www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

Archive for the ‘Honeypot’ Category

技術書典6で同人誌「ハニーポットと秘密のファイル」を頒布します

without comments

どうも。ハニーポッターの森久です。

最近、ハニーポッターが増えて、ブログやツイートが多くなってきました。

ハニーポットの運用はログ分析することといっても過言ではありませんが、調べることや覚えることが多く、最初は大変だと思います。

ということで、4月14日に開催される技術書典6でディレクトリトラバーサルと設定不備を狙った攻撃のログ分析に特化した「ハニーポットと秘密のファイル」を頒布します。


表紙「ハニーポットと秘密のファイル」

 

基本情報
・頒布イベント:技術書典6(池袋サンシャインシティ2F 展示ホールD(文化会館ビル2F))
・イベント公式サイト:https://techbookfest.org/event/tbf06
・頒布日:2019年4月14日(日)
・頒布場所:え10
・サークル名:morihi-soc
・サークルページ:https://techbookfest.org/event/tbf06/circle/69740001
・頒布物:
(新刊)ハニーポットと秘密のファイル A5 版 一色刷 表紙込み36ページ 500円 (booth で電子版も同時頒布)
(既刊)WebShell 図譜 A5 版 一色刷 表紙込み44ページ 500円 (残り少ないです)
・技術書典 かんたん後払い:対応します(ご利用される方は、あらかじめアプリの登録をお願いします)

Read the rest of this entry »

Written by 森久

4月 3rd, 2019 at 6:00 pm

Posted in Honeypot,同人誌

ハニーポット観察記録(47)「ECShop に対する SQL インジェクション攻撃」

without comments

どうも。ハニーポッターの森久です。

今年もやってきました、2月1日から3月18日(サイバー)はサイバーセキュリティ月間です。
私もセキュリティ技術者の一人として、普及啓発に関わっていきたいと思います。

なお今回のブログ記事だけでなく、2月16日に長野県で開催される【第4回】サイバーセキュリティ勉強会2019 in 塩尻にて、ハニーポットに関する発表をさせていただきます。
私以外にも多くの方が発表されるため、濃い一日になること必死です。ご都合のつく方はぜひご参加いただければと思います。

さて今回は、私の管理する環境で ECShop の脆弱性を狙った SQL インジェクション攻撃を見つけたので紹介します。
ハニーポットを運用するハニーポッターであれば共感していただけるかと思いますが、ハニーポットでは珍しい攻撃です。
ECShop はEC サイトを構築するための CMS の1つです。日本語による構築方法や使い方の紹介などをほとんどみかけないため、あまり日本では使われていないようです。
それにもかかわらずハニーポットで攻撃を検知したということは、グローバルでは使われており、攻撃者に狙われているということでしょう。

Read the rest of this entry »

Written by 森久

2月 1st, 2019 at 9:53 pm

Wall of Sheep for WOWHoneypot を作ってみたよ

without comments

どうも。ハニーポッターの森久です。

この記事は Honeypot Advent Calendar 2018 の8日目の記事です。

先日、同じアドベントカレンダーの2日目の記事で「ハニーポット脳」というポエムを公開しました。

さすがにポエムだけ公開して終わりだとアドベントカレンダーがもったいないかなと思い、少し技術的な話の記事を公開しようと思いました。(空きもあったので)

とある診断員の備忘録さんのブログで「ハニーポットについての小ネタ」という名前の記事が公開されました。

記事の冒頭に、DEFCON 会場で公開されている Free WiFi に平文で流れるクレデンシャル情報(アカウント名やパスワード等)を晒し上げする Wall of Sheep が取り上げられていました。

私も BLACKHAT USA 2016 と同時期に開催された DEFCON 24 に参加したときに、ネタっぽい情報から本物かもしれない情報が表示されているのを見てきました。

Wall of Sheep のリアル感を思い出したのをきっかけに、コレをハニーポットのログでやってみたら、どんな見え方がするのか興味が出てきたので(完全にハニーポット脳)、ちゃちゃっとプログラムを作ってみました。

プログラムは GitHub で公開しています。
Wall of Sheep for WOWHoneypot
https://github.com/morihisa/wsw

Wall of Sheep for WOWHoneypot サンプル

※上記の画像では、IP アドレスの一部を伏せていますが、プログラムを実行した結果では、そのまま表示されます。

Read the rest of this entry »

Written by 森久

12月 8th, 2018 at 9:29 pm

ハニーポット脳

without comments

どうも。ハニーポッターの森久です。
この記事は、Honeypot Advent Calendar 2018の2日目の記事です。

ポエムなので、本当に暇な人向けです。
なぜ書いたのかといえば、忘れっぽい自分のためであり、未来の自分のためであり、そして自戒のために書いたものです。
決して特定の人や思想、考え方を否定するものではありません。

Read the rest of this entry »

Written by 森久

12月 2nd, 2018 at 1:00 pm

Posted in Honeypot,その他

技術書典5で同人誌「ハニーポットと学ぶ侵入検知システム」を頒布します

without comments

どうも。ハニーポッターの森久です。

秋の夜長に読書とハニーポットはいかがでしょうか。
ということで、10月8日に開催される技術書典5で「ハニーポットと学ぶ侵入検知システム」を頒布します。また技術書典4で頒布した同人誌の「WOWHoneypotの遊びかた」の商業誌版も販売いたします。

基本情報
・頒布イベント:技術書典5(池袋サンシャインシティ2F 展示ホールD)
・イベント公式サイト:https://techbookfest.org/event/tbf05
・頒布日:2018年10月8日(月・祝日)
・頒布場所:け24
・サークル名:morihi-soc
・サークルページ:https://techbookfest.org/event/tbf05/circle/26860001
・第2章の入力コマンドサンプル: https://github.com/morihisa/support-snorby
・頒布物:
(新刊)ハニーポットと学ぶ侵入検知システム A5 版 一色刷 表紙込み52ページ 500円(booth で電子版も同時頒布)
(新刊)WOWHoneypotの遊びかた(商業誌) B5 版 カラー 102ページ 1,500円(一般販売価格から300円割引)
(既刊)WOWHoneypotの遊びかた(同人誌) A5 版 一色刷 表紙込み68ページ 100円(手元の在庫限り。今後の再販予定無し)
(既刊)WebShell 図譜 A5 版 一色刷 表紙込み44ページ 500円

Read the rest of this entry »

Written by 森久

10月 4th, 2018 at 8:22 pm

Posted in Honeypot,同人誌

「WOWHoneypotの遊びかた」商業出版のお知らせ

without comments

どうも。ハニーポッターの森久です。

2018年4月に開催された技術書典4にて頒布した技術同人誌の「WOWHoneypot の遊びかた」が、インプレスR&D社より技術書典シリーズの1つとして、商業出版することとなりました。

このような機会に恵まれたのは、ハニーポッターと WOWHoneypot を応援していただいたみなさまのおかげです。ありがとうございます。

「WOWHoneypot の遊びかた」の表紙

■書名
”おもてなし”機能でサイバー攻撃を観察する! WOWHoneypotの遊びかた

■著者
森久 和昭

■発行元
株式会社インプレスR&D (技術書典シリーズ)

■発売日
2018年8月24日

■本体価格(税別)
電子書籍版 1,600円/印刷書籍版 1,800円

■ISBN
978-4-8443-9839-4

■電子書籍版フォーマット
EPUB3/Kindle Format8

■印刷書籍版仕様
B5 判/カラー/本文102ページ

■リンク
出版社の書籍紹介ページ

Amazon 販売・予約ページ

Read the rest of this entry »

Written by 森久

8月 17th, 2018 at 6:07 pm

ハニーポット観察記録(46)「WebLogic Server の CVE-2018-2894 の脆弱性に対する攻撃」

without comments

どうも。ハニーポッターの森久です。
台風が近づいてきているので部屋にこもっています。

さて、2018年7月の Oracle パッチ情報で WebLogic Server の脆弱性がいくつか修正されました。
その中でも CVE-2018-2893 と CVE-2018-2894 の2つで、リモートから攻撃可能な攻撃ツールが公開されています。
CVE-2018-2893 は T3 プロトコルを利用した攻撃です。一方、CVE-2018-2894 は HTTP を利用した攻撃です。
私が作成した Web ハニーポットの WOWHoneypot では、T3 プロトコルに対応していないので、CVE-2018-2893 は検知することができません。そこで今回は CVE-2018-2894 の検知状況をまとめました。

CVE-2018-2894 について、簡単に説明すると、本来アクセス認証がかかっているページへ、認証なしでアクセス可能なため、WebLogic Server をリモートから操作可能な脆弱性です。
それではハニーポットにおける検知状況を紹介します。

Read the rest of this entry »

Written by 森久

7月 28th, 2018 at 5:26 pm

WOWHoneypot の Version 1.2 公開

without comments

どうも。ハニーポッターの森久です。

寒暖の差が激しい毎日ですが、みなさまいかがお過ごしでしょうか。
今回は WOWHoneypot の Version 1.2 の新機能について紹介します。

GitHub: WOWHoneypot
https://github.com/morihisa/WOWHoneypot

2018年5月19日 WOWHoneypot Version 1.2 公開

  • 新機能:GDPR のため、IP アドレスをマスクして保存する設定項目を追加しました(デフォルト:無効)。
  • 新機能:アクセスログを保存するときの区切り文字を設定ファイルで指定できるようにしました(デフォルト:半角スペース1個)。
  • 改善:URL のパースで、メソッドが大文字アルファベットから始まるリクエストのみ受け入れるようにしました。
  • 改善:URL に”(ダブルクォート)が含まれていた場合は、%22に変換するようにしました。
  • 改善:huntrules.txt にルールを追加しました。

Read the rest of this entry »

Written by 森久

5月 20th, 2018 at 10:55 am

WOWHoneypot の Version 1.1 公開

without comments

どうも。ハニーポッターの森久です。

長期連休も終わりに近づいていますが、みなさまいかがお過ごしでしょうか。
特になにもイベントは無かったという方は、ハニーポットを植えてみましょう。無味乾燥な連休がハニーポットのお手入れをしたという想い出に変わりますよ。

さて、今回はWOWHoneypot の新機能についてご紹介します。
このほど新しくハンティング機能を追加しました! またこの機能と連携する新しいスクリプトファイル chase-url.py を公開しました。

GitHub: WOWHoneypot
https://github.com/morihisa/WOWHoneypot

この機能を使うことで、怪しい URL を収集できます。

Read the rest of this entry »

Written by 森久

5月 5th, 2018 at 10:14 pm

ハニーポットは見た。パスワードに非 ASCII 文字だと!?

without comments

どうも。ハニーポッターの森久です。

4月30日に、すみだセキュリティ勉強会*12018その1が開催されました。
私も参加したかったのですが、都合がつかず参加できませんでした。

ただありがたいことに、発表資料が公開されています。
その中でも勉強会主催者である@ozuma5119さんの「長くて覚えやすくて複雑なパスワードとemojiの話??✨??マジ卍」に気になる所がありました。

 

この資料の前半を要約すると、パスワードに絵文字を使ったら覚えやすくて複雑なものにできるんじゃないの?ってことです。
そして気になったのは20ページです。赤枠の部分は私が加工しました。

 

はい!

来てます!

ハニーポットに来てます!

ということで、うちの SSH ハニーポットに来ていた非 ASCII 文字を含んだパスワードをご紹介します。

Read the rest of this entry »

Written by 森久

5月 1st, 2018 at 10:24 am

Posted in Honeypot,Kippo,Security