www.morihi-soc.net

セキュリティの話題を中心に取扱中

CLI から Metasploit をインストール

今回は全国約26万5千人のセキュリティエンジニア必携 Metasploit をコマンド入力だけでインストールする方法を紹介します.

なお GUI でインストールする方法は書籍Web でたくさん紹介されていますので,コマンド使いたくないって人はそちらを参照してください.

また「善悪はそれを用いる者の心の中にあり」なんて言葉は私が生まれる前から言われており,このブログを見に来る人にとっては耳タコな話題かと存じます.ですが今一度注意しておくと,ご自身のセキュリティ技術向上のためにご利用くださいませ.

 

Read the rest of this entry »

Written by morihisa

6月 3rd, 2015 at 3:26 pm

Posted in Security

ハニーポット観察記録(26) 「37564/tcp に対するオープンプロキシの調査」

どうも.ハニーポッターの森久です.

先日,警察庁は 37564/tcp ポートに対するスキャン通信が増加していると発表しました.発表の中には,「外部からのアクセス制限が行われていないオープンプロキシを探索している」という記載がありました.

そこでオリジナルハニーポットを使い,実際にどのような攻撃が行われるのか調査しました.

 

Read the rest of this entry »

Written by morihisa

5月 27th, 2015 at 7:20 pm

ハニーポット観察記録(25)

どうも.ハニーポッターの森久です.

今回は SSH ハニーポットの Kippo について再度紹介したいと思います.

 

参考動画:SSHハニーポット(Kippo)で採取した不正ログイン後の形跡2

以前の記事と同様に,インストールから起動までの流れを紹介します.

また私が作成した Kippo 向け環境作成スクリプトも公開したので,併せて紹介します.

Read the rest of this entry »

Written by morihisa

5月 22nd, 2015 at 11:30 pm

ハニーポット観察記録(24)

どうも.ハニーポッターの森久です.

私のオリジナルハニーポットで,Java の全文検索エンジンの Elasticsearch の脆弱性を狙った攻撃を検知しました.
攻撃の内容は,脆弱性の有無の調査からコマンド実行の試みや,マルウェア感染などです.

今年の4月ごろから何度か検知しており,最近検知件数が増加してきました.また3月には警察庁が Elasticsearch に関する注意喚起を発表しています(*1).
今回はハニーポットで検知した攻撃事例について,いくつか取り上げます.

Read the rest of this entry »

Written by morihisa

5月 16th, 2015 at 1:03 pm

cut と awk はどちらが高速なのか

どうもハニーポッターです.

先日,社内の勉強会に参加しているときに,「Web サーバをのログを調査するときは,膨大な量のデータから欲しい情報を抽出して効率よく解析しなければならない」という話がありました.

抽出したい情報とは,たとえばアクセスのあったファイル名やアクセス元 IP アドレスなどですが,発表者の方は awk コマンドを使って抽出されていました.

で,ここで1つの素朴な疑問が.
「1行データの中から,特定のフィールドを抽出するだけなら awk コマンド使わなくてもよくね? cut コマンドで十分じゃね?」と.

疑問は検証しなければいけないので「大量データから情報を抽出するには cut コマンドと awk コマンドのどちらが高速か?」を調べてみました.


※この記事は「適材適所でコマンドを使うべきだ」というのが趣旨ですので,決してきのこ・たけのこの争いや,Emacs 対 Vim のエディタ闘争とは関係ありません.

Read the rest of this entry »

Written by morihisa

3月 9th, 2015 at 10:50 pm

ハニーポット観察記録 番外編 〜IRCBOT はプロセスの名前を騙るのか?〜

どうも.ハニーポッターです.

最近見たブログ記事「[Perl] 細かすぎて伝わらないPerlと$0変数 – コマンド名偽装(ろば電子が詰まっている)」で,下記のような記述をみかけました.

引用:$0操作はpsコマンドからの隠蔽目的でもよく使われます。具体的には、Perlでマルウェアを書いている人たちの間では、この$0いじりをするのは常套手段でありよく使われる手法です。

ハニーポットでは IRCBOT に感染させようとする攻撃をたくさん検知しています.たとえば Apache MagicaphpMyAdmin など毎日毎日検知します.

私は攻撃検知時に可能な限り IRCBOT のソースコードを入手し,解析をしています.そこで今回は,今までに収集した IRCBOT たちが,どのようなプロセス名を $0 に設定しているのか調査してみました.

Read the rest of this entry »

Written by morihisa

11月 30th, 2014 at 11:49 am

ハニーポット観察記録(23)

こんにちは.ハニーポッターです.

ハニーポットで Web サーバの設定不備を狙った,プロキシサーバの探索(第三者中継攻撃)を検知しています.第三者中継攻撃は以前から検知していましたが,ここ数ヶ月間は件数が増加しています.

攻撃手法自体は古くからありますが,最近はこの攻撃について語られることが少ないです.そのため Web サーバのアクセスログには記録されているが,どのような攻撃であるのか把握できていないという方もいるのではないでしょうか.今回はこの閉ざされた扉を開けようと思います.

Read the rest of this entry »

Written by morihisa

11月 24th, 2014 at 9:34 pm

ハニーポット観察記録(22)

こんにちは.(ちょっと良い匂いのする)ハニーポッターです.

今年の9月末に Bash の脆弱性(CVE-2014-6271 等)が公開されました.公開直後から,この脆弱性を狙った攻撃をハニーポットで検知しており,今だに収まる様子がありません.
今回はこの脆弱性を狙った,いともたやすく行われるえげつない行為の一部を紹介します.

Read the rest of this entry »

Written by morihisa

11月 15th, 2014 at 11:18 am

ハニーポット観察記録(21)

こんにちは! 最近,オリジナルハニーポットを作っているハニーポッターです.

今回は作成しているオリジナルハニーポットで検知した攻撃を紹介します.


検知した攻撃は,Linksys ルータの E シリーズに報告された脆弱性を狙ったものでした.


 

Read the rest of this entry »

Written by morihisa

10月 16th, 2014 at 11:01 pm

ハニーポット観察記録(20)

ハニーポットで WordPress のプラグインに存在する LFI の脆弱性を狙った攻撃を検知しました.

Read the rest of this entry »

Written by morihisa

9月 23rd, 2014 at 10:54 pm