9月30日、CowrieにHASSH機能が実装されました。
HASSHとは、9月27日にSalesforceが公開したOSSのSSHクライアントフィンガープリンティングツールです。
技術詳細はsalesforceが公開しているblog, githubをご覧ください。
一応簡単に解説しますと、SSHのハンドシェイクで鍵交換をする段階でパケットに含まれるアルゴリズムの情報からMD5を計算します。これがFingerprintというクライアントの特徴になります。
鍵交換がされた時点でFingerprintが取れるので、SSHでログインを成功させる必要はありません。
本当に特徴が現れるのか、実際に1日程度植えて観測してみました。
わかりづらいタイトルですがやりたいことは以下。
例えば、8080番ポートでwebサーバを立てた時、80番でもアクセスしたい場合に
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
としますよね?
そうすると、外から見えるポートはこんなかんじ。
$ nmap [targetIP] Starting Nmap 7.70 ( https://nmap.org ) at 2018-06-15 20:18 JST Nmap scan report for [targetIP] Host is up (0.067s latency). Not shown: 996 closed ports PORT STATE SERVICE 80/tcp open http 8080/tcp open http-proxy Nmap done: 1 IP address (1 host up) scanned in 6.62 seconds
ポートスキャナのNmapでスキャンしてみました。
80番と8080番が空いています。繋いでみると、どちらも8080番に繋がります。
通常の使い方だとこれで良いのですが、ハニーポットなどでroot権限でプログラムを動かすのを避けるためにポートフォワーディングしている場合、80番だけを外に見せていたくなります。ポートスキャンしたときに2つも同じサービスが動いているのは怪しまれる材料になりますからね。
というわけでプログラムを8080番で動かしつつ、80番だけでサービスを動かすiptablesを設定します。
最初に大部分で参考にさせてもらった記事を載せておきます
続きを読むこの記事はHoneypot Advent Calendar25日目の記事です。
遅れすぎて年越しカウントダウンカレンダーになってしまったゾ。
今回は失敗談みたいな感じです。ためになりはしませんが、笑い話になるかなー?
あと、面倒で画像とかつける気になれなかったのでポエムっぽいですが、すみません想像してください。
ABCTFに、CTF wo Suruというチームで参加しました。
23位で3545ptでした。私は時間があまり取れずちょっとだけしか参加してません。
私は50ptと120ptを通しました。他4人のチームメンバーが強い。すごい。
というわけで120ptだけwrite up書きます。
お久しぶりです。記事を書こうとして下書きが積もっていっております・・・。 今回はサクッと。
ハニーポット入門としてよく導入されるKippo。
しかしKippoは攻撃者に対策されたり、エラーが発生したりして思うようにマルウェアやログを取ることができません。
そういうときはKippoの改良版(?)的なCowrieを使っていきましょう。
Kippo全然うまくいかないよー、どうして?となっている人をたまに見かけます。ぜひともCowrieを使ってほしいです。
今回の記事では、Kippoが何故適さないのかを考えていきたいと思います。
あまり詳細には書きませんが、いわゆるKippoの挙動解説になります。
個人的にKippoは推奨していないので、挙動について書く意味は少ないと思います。
もしKippoの導入とかあれこれについて調べていてこの記事を見つけた方は、この記事を読むよりCowrieについて調べたほうがよいかもしれません。