www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポットは見た。パスワードに非 ASCII 文字だと!?

どうも。ハニーポッターの森久です。

4月30日に、すみだセキュリティ勉強会*12018その1が開催されました。
私も参加したかったのですが、都合がつかず参加できませんでした。

ただありがたいことに、発表資料が公開されています。
その中でも勉強会主催者である@ozuma5119さんの「長くて覚えやすくて複雑なパスワードとemojiの話??✨??マジ卍」に気になる所がありました。

 

この資料の前半を要約すると、パスワードに絵文字を使ったら覚えやすくて複雑なものにできるんじゃないの?ってことです。
そして気になったのは20ページです。赤枠の部分は私が加工しました。

 

はい!

来てます!

ハニーポットに来てます!

ということで、うちの SSH ハニーポットに来ていた非 ASCII 文字を含んだパスワードをご紹介します。

 

SSH ハニーポットとは

ハニーポットはあえて攻撃を受けるように作られたシステムで、観測した攻撃を分析して、セキュリティ対策に活用したり、分析技術の向上を目指したりするものです。
分類は様々な方法があり、観測したい攻撃手法にあわせて作られたハニーポットが存在します。

その中でも SSH ハニーポットは、攻撃者をハニーポット環境へ SSH ログインさせて、実行されるコマンドを観測するというシステムです。
以前、私の SSH ハニーポットで取得したログを動画化したものがあるので、まずはこちらを御覧ください。

プロンプトが「testServ2:~#」から始まった時点以降は、攻撃者による入力です。
wgetコマンドを使い、外部からファイルをダウンロードして実行させようとしています。ただその前後にシステムの環境を調査したり、タイポがあったりと、人間臭さを感じます。

さて SSH ハニーポットは、動画のように入力されたコマンドを分析するだけにとどまりません。

みなさまご存知の通り、SSH でログインするときには、鍵認証でない場合はアカウント名とパスワードが必要ですよね。
攻撃者はなんとか対象のホストへログインしようと、様々なアカウント名とパスワードを使います。
これらの入力されたアカウント情報もログとして記録されます。

そこで今回の主題となる、入力されたパスワードの中から、非 ASCII 文字を含んだものを調査しました。

 

非 ASCII 文字を含んだパスワード

約24万件の不正ログインのログ*2から調査した結果です。

  • !@#?%¡­&*()
  • @#£¤%2%**1
  • OAOidc123£¡@#
  • V×Ð
  • m_J_p´óQ8Y
  • sybeautiful!@#¡£
  • ¡Áluyou1

結構ありました。重複して記録されているものや、表示できない制御文字(^A)などは省略しました。
逆感嘆符(¡­)や、アクサンテギュ(´)付きの文字が多かったです。

おそらくこれらの文字が標準語で使われている地域で、パスワードにしている人がいるのでしょう。

 

まとめ

SSH ハニーポットで入力されるパスワードを調査したところ、いくつか非 ASCII 文字を含んだものがありました。

ただし絵文字は見つかりませんでした。そのため覚えやすくて複雑なパスワードにすることが可能、かつ攻撃者もまだログインブルート攻撃に使っていなさそうということから、絵文字をパスワードに使ってみるのは有りだと思います。

ハニーポッターは、ぜひ攻撃の検知状況を調査してみてください。今回紹介した以外のパスワードがあるかもしれません*3

 

それでは引き続き、ゴールデンウィークをお楽しみください。

 

 

*1 私が主催するハニーポッター技術交流会は、休日の午前中に開催しています。これは、以前すみだセキュリティ勉強会に参加したときに、午前中の勉強会って良いなと感じたことに影響を受けています。

*2 最近は SSH ハニーポットを植えていないので、2014年のログを元に調査しました。

*3 OpenWall で公開されているパスワードリストを調査すると、他にも結構ある。キリル文字とか入力している。→ 辞書攻撃に使う元ネタの辞書ファイル(ろば電子が詰まっている)


追記 (2018年5月11日)

麻雀牌の Unicode を使ったパスワードジェネレータを公開しました。
<a href=”http://morihi-soc.epizy.com/janpass.php” target=”_blank”>麻雀牌パスワード ジェネレータ</a>

 

Written by 森久

5月 1st, 2018 at 10:24 am

Posted in Honeypot,Kippo,Security