン画面

 

しかし何らかの手違いによりパスワード設定をしなかったり、弱いパスワード(辞書に載っているような単語や推測可能な文字列)を設定していたりすると、攻撃者に不正ログインされてしまいます。
今回は、phpMyAdmin の操作画面にアクセスした攻撃者の行動を検知したので紹介します。

 

Read the rest of this entry »

Written by morihisa

12月 15th, 2017 at 4:41 pm

冬コミ(C93)で同人誌「WebShell図譜」を頒布します

どうも。ハニーポッターの森久です。

冬のお祭りこと、コミックマーケット(C93)にサークル参加します!

今回は、ハニーポット運用をしているとよく見かける WebShell を取り上げた「WebShell 図譜」という同人誌を頒布します。
コミケのような同人イベントは、サークルとして初参加です。また同人誌作成の右も左もわからない状態からスタートしました。
コミケ参加の当選通知をもらった後、試行錯誤しつつなんとか印刷所への入稿が完了し、頒布することができるようになりました。

 

WebShell 図譜 表紙

 

基本情報

  • 頒布イベント:コミックマーケット93(C93)
  • 頒布日:2017年12月29日(金)イベント1日目
  • 頒布場所:東3ホール キ-45b
  • サークル名:morihi-soc
  • サークルページ:https://webcatalog-free.circle.ms/Circle/13623674
  • 頒布物:WebShell 図譜(初頒布) A5 版 一色刷 表紙込み44ページ
  • 価格:500円

 

Read the rest of this entry »

Written by morihisa

12月 9th, 2017 at 2:58 pm

今年のログは今年のうちに

どうも。ハニーポッターの森久です。
今回は、Honeypot Advent Calendar 2017の3日目の記事です。

早いもので、2017年も12月になってしまいました。振り返ると、今年は1月にハニーポット観察記録を書籍化したところから始まり、そのご縁で大阪の tktk 勉強会に呼ばれていったり、ハニーポット技術交流会(第1回第2回)をはじめてみたり、自作の WOWHoneypot を公開してみたりと、イベント盛り沢山な一年でした。

ハニーポットの運用を始めた人もたくさんいると思いますが、今一度伝えたい事があります。

ログは分析しないと意味が無いぞ!

せっかくハニーポットにさまざまなログが蓄積されているのに、見ないのはもったいないです。
しかしハニーポット始めたばかりで、何をとっかかりとして分析をしたらいいかわからないという初心者ハニーポッターもいることでしょう。
そこでハニーポットのログ分析で、とりあえずここから始めてみたら面白いんじゃないかというテクニックをいくつかご紹介します。

Read the rest of this entry »

Written by morihisa

12月 3rd, 2017 at 11:08 pm

ハニーポット観察記録(35)「Tomcat に対する jsp ファイルを PUT する試み」

どうも。ハニーポッターの森久です。

秋、楽しんでいますか? といいつつ、日に日に寒さがまして冬も近づいていますね。
最近、知ったのですが、「ハニーポット」という名前の競走馬がいるそうです。しかも先日、船橋競馬場でおこなわれた「馬に乗って秋を満喫!」というレースで1着になったとのこと。
ハニーポットすごい。1回は走っているところを見てみたいものですね。

さて今回は、Apache Tomcat でリモートからコードが実行される脆弱性(CVE-2017-12615/CVE-2017-12616/CVE-2017-12617)について取り上げます。

 

Read the rest of this entry »

Written by morihisa

11月 19th, 2017 at 6:15 am

技術書典3でセキュリティ関係の技術書を買い漁ってきた

どうも。ハニーポッターの森久です。

今日(2017年10月22日)は、技術書典3のイベントが開催されました。
台風21号の影響もあり、めっちゃ雨降ってましたが、秋葉原 UDX まで行ってきました。

ハニーポットの薄い本が出るとの噂を聞いたので、それをゲットすることが目的でした。ただせっかくの機会なので、他にもセキュリティ関連の薄い本技術書も買ってきました。

この記事は、早い話が戦利品の紹介です。買ったものリスト↓

1.家計にやさしいハニーポット入門
2.現時点でググっても出て来にくいセキュリティ技術
3.帰ってきたcuckoo
4.SECURI FRIENDS
5.urandom Computer Security Magazine vol.4
6.TomoriNao vol.1
7.データを加工する技術

技術書典3で購入した技術書たち

 


家計にやさしいハニーポット入門

頒布サークル:roboco
https://techbookfest.org/event/tbf03/circle/6251631184183296

技術書典3に参加した主目的の技術書!
12時過ぎに会場入りしたところ、大人気だったようで紙の本は完売していました。完売おめでとうございます。
無いものは無いので、電子版が販売されていたのでそちらで購入しました。(電子版はここから買えます)

簡易レビューですが「1.2 観測の目的を明確にする」は、ハニーポッターになるために必ず考えないといけないことなので、これからハニーポッターを目指す人は参考になると思います。具体例もあって大変良い◎
目的があってこそ、構築するハニーポットの規模感や予算が出せます。なぜあなたはハニーポッターになろうとしていますか?

私は Google Cloud Platform を使ったことがなかったのですが、第3章の手順に沿っていけばハニーポットを構築できそうな気がしてきました。

また第4章のログ分析・マルウェアの簡易解析では、それぞれハニーポットのログはこんな風に調査できるんだというイメージをつかめると思います。

ハニーポットの入門としての読み物として良いですね。

 

現時点でググっても出て来にくいセキュリティ技術

頒布サークル:ニッチ・セキュリティ
https://techbookfest.org/event/tbf03/circle/5731644862365696

こちらの技術書は機械学習とサイバーセキュリティをテーマにしたイベント AISECjp など、各種勉強会などでお世話になっている人たちの合同誌です。電子版のみの頒布でした。

内容が濃い。濃すぎる。今日だけで読み切れるものではないので、ゆっくり読み進めますが、目次は次の通りです。

第1章 ARM アーキテクチャにおける Shellcode の開発入門
概要
開発用仮想マシン環境の構築
ARMアセンブラ入門
Shellcode の作成
おわりに

第2章 機械学習による検査値の自動生成
2.1 技術概要
2.2 技術詳細
2.3 検査値の大量生成
2.4 まとめ

第3章 セキュアでお気楽認証 FIDO UAF 入門
3.1 FIDO Alliance
3.2 UAF の概要
3.3 FIDO UAF プロトコル
3.4 FIDO の今後 – Rising of FIDO 2.0

この内容で500円は安い。
特に ARM の Shellcode については、IoT 機器を狙ったサイバー攻撃が増加している中で、抑えておきたい技術の1つなので大変助かります。

第2章は、Web アプリケーションのセキュリティ診断を実施するときのパラメータを自動的に生成することを目的として、実際に自動生成する技術紹介をしています。プログラムコードの解説や、機械学習の説明などが丁寧に書かれています。

FIDO(Fast IDentity Online)は、私が不勉強のため初めて聞く単語で、これから読んで理解します!  とりあえず認証技術であることだけ覚えた。

 

帰ってきたcuckoo

頒布サークル: きじゃくせい
https://techbookfest.org/event/tbf03/circle/5692031573688320

マルウェアの動的解析(解析環境でマルウェアを実行して挙動を観察する方法)でオープンソースソフトウェアといえば、cuckoo ですよね。
私も昔(1系のバージョン)を使ってました。その cuckoo が正式に 2.0 として公開されたようです。この技術書は、cuckoo のインストール手順や tips をまとめてあります。

2系の Web UI カッコイイね。1系のときより進化してて、使いやすそう。

tips も豊富で、ゲスト OS の Windows の設定は非常に参考になる。UAF とか Firewall, Update を切るとかその他諸々。

マルウェア検体の入手先で malwr が紹介されているのもイイね◎ 私も最初に構築したときは、マルウェアってどっから入手すればええんや・・・って困った経験あるので。

※本筋と関係ないけど、表紙の鳥は カッコーじゃなくない?鳥のフレンズだとおもうけど、なんだろうw ハシビロコウ?

 

SECURI FRIENDS

頒布サークル: きじゃくせい
https://techbookfest.org/event/tbf03/circle/5692031573688320

こちらの技術書は、「帰ってきた cuckoo」と同じサークルで頒布されていました。
総勢12人で各自好きなテーマで書かれた合同誌です。いくつか気になった記事をピックアップします。

「中国の Internet について少し調べた」中国で Web Service を稼働させる場合は、事前に公的機関に届け出して、許可をもらって ICP License を発行してもらわないといけないらしい。

「osquery って、知ってるかい」私は、osquery 知りませんでした。高対話型ハニーポットで使えそうな技術。

「心霊写真とセキュリティ」端々の表現が面白い。”一般人の怨念に出番はなく、セキュリティエンジニアを含む技術者の怨念が跋扈する時代になっている。(引用)”らしい。読み物として◎

※本筋と関係ないけど、表紙の動物は小顔で耳が丸い、スラッとしてジャンプ力ぅのありそうな前足、斑点模様・・・あなたはサーバルキャットだね! (けもフレと多摩動物公園で見た)

 

以降の3冊は、まだ流し読み程度なのでザックリと紹介します。

urandom Computer Security Magazine vol.4

頒布サークル:urandom
https://techbookfest.org/event/tbf03/circle/5728605367697408

1冊の技術書の中に、「mitmproxy 入門」と「公平なランサムウェアプロトコル」の解説が書かれている。

前編のところで、MITM(Man In The Middle Attack)をすることができる mitmproxy というオープンソースソフトウェアがあるんですね。MITM に失敗する場合のトラブルシューティングが載っていて良い◎

後編は、ランサムウェア作成者と被害者が、どちらも不正をせずに(復号しない/支払いをしない)ことを防ぐためのプロトコルについて、Bitcoin の性質と暗号技術を使って紹介しています。私は、Bitcoin というかブロックチェーンの技術について理解が浅いので、この部分は読むのに時間かかりそうだけど、優しく書かれているっぽいので頑張ります。

 

TomoriNao vol.1

頒布サークル:TomoriNao
https://techbookfest.org/event/tbf03/circle/6027786883956736

セキュリティコンテストで得た経験を活かして、さまざまなセキュリティ技術を 話題にした技術書です。こちらも総勢8人(?含む)による執筆者で構成される合同誌です。

目次は次の通り

第1章 Metasploit から学ぶ複アーキ linux シェルコード入門
第2章 自作 x86 エミュレータで学ぶアドレス変換
第3章 IOC とハッシュを用いたマルウェアのラベリング
第4章 yara x pcap x tshark 〜バイナリ解析のノリでパケット解析したい(>ω<)〜
第5章 Overviewing Technical Support Scam
第6章 EV SSL サーバー証明書の取り方
第7章 Vim -魔法のカーソルを持つエディタ-
参考文献
あとがき

目に留まった所。

第4章のおまけ:DNS トンネリングは、PlugX から Helminth, 最近話題になった DNSMessenger などなどで使われる手法ですね。悪性のサブドメインを見抜く手法の提案・評価・考察は必見。
(49ページの下から3行目。US20160294773 A1の特許の出願人は Infobox じゃなくて、Infoblox だと思います。DNS Firewall を作ってる会社)

第5章:いわゆるサポート詐欺の紹介。サポート詐欺とは、ブラウザに「あなたの PC はマルウェアに感染しました」とか「アップデートが必要です」などと偽の表示を出して、治すために電話サポートしてあげますよ→遠隔操作からのマルウェア感染や金銭の振込要求などに至るものです。いわゆるアダルトサイトの架空請求が、アダルトサイト以外でも出て来るようなものをイメージしてもらえれば分かり易いかも。

今年の春頃からちょくちょく話題になっていますが、よくまとめてある記事でした。

 

データを加工する技術

頒布サークル:りまりま団
https://techbookfest.org/event/tbf03/circle/5727644637200384

ログ収集やパースをするソフトウェアとして、最近有名な fluentd と Logstash について比較・紹介する技術書です。

「え、セキュリティ関係ないじゃん?」と思うでしょう。はい。本の中身はセキュリティと直接関係無いです。

ただ私が今度主催する第2回 ハニーポッター技術交流会で紹介する予定の、自作ハニーポットで使えないかなと思って購入したんです。はい。

 

おわりに

気づいたらずいぶん長文の記事になってしまった。
もし面白そうな技術書があれば、是非電子版を購入したり、他のイベントで見ていただければと思います。
技術書典の運営のみなさま、サークル参加したみなさま、お疲れ様でした。
(1つだけイベントにコメントすると、技術書は幅広いものであると理解はしていますが、サークルの分類でソフトウェア全般で括るのではなくて、もう少し分けて欲しかった。ある程度セキュリティの本を売るサークルは固まっていたけど、見落としがあるかも)

自分もハニーポットの薄い本をいつかは・・・。


告知

第2回 ハニーポッター技術交流会の勉強会にて、ハニーポットに関する発表をしていただける人を募集しています。
あなたのハニーポットの面白いネタ話してみませんか?
Twitter(@morihi_soc)でもメールでもなんでも連絡待ってます!

Written by morihisa

10月 22nd, 2017 at 9:01 pm

Posted in Security,その他

ハニーポット観察記録(34)「sql ファイルへのアクセスの試み」

どうも。ハニーポッターの森久です。

インターネットの隅っこで情報発信をしているこのブログにまで目を通していただいているみなさまにおかれましては、かなり情報収集に力を入れているものとお見受けします。いつもありがとうございます。

さてみなさんは、情報収集で得た情報は活用されていますか?

攻撃手法の詳細や脅威の痕跡・兆候を示す IoC(Indicators of Compromise)などの情報が公開されている場合は、その攻撃を受けていないか調査をした方がいい場合があります。
たとえば 0day の攻撃や攻撃ツールが公開されたという情報の場合です。

先日、JPCERT/CC より国内の多数の Web サイトで、データベースのダンプファイルが公開状態にあるという問題を取り上げた記事が公開されました(*1)。
データベースのダンプファイルとは、いわゆるデータベースの構造やデータが記録されたファイルで、主にバックアップ用に保存されるファイルです。
次の画像はダンプファイルのサンプルです。テーブルの構造が読み取れることがわかりますね。

図. データベースのダンプファイルのサンプル

JPCERT/CC の記事から辿っていくと、世界中の Web サイトの問題として取り上げられていたので(*2)、どうやら影響範囲は広く、記事を読んだ攻撃者がアクセスをしてきそうな気配がします。
そこでハニーポッターらしく、ダンプファイルへのアクセス有無について調査してみました。

 

Read the rest of this entry »

Written by morihisa

8月 12th, 2017 at 8:39 am

ログ分析の注意点と文字列操作スクリプト公開

どうも。ハニーポッターの森久です。
最近、ハニーポットを植える人が増えたり、ハニーポットに関する勉強会が開かれたり、ハニーポット業界(?)が盛り上がってきていて何よりです。
ハニーポットの運用を始めると、ログ分析をする機会も増えてくると思います。

今回はログ分析をするときに気をつけなければいけないことと、ハニーポッター向け「ブラウザで完結! 文字列操作スクリプト」のツール紹介をします。

 

Read the rest of this entry »

Written by morihisa

8月 7th, 2017 at 8:00 pm

Posted in Honeypot,Security

WriteUp:FireEye CTF

どうも。ハニーポッターの森久です。

先日、「Security Tech Lounge vol. 1 by ファイア・アイ」に参加してきました。

このイベントは、マルウェア対策機器メーカのファイア・アイ社が主催しており、現場でセキュリティに携わっている人たちの親睦と相互交流を目的としたものです。
現場(最前線で活躍する)のセキュリティエンジニアが参加者層として設定されていて、他のイベントとは一味違う内容です。

「セキュリティレポートたなおろし」と題して、セキュリティベンダ各社が2016年に発表したレポートを並列に比較する発表や、「オープンソース インテリジェンスの歩き方」として、不審な URL やドメイン情報を入手した際に活用できる Web サービスの紹介と使い方、セキュリティをネタに、パネラーと参加者を交えたパネルディスカッション(サイコロトーク)など企画が盛り沢山でした。

また当初の目的にもあったように、参加者同士の交流を深めるために、座ったテーブルを1チームとした、チーム対抗 CTF(FireEye CTF)が開催されました。

本ブログの読者で CTF を知らない人は少ないと思いますが、簡単に説明しますと、CTF は出題者からの問題を参加者が分析して、問題のどこかに含まれている正解の文字列(FLAG と呼ぶ)を導き出すという知的ゲームです。

FireEye CTF(FE CTF)では、1チーム3-4人で構成され、着座するテーブルは会場到着時にランダムで決められるため、誰がチームメイトになるのかまったくの予想がつかない状態です。

イベントでは時間の都合上、問題解説はありませんでした。
大変おもしろい問題だったので、今回はいつものハニーポット観察から離れて、FE CTF の Write Up を公開します。

※  イベント主催の ファイア・アイ社様に Write Up の記事公開許可をいただいています。

長文記事なので、コーヒーでも飲みながら息抜きにゆっくり見てください〜。画像を多用しています。スマホだと読みにくいかもしれません。

ページ目次リンク
FE CTF の問題について
1問目:C2
2問目:TYPO
まとめと感想

 

Read the rest of this entry »

Written by morihisa

3月 29th, 2017 at 6:00 pm

Posted in CTF,Security

ハニーポット観察記録(33)「Struts2 S2-045を狙った攻撃」

どうも。ハニーポッターの森久です。

2017年3月6日にApache Struts2 における脆弱性(S2-045/CVE-2017-5638)が公開されました。またこの脆弱性を攻撃する PoC(Proof of concept)も公開されており、攻撃が流行っています。
日本国内の Web サイトでも被害が発生しており、ニュースで一部報道されています。

都税のサイトに不正アクセス 67万件余の個人情報流出か(NHK ニュース Web)
http://www3.nhk.or.jp/news/html/20170310/k10010906691000.html

Webアプリケーション製作者、サーバ管理者、セキュリティエンジニア、脆弱性対策やインシデントレスポンスなどに関わっている皆様、Struts は毎度のことながら対応お疲れ様です。本当にお疲れ様です。

 

今回は、ハニーポットにて、S2-045 の脆弱性を狙った攻撃を検知したのでご紹介します。

Read the rest of this entry »

Written by morihisa

3月 13th, 2017 at 5:42 am

「ハニーポット観察記録」書籍化のお知らせ

どうも。ハニーポッターの森久です。

このたび、私のブログ(morihi-soc.net)の「ハニーポット観察記録」シリーズの記事が書籍になります!

ITエンジニアのみなさんを対象として「ログ」を分析することの大切さと面白さを伝えるために書いた、ログ分析の解説書です。

 

ハニーポット観察記録 表紙

書籍情報

■書名
サイバー攻撃の足跡を分析する ハニーポット観察記録

■著者
森久 和昭

■発行元
株式会社秀和システム

■発売日
2017年1月27日より順次発売開始(地域・書店様によって異なります)

■本体価格(税別)
2,200円

■ISBN
978-4-7980-4908-3

■判型
A5判

■刷色
1色刷


Read the rest of this entry »

Written by morihisa

1月 23rd, 2017 at 7:10 am