www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(36)「phpMyAdminの設定不備を狙ったWebShell作成の試み」

どうも。ハニーポッターの森久です。

WOWHoneypot で phpMyAdmin の設定不備を狙った WebShell 作成の試みを検知しました。
phpMyAdmin はデータベースソフトウェアの1つである MySQL を Web から管理するプログラムの1つです。手軽に利用することができ非常に人気の高い反面、攻撃の対象になることも多いです。
phpMyAdmin をインストールするときに、通常はパスワードを設定します。これは正規のユーザ以外が、データベースを操作する画面にアクセスできないように制限するためです。

phpMyAdminログイン画面

 

しかし何らかの手違いによりパスワード設定をしなかったり、弱いパスワード(辞書に載っているような単語や推測可能な文字列)を設定していたりすると、攻撃者に不正ログインされてしまいます。
今回は、phpMyAdmin の操作画面にアクセスした攻撃者の行動を検知したので紹介します。

 

Read the rest of this entry »

Written by 森久

12月 15th, 2017 at 4:41 pm

冬コミ(C93)で同人誌「WebShell図譜」を頒布します

どうも。ハニーポッターの森久です。

冬のお祭りこと、コミックマーケット(C93)にサークル参加します!

今回は、ハニーポット運用をしているとよく見かける WebShell を取り上げた「WebShell 図譜」という同人誌を頒布します。
コミケのような同人イベントは、サークルとして初参加です。また同人誌作成の右も左もわからない状態からスタートしました。
コミケ参加の当選通知をもらった後、試行錯誤しつつなんとか印刷所への入稿が完了し、頒布することができるようになりました。

 

WebShell 図譜 表紙

 

基本情報

  • 頒布イベント:コミックマーケット93(C93)
  • 頒布日:2017年12月29日(金)イベント1日目
  • 頒布場所:東3ホール キ-45b
  • サークル名:morihi-soc
  • サークルページ:https://webcatalog-free.circle.ms/Circle/13623674
  • 頒布物:WebShell 図譜(初頒布) A5 版 一色刷 表紙込み44ページ
  • 価格:500円

 

Read the rest of this entry »

Written by 森久

12月 9th, 2017 at 2:58 pm

今年のログは今年のうちに

どうも。ハニーポッターの森久です。
今回は、Honeypot Advent Calendar 2017の3日目の記事です。

早いもので、2017年も12月になってしまいました。振り返ると、今年は1月にハニーポット観察記録を書籍化したところから始まり、そのご縁で大阪の tktk 勉強会に呼ばれていったり、ハニーポット技術交流会(第1回第2回)をはじめてみたり、自作の WOWHoneypot を公開してみたりと、イベント盛り沢山な一年でした。

ハニーポットの運用を始めた人もたくさんいると思いますが、今一度伝えたい事があります。

ログは分析しないと意味が無いぞ!

せっかくハニーポットにさまざまなログが蓄積されているのに、見ないのはもったいないです。
しかしハニーポット始めたばかりで、何をとっかかりとして分析をしたらいいかわからないという初心者ハニーポッターもいることでしょう。
そこでハニーポットのログ分析で、とりあえずここから始めてみたら面白いんじゃないかというテクニックをいくつかご紹介します。

Read the rest of this entry »

Written by 森久

12月 3rd, 2017 at 11:08 pm

ハニーポット観察記録(35)「Tomcat に対する jsp ファイルを PUT する試み」

どうも。ハニーポッターの森久です。

秋、楽しんでいますか? といいつつ、日に日に寒さがまして冬も近づいていますね。
最近、知ったのですが、「ハニーポット」という名前の競走馬がいるそうです。しかも先日、船橋競馬場でおこなわれた「馬に乗って秋を満喫!」というレースで1着になったとのこと。
ハニーポットすごい。1回は走っているところを見てみたいものですね。

さて今回は、Apache Tomcat でリモートからコードが実行される脆弱性(CVE-2017-12615/CVE-2017-12616/CVE-2017-12617)について取り上げます。

 

Read the rest of this entry »

Written by 森久

11月 19th, 2017 at 6:15 am

技術書典3でセキュリティ関係の技術書を買い漁ってきた

どうも。ハニーポッターの森久です。

今日(2017年10月22日)は、技術書典3のイベントが開催されました。
台風21号の影響もあり、めっちゃ雨降ってましたが、秋葉原 UDX まで行ってきました。

ハニーポットの薄い本が出るとの噂を聞いたので、それをゲットすることが目的でした。ただせっかくの機会なので、他にもセキュリティ関連の薄い本技術書も買ってきました。

この記事は、早い話が戦利品の紹介です。買ったものリスト↓

1.家計にやさしいハニーポット入門
2.現時点でググっても出て来にくいセキュリティ技術
3.帰ってきたcuckoo
4.SECURI FRIENDS
5.urandom Computer Security Magazine vol.4
6.TomoriNao vol.1
7.データを加工する技術

技術書典3で購入した技術書たち

 

Read the rest of this entry »

Written by 森久

10月 22nd, 2017 at 9:01 pm

ハニーポット観察記録(34)「sql ファイルへのアクセスの試み」

どうも。ハニーポッターの森久です。

インターネットの隅っこで情報発信をしているこのブログにまで目を通していただいているみなさまにおかれましては、かなり情報収集に力を入れているものとお見受けします。いつもありがとうございます。

さてみなさんは、情報収集で得た情報は活用されていますか?

攻撃手法の詳細や脅威の痕跡・兆候を示す IoC(Indicators of Compromise)などの情報が公開されている場合は、その攻撃を受けていないか調査をした方がいい場合があります。
たとえば 0day の攻撃や攻撃ツールが公開されたという情報の場合です。

先日、JPCERT/CC より国内の多数の Web サイトで、データベースのダンプファイルが公開状態にあるという問題を取り上げた記事が公開されました(*1)。
データベースのダンプファイルとは、いわゆるデータベースの構造やデータが記録されたファイルで、主にバックアップ用に保存されるファイルです。
次の画像はダンプファイルのサンプルです。テーブルの構造が読み取れることがわかりますね。

図. データベースのダンプファイルのサンプル

JPCERT/CC の記事から辿っていくと、世界中の Web サイトの問題として取り上げられていたので(*2)、どうやら影響範囲は広く、記事を読んだ攻撃者がアクセスをしてきそうな気配がします。
そこでハニーポッターらしく、ダンプファイルへのアクセス有無について調査してみました。

 

Read the rest of this entry »

Written by 森久

8月 12th, 2017 at 8:39 am

ログ分析の注意点と文字列操作スクリプト公開

どうも。ハニーポッターの森久です。
最近、ハニーポットを植える人が増えたり、ハニーポットに関する勉強会が開かれたり、ハニーポット業界(?)が盛り上がってきていて何よりです。
ハニーポットの運用を始めると、ログ分析をする機会も増えてくると思います。

今回はログ分析をするときに気をつけなければいけないことと、ハニーポッター向け「ブラウザで完結! 文字列操作スクリプト」のツール紹介をします。

 

Read the rest of this entry »

Written by 森久

8月 7th, 2017 at 8:00 pm

Posted in Honeypot,Security

WriteUp:FireEye CTF

どうも。ハニーポッターの森久です。

先日、「Security Tech Lounge vol. 1 by ファイア・アイ」に参加してきました。

このイベントは、マルウェア対策機器メーカのファイア・アイ社が主催しており、現場でセキュリティに携わっている人たちの親睦と相互交流を目的としたものです。
現場(最前線で活躍する)のセキュリティエンジニアが参加者層として設定されていて、他のイベントとは一味違う内容です。

「セキュリティレポートたなおろし」と題して、セキュリティベンダ各社が2016年に発表したレポートを並列に比較する発表や、「オープンソース インテリジェンスの歩き方」として、不審な URL やドメイン情報を入手した際に活用できる Web サービスの紹介と使い方、セキュリティをネタに、パネラーと参加者を交えたパネルディスカッション(サイコロトーク)など企画が盛り沢山でした。

また当初の目的にもあったように、参加者同士の交流を深めるために、座ったテーブルを1チームとした、チーム対抗 CTF(FireEye CTF)が開催されました。

本ブログの読者で CTF を知らない人は少ないと思いますが、簡単に説明しますと、CTF は出題者からの問題を参加者が分析して、問題のどこかに含まれている正解の文字列(FLAG と呼ぶ)を導き出すという知的ゲームです。

FireEye CTF(FE CTF)では、1チーム3-4人で構成され、着座するテーブルは会場到着時にランダムで決められるため、誰がチームメイトになるのかまったくの予想がつかない状態です。

イベントでは時間の都合上、問題解説はありませんでした。
大変おもしろい問題だったので、今回はいつものハニーポット観察から離れて、FE CTF の Write Up を公開します。

※  イベント主催の ファイア・アイ社様に Write Up の記事公開許可をいただいています。

長文記事なので、コーヒーでも飲みながら息抜きにゆっくり見てください〜。画像を多用しています。スマホだと読みにくいかもしれません。

ページ目次リンク
FE CTF の問題について
1問目:C2
2問目:TYPO
まとめと感想

 

Read the rest of this entry »

Written by 森久

3月 29th, 2017 at 6:00 pm

Posted in CTF,Security

ハニーポット観察記録(33)「Struts2 S2-045を狙った攻撃」

どうも。ハニーポッターの森久です。

2017年3月6日にApache Struts2 における脆弱性(S2-045/CVE-2017-5638)が公開されました。またこの脆弱性を攻撃する PoC(Proof of concept)も公開されており、攻撃が流行っています。
日本国内の Web サイトでも被害が発生しており、ニュースで一部報道されています。

都税のサイトに不正アクセス 67万件余の個人情報流出か(NHK ニュース Web)
http://www3.nhk.or.jp/news/html/20170310/k10010906691000.html

Webアプリケーション製作者、サーバ管理者、セキュリティエンジニア、脆弱性対策やインシデントレスポンスなどに関わっている皆様、Struts は毎度のことながら対応お疲れ様です。本当にお疲れ様です。

 

今回は、ハニーポットにて、S2-045 の脆弱性を狙った攻撃を検知したのでご紹介します。

Read the rest of this entry »

Written by 森久

3月 13th, 2017 at 5:42 am

「ハニーポット観察記録」書籍化のお知らせ

どうも。ハニーポッターの森久です。

このたび、私のブログ(morihi-soc.net)の「ハニーポット観察記録」シリーズの記事が書籍になります!

ITエンジニアのみなさんを対象として「ログ」を分析することの大切さと面白さを伝えるために書いた、ログ分析の解説書です。

 

ハニーポット観察記録 表紙

書籍情報

■書名
サイバー攻撃の足跡を分析する ハニーポット観察記録

■著者
森久 和昭

■発行元
株式会社秀和システム

■発売日
2017年1月27日より順次発売開始(地域・書店様によって異なります)

■本体価格(税別)
2,200円

■ISBN
978-4-7980-4908-3

■判型
A5判

■刷色
1色刷


Read the rest of this entry »

Written by 森久

1月 23rd, 2017 at 7:10 am