T-pot観察 #3 2018/10/9~10/17
だいぶ日が空いてしまいましたが、3回目です。と言っても対して知識も増えていないので、いつも通り眺めるだけです。
全体のログ
いつも通りCowrieでは短時間の集中アクセスを度々受けていますね。目立つものとしてはロシアとカタールからでしょうか。カタールから集中的に飛んで来ているのは初めて見ました。しかし、そろそろ物珍しくなくなって来た感じもします。
一方今回きになるのはVnclowpotの観測ログです。若干わかりにくいですが3回波があり全て中国から来ています。日付でいうと11(6時),12(24時), 15(21時)です。
攻撃ポートは5900番ですが、調べたところVirtual Network Computing (VNC) で使用しているとのこと。Apple Remote Desktop 2.0 or laterとの表記があるので、画面共有とかそのあたりの機能でしょうか。それぞれ波ごとに別のIPから攻撃が飛んで来ていました。最多のアクセスを観測した2番目の波は全て221.229.204[.]205から来てました。
よく考えれば、vnclowpotの名前はVNCから来てるんですね。その名の通り低対話型VNCハニーポットということでしょう。ちなみに、低対話型とは特定のアプリケーションやOSをエミュレートして攻撃を待ち受けるものを言い、逆に実際の脆弱性をそのままにして観測を受けるものを高対話型と言います。基本的に私のような初心者が簡単に運用できるのは低対話型でしょう笑
こんな感じで。以上。
T-pot観察 #2 2018/10/5~10/8
めでたく2回目を迎えました。ぱちぱち
気になったこと少しだけ書きます。
目立ったものは2つ。
中国からのアクセス(10/5, 17:00~10/6, 2:00)
112.250.190[.]96からも32477回のアクセスを受けていますね。デフォルトのパスワードを試して侵入しようとしているのがわかります。
ところで以下の一枚めの画像は今回の期間、中国から受けたアクセスです。上で挙げた部分が一番目立ってはいますが、総アクセス数は1万を超えているので継続ていに狙われています。こちらはツールを使っているとの情報が出ています。sshでルートを取りに来ています。
ctf4b NEXT参加して来たよ
東京都立産業技術高等専門学校 品川キャンパスでSECCON Beginners NEXTと言うセミナーが開催されました。そんなにCTFに力を入れてやっているわけではないですが、上級者の方達はどんな思考で問題を解いているのか気になったので、ダメもとで申し込んだ結果参加できてしまいました。
やったこと
【Rev】
crackme系の問題を二問解説。
【Web+Pwn】
SECCON 2017 国内決勝で出題された問題を解説。
印象に残ったこと&感想等
【Rev】
片方は引数にフラグを入れて合っていたら正解と表示されるプログラム、もう一方はフォームが表示され同じくフラグを入力するプログラム。講義には僕は追いついていくことができませんでした。そのくらい知識不足。印象に残ったことは、RevはPlatform+Applicationの構成で問題が出され、アセンブリを読むだけではなくその構成を知っていることも正解にたどり着く近道と話していたこと。知って入れば読み飛ばすことができる部分が増えるので、その分早いし読み間違いも減る。後は、競プロをやると良いとも行ってました。講義を受けて得られたことは、問題を解く流れの把握ができたこと。
【Web+Pwn】
SoundCloudのようなページの自分たちの曲の再生数を伸ばすと言う問題。決勝の際はバグが多くてゲキ冷え問題だったらしい。とても謝っていた。こちらの講義は半分ハンズオンしながら解説の流れだったのでついて行けた。シェルを奪うところまでやったので、やはり楽しかった。得られたことしてはBurpSuiteを知れたこと(この時点で初心者です笑)。
感想
分かってはいたけどNEXTは自分には早い(と言うよりそんなにCTF練習してない)。だけども、今回は上級者さんの思考を知るという目的のもと参加したので、意味はあったと思っている。ツールの使い方とそもそものツールの存在すら把握してないものがたくさんあるので、本格的にやり始めるならそこからかなと。あと初めは自分の守備範囲は絞ったほうがいいですねやっぱり。次参加させてもらうときは普通のビギナーに参加させてもらうと思います!
T-pot観察 #1 2018/10/1~10/4
ちゃっかり記事に数字入れてますが、続くかわかりません。ハニポ(セキュリティも)初心者が自宅のハニポを見て思ったことをテキトーに綴って行きます。
アクセス
Cowrieへのアクセスが圧倒的に多いですね。時間軸で見ると、いつアクセスが多くなったのかがわかりやすいです。また国別で見ると、、
特徴が掴みやすと感じました。
大量アクセス(Cowrieで観測)
10/2の12:00~13:30の間にオランダから大量のsshアクセスがありました。134.19.187[.]78から14330回のアクセス。下の画像は同日12:00~14:00の間の記録
タグクラウドを見ると0101でのアクセスが多いです。実際に上記のIPアドレスからは0101でしかアクセスされていませんでした。下はフィルターした結果。
まだ統計日数が少ないですが、Cowrieへは1日平均1000アクセス程度に見えるので集中的にアクセスされていたと思います。
ロシアからのアクセス(Cowrie)
10/1, 9:00~10/3, 21:00の間にロシアから継続的にアクセスが続いてました。
メインは443を使用したものでしょうが、他のポートにも量の多いアクセスがきてます。
上の図のipアドレスからは全て0101でアクセスされていました。
オランダからのとも合わせて、何かDoS攻撃のキャンペーンだったのでしょうか?0101というのは昨年のパスワードワーストランキングには入っていないので、侵入できたらラッキーぐらいのものでしょうか?
中国からのアクセス
10/4, 8:30~9:00にかけて211.143.198[.]232 1704回のアクセスを記録。記録的にはtelnetを使用したJuniper ScreenOS の脆弱性の利用が疑われるとあるが、アクセス数に対して7件のみのヒットだったので、本当かは微妙かも。
一応、ポート2223を調べたところESET Remote Administratorがヒットしました。システム管理者のWebブラウザーからクライアントの設定内容の確認や変更などをネットワーク経由で行えるもの。これに対してroot権限を取りにきてるパターンもあるのかなと思ったりなんだり、、、
CVE-2012-5959 CVE-2012-5958
上記での攻撃を8030回観測しています。次に多い脆弱性の利用はCVE-2001-0540の242回なので群を抜いて多いですね。
狙われているのはUPnP機器のSSDPの脆弱性でRCEっぽいです。UPnPはそもそもネットワーク上の機器を自動的に発見・接続するもの。その中で使われているプロトコルの一つがSSDPで、機器の探索や応答を行うために使用するとのこと。
cve.mitre.org
それを利用した攻撃?としてこんなものがあるそうです。UPnP機能の自由を奪われ、LAN内への攻撃やプロキシとして利用される可能性があるものとのこと。
「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた
z3pyインストール ubuntu16.04
z3pyとは
Z3はMicrosoft Researchが開発したSAT・SMTソルバである. ブール代数の充足問題に限らず,整数や実数上の不等式を含む充足問題にも適用できる.
z3pyはZ3のPythonバインディングであり,Z3に付属している.https://wiki.mma.club.uec.ac.jp/CTF/Toolkit/z3py#A.2BMKQw8zC5MMgw.2FDDr-
githubは以下のページ
github.com
環境
python2.7.12 ubuntu16.04 z3 4.7.1
インストール
git clone https://github.com/Z3Prover/z3.git cd z3 python scripts/mk_make.py cd build make sudo make install
一応上で終わりなんですが、z3モジュールが見つからないとのことを言われた。
この質問と同じ状況だったので、もう一回下の順に実行したら通った。
python scripts/mk_make.py --python python scripts/mk_make.py cd build make sudo make install
