DNRHでハニーポット その1
前回に引き続き、実際に稼働させる為に準備しました。
長い間、不調で眠っていたNetScreenをリセットして設定しなおし、稼働させました。
構成としては、次のような感じです。
[INTERNET] - [NetScreen] --- [DNRH] ハニーポット
|- [NAS]
|- [Hub] --- [NotePC]
|- [DeskPC]
|- [ServerA]
|- [ServerB]
今回はServerAがいろいろとサービスを稼働させている為、実際に蜜をしかけられるのは以下のポートだけです。
- 42/tcp nameserver
- 111/tcp rpcbind
- 135/tcp msrpc
- 139/tcp netbios-ssn
- 220/tcp imap3
- 445/tcp microsoft-ds
- 1023/tcp netvenuechat
- 1025/tcp NFS-or-IIS
- 2105/tcp eklogin
- 3372/tcp msdtc
- 5000/tcp UPnP
- 17300/tcp kuang2
有名どころのポートはほとんど塞がっていますが,果たしてこれで引っかかってくれるのでしょうか・・・。
という事で、早速稼働させました。
数時間後・・・。
キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
噂には聞いていましたが、まさかこんなに早くかかるとは思いませんでした。
[ info module ] 72 4
[ info module ] SMB Session Request 72
D CKFDENECFDEFFCFGEFFCCACACACACACA
コレとか、いかにも!って感じです。感動。
[ warn handler dia ] Unknown DCOM Shellcode (Buffer 137 bytes) (State 0)
[ warn handler dia ] Unknown DCOM Shellcode (Buffer 0 bytes) (State 0)
[ warn handler dia ] Unknown DCOM Shellcode (Buffer 0 bytes) (State 1)
[ warn sc handler ] codeSize (222) > postSize (186), maybe broken xor?
[ info down mgr ] Handler tftp download handler will download tftp://*******/ssms.exe
[ info down handler dia ] Downloaded file tftp://*******/ssms.exe 156672 bytes
[ info mgr submit ] File 2fa0e36b36382b74e6e6a437ad664a80 has type PE32 executable for MS Windows (GUI) Intel 80386 32-bit
しっかりバイナリもいただきました。やった!
でも、残念な事に,今回はNepenthesしか入れてなかったので・・・肝心のパケットデータとかがありません(TT)
そこで、Iplogを入れてみる事にしました。
こちらからダウンロードします。
で、解凍。
wget http://prdownloads.sourceforge.net/ojnk/iplog-2.2.3.tar.gz
tar zxvf iplog-2.2.3.tar.gz
cd iplog-2.2.3.tar.gz
libpcapが必要みたいなので、こちらからダウンロードしてインストールします。
wget http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz
tar zxvf libpcap-1.0.0.tar.gz
cd libpcap-1.0.0
./configure
make
make install
後はiplogをインストール。
make
make install
make時に print_help でエラーが発生したので、めんどくさいので関数内のコードを消しました(←
動作には問題ないはずです。
後は実行させておけば /var/log/messages に溜まっていきます。
/usr/local/sbin/iplog
tail /var/log/messages
早速NetScreenから大量のICMPが飛んできている(4秒ごとに)事が分かったので、
設定を見直してICMP飛ばさないようにしました。
更にwiresharkを入れて、tsharkを使ってパケットキャプチャも行ってみます。
tshark -i eth0 -l -w log.pcap
これで log.pcap にログが保存されます。
・・・12時間後・・・
2種のバイナリが取れていました。
他にも興味深いパケットやログが多数!
コレの意味するところというのは、やはり
ルータかFWは必須
という事でしょうか。だって、ルータがなければ・・・これ・・・全部ホストに来ちゃいますもんね。。
セキュリティパッチを当てる事の重要性や、ルータ(というか使わないポートを塞ぐ事)の重要性が改めて分かりました('-')