ハニーポット運用(月次報告:2020年5月)
6月1日に緊急事態宣言が解除された。
外出の規制が緩和され店舗営業も再開されつつあり、日常が少しずつ戻りつつある。
気づくと6月に入り梅雨の時期である。
本来であれば7月はオリンピック開催期間だったと考えると
世の中何が起こるか本当に分からない。
T-Potにて1か月運用した結果を記載する。
前提条件
運用日時:2020年5月1日-2020年5月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先々月比 |
---|---|---|---|
1 | Dionaea | 4,285,355 | ▲4,247,982 |
2 | Cowrie | 3,869,490 | △1,154,410 |
3 | Heralding | 2,049,720 | △454,851 |
4 | Honeytrap | 239,282 | ▲279,872 |
5 | Rdpy | 72,034 | △31,109 |
6 | Tanner | 8,571 | △4,455 |
7 | Mailoney | 5,578 | △4,067 |
8 | Adbhoney | 3,797 | ▲1,142 |
9 | Ciscoasa | 2,886 | △1,240 |
10 | ElasticPot | 1,577 | △1,089 |
11 | ConPot | 114 | - |
12 | Medpot | 5 | - |
- Result
- Dionaeaへの攻撃件数が大幅に減少し、CowrieとHeraldingへの攻撃件数が増加していた。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Russia | 1,579,958 | 2(↑) |
2 | Ireland | 856,508 | 5(↑) |
3 | China | 789,105 | 1(↓) |
4 | Vietnam | 677,299 | 3(↓) |
5 | Panama | 403,694 | 15(↑) |
6 | United States | 364,218 | 9(↑) |
7 | Republic of Moldova | 348,450 | 16(↑) |
8 | Japan | 321,746 | 7(↓) |
9 | Bulgaria | 318,133 | 6(↓) |
10 | Netherlands | 287,231 | 20(↑) |
11 | India | 283,409 | 13(↑) |
12 | Brazil | 247,433 | 14(↑) |
13 | Venezuela | 243,679 | 17(↑) |
14 | Indonesia | 202,545 | 10(↓) |
15 | France | 182,049 | 10(↓) |
16 | Taiwan | 179,869 | 8(↓) |
17 | Turkey | 157,552 | 18(↑) |
18 | Ukraine | 142,485 | 11(↓) |
19 | United Kingdom | 123,535 | 圏外(↑) |
20 | Thailand | 115,859 | 圏外(↑) |
- Result
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | CNT |
---|---|---|
1 | CVE-2020-8515 CVE-2020-8515 | 98 |
2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 65 |
3 | CVE-2019-0708 CVE-2019-0708 | 39 |
4 | CVE-2020-11651 CVE-2020-11651 | 4 |
- Result
- 先月より大きな変更点は無し。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 254,273 |
2 | admin | 126,968 |
3 | support | 9,403 |
4 | nproc | 6,080 |
5 | user | 4,338 |
6 | test | 3,118 |
7 | postgres | 2,244 |
8 | sa | 2,166 |
9 | ubuntu | 1,743 |
10 | sh | 1,348 |
11 | enable | 1,243 |
12 | deploy | 1,215 |
13 | ping ; sh | 1,029 |
14 | default | 907 |
15 | oracle | 855 |
16 | guest | 795 |
17 | git | 741 |
18 | ftpuser | 581 |
19 | mysql | 538 |
20 | 666666 | 536 |
- Result
- MSSQLのユーザ名であるsaの攻撃件数が減少しroot(1位),admin(2位)などのサーバログイン用のユーザ名の攻撃件数が多い傾向があった。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 239,570 |
2 | & | 33,889 |
3 | 123456 | 23,798 |
4 | support | 9,224 |
5 | password | 7,093 |
6 | nproc | 6,080 |
7 | 6,075 | |
8 | 12345678 | 6,050 |
9 | 123 | 3,188 |
10 | user | 2,401 |
11 | Password | 2,231 |
12 | 12345 | 1,942 |
13 | root | 1,712 |
14 | 1234 | 1,646 |
15 | 1q2w3e4r | 1,401 |
16 | system | 1,335 |
17 | shell | 1,273 |
18 | /bin/busybox FBOT | 995 |
19 | test | 896 |
20 | 1qaz2wsx | 872 |
- Result
最後に
- 各国で緊急事態宣言が解除され、ポストコロナへの動きが加速している。
- ①各ハニーポットで検知したAttack件数 ではDionaeaの攻撃件数が減少し、④よく攻撃されるユーザ名でsaユーザへの攻撃が減少したことから従来のMSSQLサーバへの攻撃からリモートワークで利用される端末やサーバなどの攻撃へ傾向が遷移していると感じた。
- ②攻撃元の国名と件数(Top 20) で確認したパナマやモルドバ共和国からの攻撃件数増加があった。Hajimeボットの攻撃件数増加と関連付けた場合、⽇本国内ではあまり普及していない機器を攻撃対象とすることから有意な関連がある可能性もある。一過性の傾向であるかは継続して確認を進めたい。
情報処理安全確保支援士を更新した
25日にも首都圏1都3県と北海道の緊急事態宣言解除の方針を政府が示している。一度リモートワークに慣れると通勤ラッシュがいかに仕事の負担になっているかを思い知らされる。全く憂鬱になる。
2020年5月15日(金)にIPAからRISSの更新制導入が通達された。今回更新手続きをしてきたので簡単に記載する。
必要書類
以下書類を揃えてIPAへ送付する。
・ 更新申請書
・ 現状調査票
・ 誓約書
・ 登録証の原本
→登録証の原本(コピー不可)を送付する必要がある。
原本を送付できない場合は提出書類に理由を記載する必要がある。
・ 登録申請チェックリスト
・ 連絡先等変更届出書(連絡先の変更を併せて申請する場合のみ)
更新書類は以下のURLからダウンロード可能で、必要事項を記載した後に簡易書留で送付する。
送り状は現状調査票に付属しているのを切り取って貼り付けるのが早い。
やってみた感想
・登録証の原本を返送しないといけない。更新の度に新しい登録証が発行されるのだろうか?
・更新手続きは特に難しくない。書類4点の準備(人によっては5点)で済んだ。
無料で済むので更新費用はこのタイミングではかからない。
最後に
・今までは制度が先行して士業のメリットはほぼ何もない状態だったので、
入札条件に含めるなどこの資格の意義が果たされる日が来てほしい。
ハニーポット構築(iptablesの設定)
5/23 に開催されたSECCON Beginners 2020は散々な成績だった。
いつものことながら硝子のハートはぼろぼろである。
合間の時間で以前から設定したかったT-PotへFirewall設定を追加した。
今回はその際の手順を簡単に記載する。
実施したこと
・運用ポートのFilter設定
T-Potでは以下のPortが提供されている。
64294:CockpitのAdmin UI用 64295:ssh接続用 64297:KibanaのWeb UI用
⇒利用しているさくらのVPSではパケットフィルタに
接続許可制限できるPort範囲が1〜32767までであり
上記の64290番台のPortへの通信は制限できない。
そのためiptablesを使用してFirewall設定を実施した。
詳細内容
・自宅端末の回線IPからのみ64294、64295、64297の接続を受け付ける。
・自宅端末の回線IP以外からは64294、64295、64297の接続は拒否する。
手順
iptablesの設定について調べながら設定をした。
以下2つの手順が実施可能であり今回は手順1で設定した。
手順1.rules.shで管理する場合
以下のQ&Aを参考にした。
github.com
T-Potでは今回のような特定IPからの接続を拒否する設定の
永続化用に/opt/tpot/bin/rules.sh
を提供している。
そのため今回もrules.sh
に必要な設定を導入してみる。
①T-Potへのログイン
T-Potへssh接続する。その後、rootユーザへ変更する。
$ sudo su - #
②/opt/tpot/bin/rules.shのバックアップ取得
変更するrules.shのバックアップを取得する。
# cd /opt/tpot/bin/ # cp -p rules.sh rules.sh.org
③/opt/tpot/bin/rules.shへのiptablesルールの追加
自宅回線の接続IPアドレスの許可設定をrules.shに追加する。
INPUTルールに以下を追加
・<自宅回線の接続IPアドレス>からの64294,64295,64297のTCP/UDP通信を許可
・<自宅回線の接続IPアドレス>以外からの64294,64295,64297のTCP/UDP通信を拒否
# vi rules.sh #20200524 ADD IP Filter Rule /usr/sbin/iptables-legacy -w -A INPUT -s <自宅回線の接続IPアドレス> -p tcp --dport 64294:64295 -j ACCEPT /usr/sbin/iptables-legacy -w -A INPUT -s <自宅回線の接続IPアドレス> -p udp --dport 64294:64295 -j ACCEPT /usr/sbin/iptables-legacy -w -A INPUT -s <自宅回線の接続IPアドレス> -p tcp --dport 64297 -j ACCEPT /usr/sbin/iptables-legacy -w -A INPUT -s <自宅回線の接続IPアドレス> -p udp --dport 64297 -j ACCEPT /usr/sbin/iptables-legacy -w -A INPUT -p tcp --dport 64294:64295 -j REJECT /usr/sbin/iptables-legacy -w -A INPUT -p udp --dport 64294:64295 -j REJECT /usr/sbin/iptables-legacy -w -A INPUT -p tcp --dport 64297 -j REJECT /usr/sbin/iptables-legacy -w -A INPUT -p udp --dport 64297 -j REJECT
④サーバ再起動
サーバを再起動する。
# shutdown -r now
⑤設定値の確認
自宅回線の利用PCで64294,64295,64297で接続し、エラーが出力されないことを確認する。
携帯電話から公衆回線経由でアクセスし、エラーが出力されてアクセスできないことを確認する。
ただしこの方法だとT-Potのupdateを実施した場合に設定が上書きされるため、
更新の度に設定し直す必要がある。
またiptablesの確認に使用するiptables -L
コマンドでの設定値の確認もできない。
# iptables -L Chain INPUT (policy ACCEPT) ・・・★INPUTのChainに何も表示されない。 target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination DOCKER-USER all -- anywhere anywhere DOCKER-ISOLATION-STAGE-1 all -- anywhere anywhere <中略> Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain DOCKER (33 references) target prot opt source destination ACCEPT tcp -- anywhere 172.20.0.2 tcp dpt:10001 ACCEPT tcp -- anywhere 172.18.0.2 tcp dpt:5555 <中略> Chain DOCKER-ISOLATION-STAGE-1 (1 references) target prot opt source destination DOCKER-ISOLATION-STAGE-2 all -- anywhere anywhere DOCKER-ISOLATION-STAGE-2 all -- anywhere anywhere <中略> Chain DOCKER-USER (1 references) target prot opt source destination RETURN all -- anywhere anywhere Chain DOCKER-ISOLATION-STAGE-2 (17 references) target prot opt source destination DROP all -- anywhere anywhere DROP all -- anywhere anywhere <中略> # Warning: iptables-legacy tables present, use iptables-legacy to see them
手順2.iptables-persistentで管理する場合
一般的に紹介されているiptables-persistentを使って、iptablesを管理する。
①T-Potへのログイン
T-Potへssh接続する。その後、rootユーザへ変更する。
$ sudo su - #
②iptables-persistentのインストール
iptablesの設定永続化のため、iptables-persistentをインストールする。
(※古いOSの場合はapt-getで実施する)
# apt install iptables-persistent
③ipv4.ruleのバックアップ取得
iptables-persistentをインストールすると/etc/iptablesフォルダ配下にrules.v4とrules.v6が作成される。
この内、rules.v4のバックアップを取得する。
# cd /etc/iptables # cp -p rules.v4 rules.v4.org
④ipv4.ruleへのiptablesルールの追加
iptablesの定義をipv4.ruleのINPUTルールへ追加する。
# vi rules.v4 *filter :INPUT ACCEPT [0:0] -A INPUT -s <自宅回線の接続IPアドレス> -p tcp --dport 64294:64295 -j ACCEPT -A INPUT -s <自宅回線の接続IPアドレス> -p udp --dport 64294:64295 -j ACCEPT -A INPUT -s <自宅回線の接続IPアドレス> -p tcp --dport 64297 -j ACCEPT -A INPUT -s <自宅回線の接続IPアドレス> -p udp --dport 64297 -j ACCEPT -A INPUT -p tcp --dport 64294:64295 -j REJECT -A INPUT -p udp --dport 64294:64295 -j REJECT -A INPUT -p tcp --dport 64297 -j REJECT -A INPUT -p udp --dport 64297 -j REJECT :FORWARD DROP [0:0] <中略>
設定完了後、リロードを実施して設定を反映する。
# /etc/init.d/iptables-persistent save # /etc/init.d/iptables-persistent reload
⑤サーバ再起動
サーバを再起動する。
# shutdown -r now
⑥設定値の確認
自宅回線の利用PCで64294,64295,64297で接続し、エラーが出力されないことを確認する。
携帯電話から公衆回線経由でアクセスし、エラーが出力されてアクセスできないことを確認する。
この方法だとT-Potのupdateを実施した場合でも設定が上書きされないため、設定をし直す必要がない。
またiptablesの確認に使用するiptables -L
コマンドでの設定値の確認もできるのでこちらの方が良いだろう。
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- <自宅回線の接続IPアドレス> anywhere tcp dpts:64294:64295 ACCEPT udp -- <自宅回線の接続IPアドレス> anywhere udp dpts:64294:64295 ACCEPT tcp -- <自宅回線の接続IPアドレス> anywhere tcp dpts:64297 ACCEPT udp -- <自宅回線の接続IPアドレス> anywhere udp dpts:64297 REJECT tcp -- anywhere anywhere tcp dpts:64294:64295 reject-with icmp-port-unreachable REJECT udp -- anywhere anywhere udp dpts:64294:64295 reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpts:64297 reject-with icmp-port-unreachable REJECT udp -- anywhere anywhere udp dpts:64297 reject-with icmp-port-unreachable Chain FORWARD (policy DROP) target prot opt source destination DOCKER-USER all -- anywhere anywhere DOCKER-ISOLATION-STAGE-1 all -- anywhere anywhere <中略>
最後に
・設定の開始時にiptablesで制限するPort範囲を64200-64300で設定しようとしていたが、
KibanaやES headへのアクセスが制限されたため64294,64295,64297に絞って設定した。
上記の設定直後に白い画面が出てきて焦ったのが今回のハマりポイントだった。
・6/1ぐらいまでの期間限定で自宅学習用にAutoSpyやKibanaの無料講習が各社様から提供されているので
この機に積極的に受講してレベルアップを図りたい。
・5/12 に開催された第42回OWASP Sendai ミーティングにオンライン参加できて良かった。
この時に紹介されたspiderfootがT-Potにも含まれているため月次報告の際に有効利用する。
ハニーポット運用(月次報告:2020年4月)
全国的に暖かい気温になり春から初夏への訪れを最近感じる。 5月4日に政府発表で緊急事態宣言の延長が発表される予定だが、経済への影響を鑑みてこの気温の変化が経済に少しでもプラスになってくれることを祈っている。
T-Potにて1か月運用した結果を記載する。
前提条件
運用日時:2020年4月1日-2020年4月30日
運用期間:30日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先々月比 |
---|---|---|---|
1 | Dionaea | 8,533,337 | △32,342 |
2 | Cowrie | 2,715,080 | ▲582,156 |
3 | Heralding | 1,594,869 | ▲318,432 |
4 | Honeytrap | 519,154 | ▲101,599 |
5 | Rdpy | 40,925 | ▲1,944 |
6 | Adbhoney | 4,939 | ▲967 |
7 | Tanner | 4,116 | ▲1,727 |
8 | Ciscoasa | 1,646 | △238 |
9 | Mailoney | 1,511 | ▲25,057 |
10 | ElasticPot | 488 | △421 |
- Result
- 全体的に先月と変わらずだがMailoneyの件数が大きく減少している。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | China | 1,702,381 | 4(↑) |
2 | Russia | 1,385,927 | 1(↓) |
3 | Vietnam | 1,047,417 | 2(↓) |
4 | Republic of Korea | 565,615 | 19(↑) |
5 | Ireland | 559,988 | 6(↑) |
6 | Bulgaria | 558,934 | 9(↑) |
7 | Japan | 531,350 | 3(↓) |
8 | Taiwan | 495,432 | 7(↓) |
9 | United States | 495,268 | 10(↑) |
10 | Indonesia | 428,725 | 11(↑) |
11 | Ukraine | 316,888 | 14(↑) |
12 | France | 302,971 | 18(↑) |
13 | India, | 293,612 | 5(↓) |
14 | Brazil | 248,575 | 8(↓) |
15 | Panama | 236,282 | 圏外(↑) |
16 | Republic of Moldova | 233,774 | 12(↓) |
17 | Venezuela | 212,174 | 12(→) |
18 | Turkey | 194,791 | 圏外(↑) |
19 | Canada | 156,780 | 圏外(↑) |
20 | Netherlands | 149,251 | 16(↓) |
- Result
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | CNT |
---|---|---|
1 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 108 |
2 | CVE-2020-8515 CVE-2020-8515 | 90 |
3 | CVE-2019-0708 CVE-2019-0708 | 38 |
4 | CVE-1999-0016 | 5 |
5 | CVE-2017-0143 | 1 |
- Result
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | sa | 3,023,218 |
2 | root | 189,927 |
3 | admin | 91,414 |
4 | user | 9,199 |
5 | nproc | 5,751 |
6 | support | 3,701 |
7 | sh | 3,330 |
8 | test | 3,027 |
9 | enable | 2,463 |
10 | postgresll | 2,460 |
11 | ubuntu | 2,145 |
12 | deploy | 1,230 |
13 | linuxshell | 1,222 |
14 | oracle | 861 |
15 | git | 697 |
16 | ftpuser | 690 |
17 | guest | 645 |
18 | default | 565 |
19 | 666666 | 434 |
20 | www | 421 |
- Result
- saが1位に返り咲いた。使用される文字列の傾向は先月と変更なし。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 168,457 |
2 | & | 20,346 |
3 | 123456 | 9,055 |
4 | user | 7,097 |
5 | nproc | 5,737 |
6 | 12345678 | 5,588 |
7 | password | 5,443 |
8 | 3,819 | |
9 | support | 3,290 |
10 | shell | 3,235 |
11 | 123123 | 2,676 |
12 | system | 2,573 |
13 | 1q2w3e4r | 1,815 |
14 | 1qaz2wsx | 1,609 |
15 | root | 1,539 |
16 | 123456789 | 1,466 |
17 | 11111111 | 1,428 |
18 | 12345 | 1,402 |
19 | qwertyui | 1,212 |
20 | development | 1,206 |
- Result
- 先月より大きな変更点は無し。
最後に
ハニーポット運用(Yaraルールを学ぶ}
最近は自宅でのリモートワークが増えたため運動量がめっきりと減った。 少しでもカロリー消費を思い、ランニングしたが足が釣ってしまい家にいる時間が増え更に体重がました。 デブ活待ったなしである。
仕事の空き時間にYaraルールについて学ぶことにした。Honeypotもあるのでより実態に近い攻撃の観測ができるだろう。
Yaraルールとは
・ YARAは、マルウェア研究者がマルウェアサンプルを識別し分類するのを支援することを目的としたツール。
・ YARAを使うと、テキストパターンやバイナリパターンに基づいて、マルウェアファミリーの説明文を作成することができる。
・ OpenSourceで構成されたPythonベースのツールでありマルウェア解析に有益である。
Yaraルールのフォーマット
1 rule silent_banker : banker 2 { 3 meta: 4 description = "This is just an example" 5 threat_level = 3 6 in_the_wild = true 7 strings: 8 $a = {6A 40 68 00 30 00 00 6A 14 8D 91} 9 $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} 10 $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" 11 condition: 12 $a or $b or $c 13 } 1 rule句 Yaraルールで設定するルール名を指定する 3 meta句 Yaraルールの説明内容を指定する 7 strings句 検索条件を指定する。文字列、バイナリ 11 condition句 検索条件に対する論理条件(or , and)を指定する。
Yaraルールの検知例
最近のT-Potの活動状況からYaraルールで攻撃状況を確認してみる。
※使用するのは以下のGithubのデータを利用する。
github.com
まずはheraldingから。
# yara rules-master/index.yar /data/heralding/session.csv.14.gz rules-master/./crypto/crypto_signatures.yar(11): warning: $c0 in rule Big_Numbers0 is slowing down scanning <中略> CRC32c_poly_Constant /data/heralding/log/session.csv.14.gz possible_includes_base64_packed_functions /data/heralding/log/auth.csv.14.gz
cowireには目ぼしいデータが無かった。
(´・ω・`)ショボーン
dionaeaはwanacryばかりかと思い確認すると嬉しい発見があった。
# ls -al /data/dionaea/binaries/ /data/dionaea/binaries/: total 920436 drwxrwx--- 2 tpot tpot 12288 May 1 06:53 . drwxrwx--- 8 tpot tpot 4096 May 1 06:52 .. -rw------- 1 tpot tpot 5267459 May 1 04:01 01bdc6fb077098f4a3b60f4b0e479a7f <サイズ5267459のこのへんはwanacry関連のため中略> -rw------- 1 tpot tpot 5267459 May 1 03:55 af26cb0a1db5f669ded0944f6e939a55 -rw-r--r-- 1 tpot tpot 1952 May 1 06:25 AV.lnk -rw-r--r-- 1 tpot tpot 1952 May 1 05:10 AV.lnk.~1~ -rw-r--r-- 1 tpot tpot 1952 May 1 05:38 AV.lnk.~2~ -rw-r--r-- 1 tpot tpot 1952 May 1 05:47 AV.lnk.~3~ -rw-r--r-- 1 tpot tpot 1952 May 1 06:02 AV.lnk.~4~ -rw-r--r-- 1 tpot tpot 116416 May 1 06:52 AV.scr -rw-r--r-- 1 tpot tpot 6165527 May 1 04:53 AV.scr.~1~ -rw-r--r-- 1 tpot tpot 3637004 May 1 06:11 AV.scr.~10~ -rw-r--r-- 1 tpot tpot 785358 May 1 06:17 AV.scr.~11~ -rw-r--r-- 1 tpot tpot 6183325 May 1 06:25 AV.scr.~12~ -rw-r--r-- 1 tpot tpot 580895 May 1 06:38 AV.scr.~13~ -rw-r--r-- 1 tpot tpot 1899407 May 1 06:46 AV.scr.~14~ -rw-r--r-- 1 tpot tpot 722030 May 1 05:00 AV.scr.~2~ -rw-r--r-- 1 tpot tpot 5249784 May 1 05:10 AV.scr.~3~ -rw-r--r-- 1 tpot tpot 6184265 May 1 05:18 AV.scr.~4~ -rw-r--r-- 1 tpot tpot 6185614 May 1 05:29 AV.scr.~5~ -rw-r--r-- 1 tpot tpot 6170342 May 1 05:38 AV.scr.~6~ -rw-r--r-- 1 tpot tpot 6183999 May 1 05:47 AV.scr.~7~ -rw-r--r-- 1 tpot tpot 6185540 May 1 05:54 AV.scr.~8~ -rw-r--r-- 1 tpot tpot 6217504 May 1 06:02 AV.scr.~9~ -rw------- 1 tpot tpot 5267459 May 1 05:45 b91b5718554c4112a004de392d608c5b <サイズ5267459のこのへんはwanacry関連のため中略> -rw------- 1 tpot tpot 5267459 May 1 05:40 ffafe05991d988d69f994b0b863b32b9 -rw-r--r-- 1 tpot tpot 1952 May 1 06:52 Photo.lnk -rw-r--r-- 1 tpot tpot 1952 May 1 04:53 Photo.lnk.~1~ -rw-r--r-- 1 tpot tpot 1952 May 1 06:25 Photo.lnk.~10~ -rw-r--r-- 1 tpot tpot 1952 May 1 06:39 Photo.lnk.~11~ -rw-r--r-- 1 tpot tpot 1952 May 1 06:46 Photo.lnk.~12~ -rw-r--r-- 1 tpot tpot 1952 May 1 05:00 Photo.lnk.~2~ -rw-r--r-- 1 tpot tpot 1952 May 1 05:10 Photo.lnk.~3~ -rw-r--r-- 1 tpot tpot 1952 May 1 05:35 Photo.lnk.~4~ -rw-r--r-- 1 tpot tpot 1952 May 1 05:38 Photo.lnk.~5~ -rw-r--r-- 1 tpot tpot 1952 May 1 05:47 Photo.lnk.~6~ -rw-r--r-- 1 tpot tpot 1952 May 1 05:54 Photo.lnk.~7~ -rw-r--r-- 1 tpot tpot 1952 May 1 06:02 Photo.lnk.~8~ -rw-r--r-- 1 tpot tpot 1952 May 1 06:11 Photo.lnk.~9~ -rw-r--r-- 1 tpot tpot 259894 May 1 06:52 Photo.scr -rw-r--r-- 1 tpot tpot 6206815 May 1 05:36 Photo.scr.~1~ -rw-r--r-- 1 tpot tpot 6186014 May 1 05:49 Photo.scr.~10~ -rw-r--r-- 1 tpot tpot 6192379 May 1 05:56 Photo.scr.~11~ -rw-r--r-- 1 tpot tpot 6196807 May 1 06:05 Photo.scr.~12~ -rw-r--r-- 1 tpot tpot 29712 May 1 06:11 Photo.scr.~13~ -rw-r--r-- 1 tpot tpot 461070 May 1 06:20 Photo.scr.~14~ -rw-r--r-- 1 tpot tpot 6171194 May 1 06:29 Photo.scr.~15~ -rw-r--r-- 1 tpot tpot 6202331 May 1 06:33 Photo.scr.~16~ -rw-r--r-- 1 tpot tpot 233660 May 1 06:40 Photo.scr.~17~ -rw-r--r-- 1 tpot tpot 1085456 May 1 06:48 Photo.scr.~18~ -rw-r--r-- 1 tpot tpot 6186733 May 1 05:36 Photo.scr.~2~ -rw-r--r-- 1 tpot tpot 59210 May 1 05:02 Photo.scr.~3~ -rw-r--r-- 1 tpot tpot 236740 May 1 05:13 Photo.scr.~4~ -rw-r--r-- 1 tpot tpot 6191361 May 1 05:20 Photo.scr.~5~ -rw-r--r-- 1 tpot tpot 6200562 May 1 05:24 Photo.scr.~6~ -rw-r--r-- 1 tpot tpot 6197144 May 1 05:31 Photo.scr.~7~ -rw-r--r-- 1 tpot tpot 6190216 May 1 05:35 Photo.scr.~8~ -rw-r--r-- 1 tpot tpot 6181605 May 1 05:41 Photo.scr.~9~ -rw-r--r-- 1 tpot tpot 1952 May 1 06:46 Video.lnk -rw-r--r-- 1 tpot tpot 1952 May 1 04:53 Video.lnk.~1~ -rw-r--r-- 1 tpot tpot 1952 May 1 05:00 Video.lnk.~2~ -rw-r--r-- 1 tpot tpot 1952 May 1 05:10 Video.lnk.~3~ -rw-r--r-- 1 tpot tpot 1952 May 1 05:38 Video.lnk.~4~ -rw-r--r-- 1 tpot tpot 1952 May 1 05:47 Video.lnk.~5~ -rw-r--r-- 1 tpot tpot 1952 May 1 06:02 Video.lnk.~6~ -rw-r--r-- 1 tpot tpot 1952 May 1 06:25 Video.lnk.~7~ -rw-r--r-- 1 tpot tpot 69629 May 1 06:50 Video.scr -rw-r--r-- 1 tpot tpot 6181128 May 1 05:40 Video.scr.~1~ -rw-r--r-- 1 tpot tpot 6179167 May 1 05:59 Video.scr.~10~ -rw-r--r-- 1 tpot tpot 6203518 May 1 06:07 Video.scr.~11~ -rw-r--r-- 1 tpot tpot 1033832 May 1 06:16 Video.scr.~12~ -rw-r--r-- 1 tpot tpot 266838 May 1 06:22 Video.scr.~13~ -rw-r--r-- 1 tpot tpot 4958610 May 1 06:37 Video.scr.~14~ -rw-r--r-- 1 tpot tpot 270741 May 1 06:43 Video.scr.~15~ -rw-r--r-- 1 tpot tpot 6189680 May 1 05:40 Video.scr.~2~ -rw-r--r-- 1 tpot tpot 1157787 May 1 05:40 Video.scr.~3~ -rw-r--r-- 1 tpot tpot 6181557 May 1 05:40 Video.scr.~4~ -rw-r--r-- 1 tpot tpot 6179896 May 1 05:40 Video.scr.~5~ -rw-r--r-- 1 tpot tpot 6193504 May 1 05:40 Video.scr.~6~ -rw-r--r-- 1 tpot tpot 6194120 May 1 05:40 Video.scr.~7~ -rw-r--r-- 1 tpot tpot 6183906 May 1 05:45 Video.scr.~8~ -rw-r--r-- 1 tpot tpot 6166708 May 1 05:52 Video.scr.~9~
Photo.lnk、Photo.scr、Video.lnk.、Video.scr.から始まる見慣れないファイルがある。 Yaraスキャンで確認してみる。
# yara rules-master/index.yar /data/dionaea/binaries/Video.scr rules-master/./crypto/crypto_signatures.yar(11): warning: $c0 in rule Big_Numbers0 is slowing down scanning <中略> rules-master/./packers/peid.yar(68951): warning: $a in rule StarForce_V1X_V5X_StarForce_Copy_Protection_System_20090906 is slowing down scanning SEH_Save /data/dionaea/binaries/Video.scr SEH_Init /data/dionaea/binaries/Video.scr maldoc_find_kernel32_base_method_1 /data/dionaea/binaries/Video.scr IsPE32 /data/dionaea/binaries/Video.scr IsWindowsGUI /data/dionaea/binaries/Video.scr HasDebugData /data/dionaea/binaries/Video.scr IsBeyondImageSize /data/dionaea/binaries/Video.scr HasRichSignature /data/dionaea/binaries/Video.scr VC8_Microsoft_Corporation /data/dionaea/binaries/Video.scr Microsoft_Visual_Cpp_8 /data/dionaea/binaries/Video.scr
なんか色々出ている。
SEH_Save・・・アンチデバッキング(Tactic_DefensiveEvasion Technique_AntiDebugging SubTechnique_SEH) SEH_Init・・・アンチデバッキング(Tactic_DefensiveEvasion Technique_AntiDebugging SubTechnique_SEH) maldoc_find_kernel32_base_method_1 IsPE32・・・PE32ファイルの確認 IsWindowsGUI・・・WindowsGUIファイルの確認 HasDebugData・・・アンチデバッキング IsBeyondImageSize・・・画像サイズを超えたデータチェック HasRichSignature・・・Rich Signatureの確認 VC8_Microsoft_Corporation・・・Microsoft Visual C++ 8のファイル Microsoft_Visual_Cpp_8・・・Microsoft Visual C++ 8のファイル
よりサイズの少ないファイルも確認してみる。
# ls -alR /data/dionaea/binaries/yara rules-master/index.yar /data/dionaea/binaries/Video.scr.~3~ rules-master/./crypto/crypto_signatures.yar(11): warning: $c0 in rule Big_Numbers0 is slowing down scanning <中略> rules-master/./packers/peid.yar(68951): warning: $a in rule StarForce_V1X_V5X_StarForce_Copy_Protection_System_20090906 is slowing down scanning DebuggerException__SetConsoleCtrl /data/dionaea/binaries/Video.scr.~3~ SEH_Save /data/dionaea/binaries/Video.scr.~3~ SEH_Init /data/dionaea/binaries/Video.scr.~3~ anti_dbg /data/dionaea/binaries/Video.scr.~3~ win_files_operation /data/dionaea/binaries/Video.scr.~3~ Str_Win32_Winsock2_Library /data/dionaea/binaries/Video.scr.~3~ CRC32_poly_Constant /data/dionaea/binaries/Video.scr.~3~ CRC32_table /data/dionaea/binaries/Video.scr.~3~ maldoc_find_kernel32_base_method_1 /data/dionaea/binaries/Video.scr.~3~ PE_File_pyinstaller /data/dionaea/binaries/Video.scr.~3~ IsPE32 /data/dionaea/binaries/Video.scr.~3~ IsWindowsGUI /data/dionaea/binaries/Video.scr.~3~ IsPacked /data/dionaea/binaries/Video.scr.~3~ HasOverlay /data/dionaea/binaries/Video.scr.~3~ HasDebugData /data/dionaea/binaries/Video.scr.~3~ HasRichSignature /data/dionaea/binaries/Video.scr.~3~ VC8_Microsoft_Corporation /data/dionaea/binaries/Video.scr.~3~ Microsoft_Visual_Cpp_8 /data/dionaea/binaries/Video.scr.~3~
Packerによる圧縮処理などが追加されていた。
DebuggerException__SetConsoleCtrl・・・アンチデバッキング SEH_Save・・・アンチデバッキング(Tactic_DefensiveEvasion Technique_AntiDebugging SubTechnique_SEH) SEH_Init・・・アンチデバッキング(Tactic_DefensiveEvasion Technique_AntiDebugging SubTechnique_SEH) anti_dbg・・・アンチデバッキング win_files_operation・・・Windowsの実行形式ファイル Str_Win32_Winsock2_Library・・・Win32_Winsock2_Libraryの使用 CRC32_poly_Constant CRC32_table・・・CRC32 Tablesの確認 maldoc_find_kernel32_base_method_1 PE_File_pyinstaller・・・Windows形式のpythonインストーラ IsPE32・・・PE32ファイルの確認 IsWindowsGUI・・・WindowsGUIファイルの確認 IsPacked・・・Packerによる圧縮確認 HasOverlay・・・overlay planeの確認 HasDebugData・・・アンチデバッキング HasRichSignature・・・Rich Signatureの確認 VC8_Microsoft_Corporation・・・Microsoft Visual C++ 8のファイル Microsoft_Visual_Cpp_8・・・Microsoft Visual C++ 8のファイル
VirusTotalで確認してみる。
PE32形式のCoinMinerマルウェアだった。
こちらはダウンローダだった。
VirusTotalでは何も検出されないがこのリンクを踏ませてから動くようだ。 AV.linkの下のtester1234.exeが本体だろうか。
世界的にリモートワークが増えているので攻撃の傾向も変わっているようにみえる。
ルールとSnortルールの違いについて
Yaraルールを勉強すると類似のルールとしてSuricataなどでも利用されるSnortルールがある。 Suricataを学ぶにあたってYaraルールとの差異を疑問に思っていたが、Googleドキュメントでその比較について分かりやすく解説されていた。
Snortルールはかなり複雑です。 Yaraルールは非常にシンプルです。
Snort ルールは、検出/予防/パケットキャプチャにも有効にできます。 Yara ルールは主にマルウェアの分類に使用され、これを利用して IDS ルールを作成することができます。
Yara は文字列、正規表現、16進数を受け付けます。
主な違いは、Yaraがマルウェアの分類に役立つのに対し、snortはIDSアラートを有効にするための実際のルールを構築するのに役立ちます。
マルウェアの解析にはYaraルールの方が便利ということか。
Yaraルールの書き方は以下のURLが参考になる。
最後に
調査で利用したmalwareは安全にスタッフがすべて削除しました。
ハニーポット運用(ハニーポットの運転資金}
果たしてこの投稿は日の目を見ることがあるのか?
コロナウィルスが猛威を振るう4月中旬のある日に本記事を書いている。
筆者が個人運用しているハニーポットはVPSで動作しており6000円/月の費用がかかる。
はっきり言って赤字である。所属会社からの経済援助はないので、貧乏にならないためには個人で稼ぐ必要が出てくる。
運転資金の確保
何をおいてもお金は必要である。ハニーポットの運用に限らず赤字にならないためには以下2点の方法がある。
①元の支出額をなるべく抑える
②支出以上に収入を増やす
色々調べるとハニーポッター界隈で『①元の支出額をなるべく抑える』に関する記事は多くみられる。技術者の運用技術の腕の見せ所であり、大変参考になる。しかしながら、(例えば筆者のような)技術力に不安のある運用者やある程度の規模のハニーポットを運用したい場合はどうすればよいのか?
答えは簡単。金に物を言わせる『②支出以上に収入を増やす』のである。
具体的なアプローチ
世間は副業ブームである。平成30年1月に厚生労働省から「副業・兼業の促進に関するガイドライン」が提示され、副業・兼業の普及促進を図っている。
まず思いつくのはバグバウンティである。
脆弱性を見つけて報奨金をもらい、自身のスキルを磨きながらお金も貰いウハウハ生活を送りたい。と夢にみる。
しかしながら筆者のような貧乏サラリーマン(with 低スキル)に副業は可能だろうか?
ほぼ無理であろう。副業の時間がないし、仕事以外にできることもない。
そもそも土日は会社のCTF活動(with 無給)で潰れるしね。(〃'∇'〃)ゝエヘヘ
ではどうすればいいのか?
現在はコロナショックでリモートワークとなり、外に出ることさえできない ...
株だ!!
株は種銭さえあれば開始できる。ロングポジションであれば常に張り付く必要はない。
コロナショックにより株価が下がった有望株を買い集め、利回りのいい株に投資して配当金+株主優待でハニーポットの運転資金を稼ぐのである
そう言ったわけで、勤務時間外の隙間時間を利用して株投資を始めることにした。
ポートフォリオ?なにそれ、おいしいの? 今はひたすら勉強中である。
今後の活動方針
・もはや本末転倒の気がしないでもないが、機会があれば月次のハニーポット報告と併せて株運用の収支報告もしたいと思う。
・退職金の余剰資金を溶かして絶望する老後を過ごさない+会社に依存しないサラリーマンを目指すために今後も投資は勉強していく。
情報処理安全確保支援士制度が見直しですって!!
最近在宅勤務が続いており、通勤時間が不要な分時間に余裕ができた。
こういうときは新しいことを始めるに限る。
筆者も朝早起きして経済ニュースのチェックやランニングを始めた。
またハニーポットの運転資金を自分で稼ぐために投資も始めた。
投資については機会があれば、本ブログで紹介したいと思う。
情報処理安全確保支援士の見直しについて
2019年12月6日(金)に公布された情報処理の促進に関する法律の改正法により、以下の内容が改正された。
改正概要
(1)更新制の導入
登録された資格に有効期限が設けられ、登録を行った日から3年間となります。期限内に義務講習を受講し、登録セキスペ自ら>が更新手続きを行う必要があります。更新手続きが行われない場合には、登録が失効します。(2)義務講習の実施事業者の追加
これまで、資格維持に必要な講習は、独立行政法人情報処理推進機構(IPA)だけが実施していました。今後は、一定の条件を>満たした民間事業者等の講習(「特定講習」という)も対象となります。
(1)が支援士向け、(2)が支援士向けの義務講習実施事業者向けの内容になっている。
この内、(1)は支援士資格の更新に関する件なので登録者は特に注意したい内容である。
今後の流れ
2020年3月2日に経済産業省から以下のパブリックコメント情報が提示された。
(1)登録更新申請書の受付期限について
:情報処理安全確保支援士が登録の更新を行うためには、所定の要件を満たしたうえで、更新期限の60日前までにIPAに登録更新申請書を提出する必要があります。 2017年4月1日登録及び2017年10月1日登録の情報処理安全確保支援士においては、2020年8月1日(消印有効)が申請書の受付期限となります。また、登録更新申請書の受付開始は改正情促法施行日の5月15日を予定しております。手続きの方法や様式は、受付開始後にご案内させていただきますのでお待ちください。なお、更新手数料はかかりません。 2018年4月1日登録以降の情報処理安全確保支援士における、登録更新申請書の受付開始日につきましては、別途ご連絡させていただきます。
(2)特定講習の要件について
:IPAが実施する講習に加えて、経済産業大臣が定める特定講習の要件が記載されました。 (第三十四条 第2項)第三十四条 第2項 改正情促法施行日以降、経済産業省から特定講習の募集要件が公表される予定です。
一旦更新手続きの詳細は5月15日以降に公開予定の詳細情報を待つ必要があるようだ。
忘れずに更新したい。