www.morihi-soc.net

セキュリティの話題を中心に取扱中

Archive for the ‘Honeypot’ Category

ハニーポット観察記録(34)「sql ファイルへのアクセスの試み」

without comments

どうも。ハニーポッターの森久です。

インターネットの隅っこで情報発信をしているこのブログにまで目を通していただいているみなさまにおかれましては、かなり情報収集に力を入れているものとお見受けします。いつもありがとうございます。

さてみなさんは、情報収集で得た情報は活用されていますか?

攻撃手法の詳細や脅威の痕跡・兆候を示す IoC(Indicators of Compromise)などの情報が公開されている場合は、その攻撃を受けていないか調査をした方がいい場合があります。
たとえば 0day の攻撃や攻撃ツールが公開されたという情報の場合です。

先日、JPCERT/CC より国内の多数の Web サイトで、データベースのダンプファイルが公開状態にあるという問題を取り上げた記事が公開されました(*1)。
データベースのダンプファイルとは、いわゆるデータベースの構造やデータが記録されたファイルで、主にバックアップ用に保存されるファイルです。
次の画像はダンプファイルのサンプルです。テーブルの構造が読み取れることがわかりますね。

図. データベースのダンプファイルのサンプル

JPCERT/CC の記事から辿っていくと、世界中の Web サイトの問題として取り上げられていたので(*2)、どうやら影響範囲は広く、記事を読んだ攻撃者がアクセスをしてきそうな気配がします。
そこでハニーポッターらしく、ダンプファイルへのアクセス有無について調査してみました。

 

Read the rest of this entry »

Written by morihisa

8月 12th, 2017 at 8:39 am

ログ分析の注意点と文字列操作スクリプト公開

without comments

どうも。ハニーポッターの森久です。
最近、ハニーポットを植える人が増えたり、ハニーポットに関する勉強会が開かれたり、ハニーポット業界(?)が盛り上がってきていて何よりです。
ハニーポットの運用を始めると、ログ分析をする機会も増えてくると思います。

今回はログ分析をするときに気をつけなければいけないことと、ハニーポッター向け「ブラウザで完結! 文字列操作スクリプト」のツール紹介をします。

 

Read the rest of this entry »

Written by morihisa

8月 7th, 2017 at 8:00 pm

Posted in Honeypot,Security

ハニーポット観察記録(33)「Struts2 S2-045を狙った攻撃」

without comments

どうも。ハニーポッターの森久です。

2017年3月6日にApache Struts2 における脆弱性(S2-045/CVE-2017-5638)が公開されました。またこの脆弱性を攻撃する PoC(Proof of concept)も公開されており、攻撃が流行っています。
日本国内の Web サイトでも被害が発生しており、ニュースで一部報道されています。

都税のサイトに不正アクセス 67万件余の個人情報流出か(NHK ニュース Web)
http://www3.nhk.or.jp/news/html/20170310/k10010906691000.html

Webアプリケーション製作者、サーバ管理者、セキュリティエンジニア、脆弱性対策やインシデントレスポンスなどに関わっている皆様、Struts は毎度のことながら対応お疲れ様です。本当にお疲れ様です。

 

今回は、ハニーポットにて、S2-045 の脆弱性を狙った攻撃を検知したのでご紹介します。

Read the rest of this entry »

Written by morihisa

3月 13th, 2017 at 5:42 am

「ハニーポット観察記録」書籍化のお知らせ

without comments

どうも。ハニーポッターの森久です。

このたび、私のブログ(morihi-soc.net)の「ハニーポット観察記録」シリーズの記事が書籍になります!

ITエンジニアのみなさんを対象として「ログ」を分析することの大切さと面白さを伝えるために書いた、ログ分析の解説書です。

 

ハニーポット観察記録 表紙

書籍情報

■書名
サイバー攻撃の足跡を分析する ハニーポット観察記録

■著者
森久 和昭

■発行元
株式会社秀和システム

■発売日
2017年1月27日より順次発売開始(地域・書店様によって異なります)

■本体価格(税別)
2,200円

■ISBN
978-4-7980-4908-3

■判型
A5判

■刷色
1色刷


Read the rest of this entry »

Written by morihisa

1月 23rd, 2017 at 7:10 am

ハニーポット観察記録(32)「Wireless Routerの管理画面におけるOSコマンドインジェクション」

without comments

どうも。ハニーポッターの森久です。

ここ数日で、ZyXEL 社の Eir D1000 Wireless Router の管理画面における、OS コマンドインジェクションを狙った攻撃の検知が急増しました。

Read the rest of this entry »

Written by morihisa

11月 28th, 2016 at 1:22 am

ハニーポット観察記録(31)「OS コマンドインジェクションの試み」

without comments

どうも。ハニーポッターの森久です。
オリジナルハニーポットで、非常にオーソドックスな OS コマンドインジェクションによるコマンド実行の攻撃を検知しました。

Read the rest of this entry »

Written by morihisa

10月 20th, 2015 at 5:29 am

ハニーポット観察記録(30) 「BIND の TEKY DoS」

without comments

BIND お見舞い申し上げます。ハニーポッターの森久です。

毎年7月には DNS サーバの BIND の脆弱性がよく公開される時期です。今年もまたある脆弱性が公開されました。しかも容易に攻撃可能で危険性の高い脆弱性が!
ハニーポットでこの脆弱性を狙った攻撃を検知したので紹介します。

Read the rest of this entry »

Written by morihisa

8月 27th, 2015 at 8:30 pm

ハニーポット観察記録(29) 「HTTP.sys の脆弱性を狙った攻撃」

without comments

どうも.ハニーポッターの森久です.

オリジナルハニーポットで Windows Server の”あの”脆弱性を狙った攻撃を検知しました.

Read the rest of this entry »

Written by morihisa

8月 9th, 2015 at 11:04 pm

ハニーポット観察記録(28) 「nosqlpot(NoPo)の紹介」

without comments

どうも.ハニーポッターの森久です.

今回はちょっと珍しい NoSQL データベースのハニーポットを構築できる nosqlpot(NoPo)を紹介します.

NoSQL が何かわからない人は,とりあえず Wikipedia をご参照ください.

NoPo は NoSQL データベースのハニーポットを構築するフレームワークです.コンフィグを用意することによって,NoSQL データベースに対する攻撃をログとして保存します.

Read the rest of this entry »

Written by morihisa

6月 15th, 2015 at 10:52 pm

ハニーポット観察記録(27) 「wp-config.php の一時ファイルを狙った攻撃」

without comments

どうも.ハニーポッターの森久です.

WordPress の脆弱性を狙った攻撃は相変わらず多いです.

例えば,timthumb.php の脆弱性を狙った攻撃(ハニーポット観察記録(16))や Slider Revolution を狙った攻撃(ハニーポット観察記録(20))は去年から継続して,さらに勢いを増して検知しています.

今回はオリジナルハニーポットで検知した,このような特定の脆弱性を狙った攻撃ではなく,Web サイト管理者の人為的な,またはうっかりやらかしてしまいそうなミスを狙った攻撃について取り上げます.

Read the rest of this entry »

Written by morihisa

6月 9th, 2015 at 10:25 pm