ハニーポッターと谜のアクセス
- 4. つくり方 1. T-PotのISOファイルを取得します a. https://github.com/dtag-dev-sec/tpotce 辺り。 2. クラウドでサーバを作ります a. 4GB_MEM, 64GB_HDD(Standard.M4, 64GBで6880円)が最低ラインです 3. 設定します a. 内部でDockerで複数のサーバが構成されます b. 最終的には、観測するポートを NATでグローバルに開放します 4. 記録を見て楽しみます a. 社会情勢やアクセス傾向から、現状や今後を類推します b. 必要に応じて、防御処置を検討、実装します ※設置及び運用に際し、知識がない場合はリスクがあります。 安易に設置することはお勧めしません。
- 6. HTTPS access
- 10. Other destinations (without SSH,HTTP/HTTPS) DBのポートへの攻撃。 SIPが思ったより少なかった。
- 11. Other destination user/passwd サンプル少なすぎた。 不正アクセスしといて helpmeと はどういうことですか?
- 12. Destination port, histgram, country 安定の1433ポートasMSSQL。 445はWannaCryやSambaCry も。 PRC国が安定して多い。RUS国 は比較すると少なめ?
- 13. Network attack: Events and ports histgramnetworkScanが止まった?=探索 が終わったのかも。 port53が多いみたい。
- 14. Network attack: details PEなバイナリ置かれている。 Connectは少ない。 PRC多いね。
- 15. 雑感 ● GeoProectionは有効かもしれない ○ Russiaは、Port25への攻撃が多い様だ。 Chinaは、全部多い。 ○ 思ったよりも、USは多くないようだ ● SSH攻撃は多い ○ 複数のIPから、各IPで2-3回ずつアクセスしてくるので、 IP単体でのブロックは無効 ○ だからGeoProtectionだと、何度言ったら(ry ○ 面白アカウントあり: pi, mother, libsys, usuario,... ● ファイルを配置してくる ○ Windows用のバイナリを配置する = 水飲み場攻撃のような ○ ELFを置きにくる場合もあるようだ ● ネットワーク攻撃は多い ○ smbdへの攻撃もいまだにある = wannacry 1990年末期ごろは、数は少な かった。 攻撃元IP逆引きで日本企業 が出てきて、怪しいようであれ ば連絡してあげるのがよさそ う。
- 16. まとめ ● Firewallは非常に重要 ○ ポートが空いていなければ、サーバが脆弱でもある程度は耐えられる可能性がある。 ■ アップデート等での脆弱性対応は必要。 Vuls等使うのもよい。 ● 有名無名は関係なく、ネットワーク攻撃はある ○ このhonypotさんのグローバルIPは、数日前に取得したものだが、初期の攻撃が多い ○ ある程度有名になった IPでは、攻撃の質が少し違っているように見えた ■ サイトの構成にあった攻撃が来ている。今後の比較課題か。 ● 一般に言われる対策、は必要 ○ GeoProtectionは有効、アカウント名 /パスワードの推測難化は必須。 ○ グローバルIP/32個でのブロックは、あまり有効ではない。ゾンビネットワークを利用しているよう だ。 ● 観測による推測は有効 ○ アドレス帯への攻撃なので、この攻撃パターンが他のユーザにも来ているはず。 我々は、賢いので。
- 17. 以上です。