ハニポ系論文を紹介するよ!~Bitter Harvest: Systematically Fingerprinting Low- and Medium-interaction Honeypots at Internet Scale~
この記事はHoneypot Advent Calendar 2018の1日目の記事です。
今回はいつもと一風違って、ハニポ系論文を紹介することにします。
私は最近Fingerprint関係の研究をしていて、偶然この論文を見つけたので読んだのですが、非常に面白かったです。特に、運用者へ警鐘を鳴らしているところが!
以前TwitterとかSlackとかで簡単に紹介したような気がするけど、英文だとあまり読んでくれないよね。。。
というわけで、簡単に日本語で紹介してみようと思います。間違いや解釈違いがあるかもしれませんが、見つけたらご指摘ください。あとこういう論文紹介をブログに書くのも初めてだから作法わからないし…。(こちらも何か問題あったら連絡ください)
また、わかりやすさのために脚色も入っています。論文に示されている技術面もあまり語りません。ですので、興味があればできれば原著を読んでくださいね。
USENIX Woot'18で発表された論文、「Bitter Harvest: Systematically Fingerprinting Low- and Medium-interaction Honeypots at Internet Scale」です。
著者はケンブリッジ大学のA. VetterlさんとR. Claytonさん。
論文はこちらで読めます。
https://www.usenix.org/system/files/conference/woot18/woot18-paper-vetterl.pdf
続きを読むCowrieにHASSHが実装された
HASSH機能の紹介
9月30日、CowrieにHASSH機能が実装されました。
HASSHとは、9月27日にSalesforceが公開したOSSのSSHクライアントフィンガープリンティングツールです。
技術詳細はsalesforceが公開しているblog, githubをご覧ください。
一応簡単に解説しますと、SSHのハンドシェイクで鍵交換をする段階でパケットに含まれるアルゴリズムの情報からMD5を計算します。これがFingerprintというクライアントの特徴になります。
鍵交換がされた時点でFingerprintが取れるので、SSHでログインを成功させる必要はありません。
HASSH機能を試す
本当に特徴が現れるのか、実際に1日程度植えて観測してみました。
iptablesのnatでリダイレクト先ポートを外から直接アクセスできないようにする
やりたいこと
わかりづらいタイトルですがやりたいことは以下。
例えば、8080番ポートでwebサーバを立てた時、80番でもアクセスしたい場合に
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
としますよね?
そうすると、外から見えるポートはこんなかんじ。
$ nmap [targetIP] Starting Nmap 7.70 ( https://nmap.org ) at 2018-06-15 20:18 JST Nmap scan report for [targetIP] Host is up (0.067s latency). Not shown: 996 closed ports PORT STATE SERVICE 80/tcp open http 8080/tcp open http-proxy Nmap done: 1 IP address (1 host up) scanned in 6.62 seconds
ポートスキャナのNmapでスキャンしてみました。
80番と8080番が空いています。繋いでみると、どちらも8080番に繋がります。
通常の使い方だとこれで良いのですが、ハニーポットなどでroot権限でプログラムを動かすのを避けるためにポートフォワーディングしている場合、80番だけを外に見せていたくなります。ポートスキャンしたときに2つも同じサービスが動いているのは怪しまれる材料になりますからね。
というわけでプログラムを8080番で動かしつつ、80番だけでサービスを動かすiptablesを設定します。
最初に大部分で参考にさせてもらった記事を載せておきます
続きを読む初心者がハニーポット開発した話
この記事はHoneypot Advent Calendar25日目の記事です。
遅れすぎて年越しカウントダウンカレンダーになってしまったゾ。
今回は失敗談みたいな感じです。ためになりはしませんが、笑い話になるかなー?
あと、面倒で画像とかつける気になれなかったのでポエムっぽいですが、すみません想像してください。
ABCTF 2016 write up
ABCTF 2016 write up
ABCTFに、CTF wo Suruというチームで参加しました。
23位で3545ptでした。私は時間があまり取れずちょっとだけしか参加してません。
私は50ptと120ptを通しました。他4人のチームメンバーが強い。すごい。
というわけで120ptだけwrite up書きます。