www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

Archive for the ‘ハニーポット観察記録’ Category

ハニーポット観察記録(28) 「nosqlpot(NoPo)の紹介」

without comments

どうも.ハニーポッターの森久です.

今回はちょっと珍しい NoSQL データベースのハニーポットを構築できる nosqlpot(NoPo)を紹介します.

NoSQL が何かわからない人は,とりあえず Wikipedia をご参照ください.

NoPo は NoSQL データベースのハニーポットを構築するフレームワークです.コンフィグを用意することによって,NoSQL データベースに対する攻撃をログとして保存します.

Read the rest of this entry »

Written by 森久

6月 15th, 2015 at 10:52 pm

ハニーポット観察記録(27) 「wp-config.php の一時ファイルを狙った攻撃」

without comments

どうも.ハニーポッターの森久です.

WordPress の脆弱性を狙った攻撃は相変わらず多いです.

例えば,timthumb.php の脆弱性を狙った攻撃(ハニーポット観察記録(16))や Slider Revolution を狙った攻撃(ハニーポット観察記録(20))は去年から継続して,さらに勢いを増して検知しています.

今回はオリジナルハニーポットで検知した,このような特定の脆弱性を狙った攻撃ではなく,Web サイト管理者の人為的な,またはうっかりやらかしてしまいそうなミスを狙った攻撃について取り上げます.

Read the rest of this entry »

Written by 森久

6月 9th, 2015 at 10:25 pm

ハニーポット観察記録(26) 「37564/tcp に対するオープンプロキシの調査」

without comments

どうも.ハニーポッターの森久です.

先日,警察庁は 37564/tcp ポートに対するスキャン通信が増加していると発表しました.発表の中には,「外部からのアクセス制限が行われていないオープンプロキシを探索している」という記載がありました.

そこでオリジナルハニーポットを使い,実際にどのような攻撃が行われるのか調査しました.

 

Read the rest of this entry »

Written by 森久

5月 27th, 2015 at 7:20 pm

ハニーポット観察記録(25)

without comments

どうも.ハニーポッターの森久です.

今回は SSH ハニーポットの Kippo について再度紹介したいと思います.

 

参考動画:SSHハニーポット(Kippo)で採取した不正ログイン後の形跡2

以前の記事と同様に,インストールから起動までの流れを紹介します.

また私が作成した Kippo 向け環境作成スクリプトも公開したので,併せて紹介します.

Read the rest of this entry »

Written by 森久

5月 22nd, 2015 at 11:30 pm

ハニーポット観察記録(24)

without comments

どうも.ハニーポッターの森久です.

私のオリジナルハニーポットで,Java の全文検索エンジンの Elasticsearch の脆弱性を狙った攻撃を検知しました.
攻撃の内容は,脆弱性の有無の調査からコマンド実行の試みや,マルウェア感染などです.

今年の4月ごろから何度か検知しており,最近検知件数が増加してきました.また3月には警察庁が Elasticsearch に関する注意喚起を発表しています(*1).
今回はハニーポットで検知した攻撃事例について,いくつか取り上げます.

Read the rest of this entry »

Written by 森久

5月 16th, 2015 at 1:03 pm

ハニーポット観察記録 番外編 〜IRCBOT はプロセスの名前を騙るのか?〜

without comments

どうも.ハニーポッターです.

最近見たブログ記事「[Perl] 細かすぎて伝わらないPerlと$0変数 – コマンド名偽装(ろば電子が詰まっている)」で,下記のような記述をみかけました.

引用:$0操作はpsコマンドからの隠蔽目的でもよく使われます。具体的には、Perlでマルウェアを書いている人たちの間では、この$0いじりをするのは常套手段でありよく使われる手法です。

ハニーポットでは IRCBOT に感染させようとする攻撃をたくさん検知しています.たとえば Apache MagicaphpMyAdmin など毎日毎日検知します.

私は攻撃検知時に可能な限り IRCBOT のソースコードを入手し,解析をしています.そこで今回は,今までに収集した IRCBOT たちが,どのようなプロセス名を $0 に設定しているのか調査してみました.

Read the rest of this entry »

Written by 森久

11月 30th, 2014 at 11:49 am

ハニーポット観察記録(23)

without comments

こんにちは.ハニーポッターです.

ハニーポットで Web サーバの設定不備を狙った,プロキシサーバの探索(第三者中継攻撃)を検知しています.第三者中継攻撃は以前から検知していましたが,ここ数ヶ月間は件数が増加しています.

攻撃手法自体は古くからありますが,最近はこの攻撃について語られることが少ないです.そのため Web サーバのアクセスログには記録されているが,どのような攻撃であるのか把握できていないという方もいるのではないでしょうか.今回はこの閉ざされた扉を開けようと思います.

Read the rest of this entry »

Written by 森久

11月 24th, 2014 at 9:34 pm

ハニーポット観察記録(22)

without comments

こんにちは.(ちょっと良い匂いのする)ハニーポッターです.

今年の9月末に Bash の脆弱性(CVE-2014-6271 等)が公開されました.公開直後から,この脆弱性を狙った攻撃をハニーポットで検知しており,今だに収まる様子がありません.
今回はこの脆弱性を狙った,いともたやすく行われるえげつない行為の一部を紹介します.

Read the rest of this entry »

Written by 森久

11月 15th, 2014 at 11:18 am

ハニーポット観察記録(21)

without comments

こんにちは! 最近,オリジナルハニーポットを作っているハニーポッターです.

今回は作成しているオリジナルハニーポットで検知した攻撃を紹介します.


検知した攻撃は,Linksys ルータの E シリーズに報告された脆弱性を狙ったものでした.


 

Read the rest of this entry »

Written by 森久

10月 16th, 2014 at 11:01 pm

ハニーポット観察記録(20)

without comments

ハニーポットで WordPress のプラグインに存在する LFI の脆弱性を狙った攻撃を検知しました.

Read the rest of this entry »

Written by 森久

9月 23rd, 2014 at 10:54 pm