www.morihi-soc.net

セキュリティの話題を中心に取扱中

Archive for the ‘ハニーポット観察記録’ Category

ハニーポット観察記録(45)「Cisco Smart Install に対する攻撃」

without comments

どうも。ハニーポッターの森久です。

今回は Cisco 製スイッチが利用する Cisco Smart Install に対する攻撃を取り上げます。
JPCERT/CC によると、インターネット定点観測システム (TSUBAME) で Cisco Smart Install が使用する4786/tcpポートのスキャンが増加しているとのことです(4月5日時点)。
また NICT の NICTER のダークネット観測でも同様に、3月30日から攻撃が活発化しているとの情報公開されていました。

Cisco Smart Install に対する攻撃手法ですが、すでに攻撃コードが一般公開されています。またスキャンが増加しているとのことなので、ハニーポットで容易に攻撃を検知できそうと推測しました。

私が開発した WOWHoneypot は、HTTP に特化したハニーポットであるため、この攻撃には対応していません。
そこで Cisco Smart Install 専用のハニーポットである csi-honeypot を作成しました。ソースコードは GitHub にて公開しています。

csi-honeypot
https://github.com/morihisa/csi-honeypot

この cis-honeypot は、Cisco Smart Install を狙った攻撃に対して、脆弱なように振る舞う低対話型のハニーポットです。

ハニーポットを植えてみた所、あんのじょう攻撃を検知しました。ということで紹介します。

Read the rest of this entry »

Written by morihisa

4月 29th, 2018 at 6:25 pm

ハニーポット観察記録(44)「HTTP リクエストで DNS の設定変更をさせる攻撃」

without comments

どうも。ハニーポッターの森久です。

みなさんはチョコレートはお好きですか? 僕は好きです。
贈り物は、相手のことを推し量って渡すのですから、大抵いただく側からすると嬉しいものです。
しかし中には嬉しくない贈り物もあります。たとえばサイバー攻撃のペイロードとかね。

WOWHoneypot では、日々多くの贈り物が届いています。今回はその中でも珍しい DNS の設定変更をさせる攻撃について紹介します。

 

Read the rest of this entry »

Written by morihisa

2月 16th, 2018 at 7:00 am

ハニーポット観察記録(43)「ftpの設定情報を狙ったファイルの探査」

without comments

どうも。ハニーポッターの森久です。

2月になりました。今年もまた「サイバーセキュリティ月間」が始まりました。2018年のキャッチフレーズは「#サイバーセキュリティは全員参加!」とのことです。セキュリティエンジニアだけがセキュリティを考えるのではなく、一人ひとりがセキュリティを考えていかなければいかない世の中になっていますからね。
私もこのブログや勉強会などを通して、いま発生している攻撃情報を紹介し、攻撃を知っていただきたいと思います。

さて今回は、プログラマの方に気をつけていただきたい攻撃を紹介します。
プログラミングに使っているエディタは何ですか?

 

Read the rest of this entry »

Written by morihisa

2月 3rd, 2018 at 10:06 pm

ハニーポット観察記録(42)「D-Link 製品のSOAPActionに対するコマンド実行の試み」

without comments

どうも。ハニーポッターの森久です。

本ブログをお読みのみなさんは、自宅でもインターネットを利用されていると思います。きっと ISP と契約して、部屋のどこかにルータを置いて、ラップトップやスマホなど接続しているのではないでしょうか。
さてラップトップ上の OS の Windows や Mac OS X、スマホだったら iPhone の iOS、Android OS などは、頻繁に更新して最新の状態に保つ方が大半だと思います。
それに対し、ルータのファームウェアは更新した経験はあるでしょうか。一番最初にルータの管理画面にログインして PPPoE の設定や無線 LAN の設定はしても、その後、ログインすることは自宅サーバを運用している人以外、皆無のような気がします。
かくいう私も、頻繁にログインすることはないです。

さて今回は、そんな放置され気味なルータに存在する脆弱性についてです。
WOWHoneypot で、D-Link 社のルータにおける SOAPAction に対するコマンド実行の試み(CVE-2015-2051)を検知したので紹介します。

 

Read the rest of this entry »

Written by morihisa

1月 30th, 2018 at 7:00 pm

ハニーポット観察記録(41)「PHPMailerの脆弱性を狙った攻撃」

without comments

どうも。ハニーポッターの森久です。

今回は、WOWHoneypot で PHPMailer の脆弱性(CVE-2016-10033/CVE-2016-10045)を狙った攻撃を検知したので紹介します。
PHPMailer は、PHP で作られたメール送信のためのライブラリです。

PHPMailer の脆弱性は、2016年の12月24日に公開されました。当時は、リモートから任意のコードが実行できる脆弱性として騒がれていました。piyolog でもまとめられています。

ハニーポットではなかなかお目にかかることがありませんでしたが、先日攻撃が来ていました。珍しいので取り上げようと思います。

 

Read the rest of this entry »

Written by morihisa

1月 26th, 2018 at 7:04 pm

ハニーポット観察記録(40)「Ruby on Rails の脆弱性を狙ったコマンド実行の試み」

without comments

どうも。ハニーポッターの森久です。

今回は、WOWHoneypot で検知した Ruby on Rails(以下、RoR)のパラメータ解析処理の脆弱性(CVE-2013-0156)を突いた攻撃について紹介します。

RoR はプログラミング言語の Ruby で書かれている Web アプリケーションフレームワークです。RoR を使っているサイトとして、cookpad や食べログが有名ですね。検索すると他にも多くのサイトで導入されていることがわかります。
私自身は使った経験はありませんが、日本語のドキュメントや解説記事が多く公開されていて、日本人にも人気のようです。
もしかすると、読者の方が作った Web アプリに対しても攻撃がおこなわれているかもしれませんね。
それでは攻撃内容を紹介します。

 

Read the rest of this entry »

Written by morihisa

1月 14th, 2018 at 6:45 pm

ハニーポット観察記録(39)「WordPress REST API の脆弱性を狙った改ざんの試み」

without comments

どうも。ハニーポッターの森久です。
あけましておめでとうございます。今年もどうぞよろしくお願いします。

年末年始の長期休暇を取られている方が多いと思いますが、いかがお過ごしでしょうか。
一年の計は元旦にありと言われますが、今年やることの構想を練ったり、ToDO リストを作ったりしたかもしれません。
今年はやるぞーという意気込みで書き初めする人はどれだけいるんでしょうかね。

morihi-soc は引き続き、誰もが安心して使える安全なインターネットを目指して、インターネットの隅っこで活動をしていきます。ブログ記事の更新や、ハニーポッター技術交流会などでハニーポッターが増えれば良いなと思う次第です。

さて今回はちょうど一年ほど前に騒がれた、WordPress の REST API における認証を回避して、コンテンツを書き換えられる脆弱性について取り上げようと思います。
脆弱性情報の公開や実際の攻撃等が発生したのが2017年1月末から2月ごろにかけてだったので、拙書「サイバー攻撃の足跡を分析するハニーポット観察記録」には書けなかった内容です。

 

Read the rest of this entry »

Written by morihisa

1月 3rd, 2018 at 11:09 am

ハニーポット観察記録(38)「WebLogic の WLS Security に対するコマンド実行の試み(CVE-2017-10271)」

without comments

どうも。ハニーポッターの森久です。

WOWHoneypot で、Oracle WebLogic Server の WLS Security に対するコマンド実行の試みと考えられる攻撃(CVE-2017-10271)を検知しました。

攻撃者は世界中にいます。平日・休日も関係なく、24/365で攻撃をしてきます。
このブログ記事のネタになった攻撃ログは2017年12月24日に検知していました。攻撃者からのクリスマスプレゼントかな?(いらない)

さてこの攻撃を検知したことをツイートしたところ、攻撃コード(PoC)が公開されており、実際に発生している攻撃の詳細が知りたいと連絡をいただいたので急遽、ブログ記事を書くことにしました。

 

Read the rest of this entry »

Written by morihisa

12月 27th, 2017 at 11:18 pm

ハニーポット観察記録(37)「WebShellの探索」

without comments

どうも。ハニーポッターの森久です。

今回は、前回と同様に WebShell に関する記事です。
自作のハニーポットである WOWHoneypot で、個人的にハイエナ手法と呼んでいる攻撃を検知しました。
この攻撃は誰かが設置した WebShell に対するコマンド実行の試みです。それでは紹介します。

 

Read the rest of this entry »

Written by morihisa

12月 22nd, 2017 at 3:29 am

ハニーポット観察記録(36)「phpMyAdminの設定不備を狙ったWebShell作成の試み」

without comments

どうも。ハニーポッターの森久です。

WOWHoneypot で phpMyAdmin の設定不備を狙った WebShell 作成の試みを検知しました。
phpMyAdmin はデータベースソフトウェアの1つである MySQL を Web から管理するプログラムの1つです。手軽に利用することができ非常に人気の高い反面、攻撃の対象になることも多いです。
phpMyAdmin をインストールするときに、通常はパスワードを設定します。これは正規のユーザ以外が、データベースを操作する画面にアクセスできないように制限するためです。

phpMyAdminログイン画面

 

しかし何らかの手違いによりパスワード設定をしなかったり、弱いパスワード(辞書に載っているような単語や推測可能な文字列)を設定していたりすると、攻撃者に不正ログインされてしまいます。
今回は、phpMyAdmin の操作画面にアクセスした攻撃者の行動を検知したので紹介します。

 

Read the rest of this entry »

Written by morihisa

12月 15th, 2017 at 4:41 pm