www.morihi-soc.net

セキュリティの話題を中心に取扱中

Archive for the ‘Security’ Category

WOWHoneypot の Version 1.2 公開

without comments

どうも。ハニーポッターの森久です。

寒暖の差が激しい毎日ですが、みなさまいかがお過ごしでしょうか。
今回は WOWHoneypot の Version 1.2 の新機能について紹介します。

GitHub: WOWHoneypot
https://github.com/morihisa/WOWHoneypot

2018年5月19日 WOWHoneypot Version 1.2 公開

  • 新機能:GDPR のため、IP アドレスをマスクして保存する設定項目を追加しました(デフォルト:無効)。
  • 新機能:アクセスログを保存するときの区切り文字を設定ファイルで指定できるようにしました(デフォルト:半角スペース1個)。
  • 改善:URL のパースで、メソッドが大文字アルファベットから始まるリクエストのみ受け入れるようにしました。
  • 改善:URL に”(ダブルクォート)が含まれていた場合は、%22に変換するようにしました。
  • 改善:huntrules.txt にルールを追加しました。

Read the rest of this entry »

Written by morihisa

5月 20th, 2018 at 10:55 am

WOWHoneypot の Version 1.1 公開

without comments

どうも。ハニーポッターの森久です。

長期連休も終わりに近づいていますが、みなさまいかがお過ごしでしょうか。
特になにもイベントは無かったという方は、ハニーポットを植えてみましょう。無味乾燥な連休がハニーポットのお手入れをしたという想い出に変わりますよ。

さて、今回はWOWHoneypot の新機能についてご紹介します。
このほど新しくハンティング機能を追加しました! またこの機能と連携する新しいスクリプトファイル chase-url.py を公開しました。

GitHub: WOWHoneypot
https://github.com/morihisa/WOWHoneypot

この機能を使うことで、怪しい URL を収集できます。

Read the rest of this entry »

Written by morihisa

5月 5th, 2018 at 10:14 pm

ハニーポットは見た。パスワードに非 ASCII 文字だと!?

without comments

どうも。ハニーポッターの森久です。

4月30日に、すみだセキュリティ勉強会*12018その1が開催されました。
私も参加したかったのですが、都合がつかず参加できませんでした。

ただありがたいことに、発表資料が公開されています。
その中でも勉強会主催者である@ozuma5119さんの「長くて覚えやすくて複雑なパスワードとemojiの話🍺🍣✨🙌🌸マジ卍」に気になる所がありました。

 

この資料の前半を要約すると、パスワードに絵文字を使ったら覚えやすくて複雑なものにできるんじゃないの?ってことです。
そして気になったのは20ページです。赤枠の部分は私が加工しました。

 

はい!

来てます!

ハニーポットに来てます!

ということで、うちの SSH ハニーポットに来ていた非 ASCII 文字を含んだパスワードをご紹介します。

Read the rest of this entry »

Written by morihisa

5月 1st, 2018 at 10:24 am

Posted in Honeypot,Kippo,Security

ハニーポット観察記録(45)「Cisco Smart Install に対する攻撃」

without comments

どうも。ハニーポッターの森久です。

今回は Cisco 製スイッチが利用する Cisco Smart Install に対する攻撃を取り上げます。
JPCERT/CC によると、インターネット定点観測システム (TSUBAME) で Cisco Smart Install が使用する4786/tcpポートのスキャンが増加しているとのことです(4月5日時点)。
また NICT の NICTER のダークネット観測でも同様に、3月30日から攻撃が活発化しているとの情報公開されていました。

Cisco Smart Install に対する攻撃手法ですが、すでに攻撃コードが一般公開されています。またスキャンが増加しているとのことなので、ハニーポットで容易に攻撃を検知できそうと推測しました。

私が開発した WOWHoneypot は、HTTP に特化したハニーポットであるため、この攻撃には対応していません。
そこで Cisco Smart Install 専用のハニーポットである csi-honeypot を作成しました。ソースコードは GitHub にて公開しています。

csi-honeypot
https://github.com/morihisa/csi-honeypot

この cis-honeypot は、Cisco Smart Install を狙った攻撃に対して、脆弱なように振る舞う低対話型のハニーポットです。

ハニーポットを植えてみた所、あんのじょう攻撃を検知しました。ということで紹介します。

Read the rest of this entry »

Written by morihisa

4月 29th, 2018 at 6:25 pm

【お礼】技術書典4お疲れ様でした

without comments

どうも。ハニーポッターの森久です。

 

4月22日に技術書典4が秋葉原 UDX にて開催されました。

当日の状況はさくらのナレッジで紹介されています。→ みんなでつくる同人誌即売会!技術書典4当日レポート

私は morihi-soc としてサークル参加し、新刊「WOWHoneypot の遊びかた」と既刊「WebShell 図譜」を頒布しました。
多くの方にブースへ来て頂き、当日の13時20分ごろに両方とも完売いたしました。

心からお礼申し上げます。ありがとうございました。

当日は、ずっとブースで売り子をしていたので、他サークルはほとんど見れませんでした。
紙の本が買えなかったので、後日、電子版でいくつかの作品を購入しました。とりあえず買ったものリスト。

 

最後に一言。

技術書を買ったはいいけど、積読しているそこのアナタ!
読みましょう。

そしてツイートでもブログでも買ったよ!読んだよ!と発信すると、書いた人の苦労が報われます。次回作のモチベーションアップにつながります。

Written by morihisa

4月 28th, 2018 at 6:53 pm

技術書典4で同人誌「WOWHoneypot の遊びかた」を頒布します

without comments

どうも。ハニーポッターの森久です。

直前の告知となりますが、今月開催される技術書典4にサークル参加します!
今回は、私が作成したハニーポットを使いこなすためのマニュアル的な「WOWHoneypotの遊びかた」という同人誌を頒布します。
前回の冬コミ(C93)に続く2回目のサークル参加イベントです。手塩にかけて開発したWOWHoneypotなので、アレコレと書きたいことを書き切りました。入稿も無事完了しているため、頒布することができます!
また前回、完売した WebShell 図譜も再販することにしました。

 

 

基本情報

・頒布イベント:技術書典4(秋葉原UDX アキバ・スクエア)
・イベント公式サイト:https://techbookfest.org/event/tbf04
・頒布日:2018年4月22日(日)
・頒布場所:お15
・サークル名:morihi-soc
・サークルページ:https://techbookfest.org/event/tbf04/circle/21000002
・頒布物(新刊):WOWHoneypotの遊びかた(初頒布) A5 版 一色刷 表紙込み68ページ
・頒布物
(既刊):WebShell 図譜 A5 版 一色刷 表紙込み44ページ
・金額:新刊既刊問わず各500円

※電子版は booth(https://morihi-soc.booth.pm/ ) にて販売いたします(新刊はイベント開催日から販売開始)。

Read the rest of this entry »

Written by morihisa

4月 14th, 2018 at 9:44 pm

ハニーポット観察記録(44)「HTTP リクエストで DNS の設定変更をさせる攻撃」

without comments

どうも。ハニーポッターの森久です。

みなさんはチョコレートはお好きですか? 僕は好きです。
贈り物は、相手のことを推し量って渡すのですから、大抵いただく側からすると嬉しいものです。
しかし中には嬉しくない贈り物もあります。たとえばサイバー攻撃のペイロードとかね。

WOWHoneypot では、日々多くの贈り物が届いています。今回はその中でも珍しい DNS の設定変更をさせる攻撃について紹介します。

 

Read the rest of this entry »

Written by morihisa

2月 16th, 2018 at 7:00 am

ハニーポット観察記録(43)「ftpの設定情報を狙ったファイルの探査」

without comments

どうも。ハニーポッターの森久です。

2月になりました。今年もまた「サイバーセキュリティ月間」が始まりました。2018年のキャッチフレーズは「#サイバーセキュリティは全員参加!」とのことです。セキュリティエンジニアだけがセキュリティを考えるのではなく、一人ひとりがセキュリティを考えていかなければいかない世の中になっていますからね。
私もこのブログや勉強会などを通して、いま発生している攻撃情報を紹介し、攻撃を知っていただきたいと思います。

さて今回は、プログラマの方に気をつけていただきたい攻撃を紹介します。
プログラミングに使っているエディタは何ですか?

 

Read the rest of this entry »

Written by morihisa

2月 3rd, 2018 at 10:06 pm

ハニーポット観察記録(42)「D-Link 製品のSOAPActionに対するコマンド実行の試み」

without comments

どうも。ハニーポッターの森久です。

本ブログをお読みのみなさんは、自宅でもインターネットを利用されていると思います。きっと ISP と契約して、部屋のどこかにルータを置いて、ラップトップやスマホなど接続しているのではないでしょうか。
さてラップトップ上の OS の Windows や Mac OS X、スマホだったら iPhone の iOS、Android OS などは、頻繁に更新して最新の状態に保つ方が大半だと思います。
それに対し、ルータのファームウェアは更新した経験はあるでしょうか。一番最初にルータの管理画面にログインして PPPoE の設定や無線 LAN の設定はしても、その後、ログインすることは自宅サーバを運用している人以外、皆無のような気がします。
かくいう私も、頻繁にログインすることはないです。

さて今回は、そんな放置され気味なルータに存在する脆弱性についてです。
WOWHoneypot で、D-Link 社のルータにおける SOAPAction に対するコマンド実行の試み(CVE-2015-2051)を検知したので紹介します。

 

Read the rest of this entry »

Written by morihisa

1月 30th, 2018 at 7:00 pm

ハニーポット観察記録(41)「PHPMailerの脆弱性を狙った攻撃」

without comments

どうも。ハニーポッターの森久です。

今回は、WOWHoneypot で PHPMailer の脆弱性(CVE-2016-10033/CVE-2016-10045)を狙った攻撃を検知したので紹介します。
PHPMailer は、PHP で作られたメール送信のためのライブラリです。

PHPMailer の脆弱性は、2016年の12月24日に公開されました。当時は、リモートから任意のコードが実行できる脆弱性として騒がれていました。piyolog でもまとめられています。

ハニーポットではなかなかお目にかかることがありませんでしたが、先日攻撃が来ていました。珍しいので取り上げようと思います。

 

Read the rest of this entry »

Written by morihisa

1月 26th, 2018 at 7:04 pm