0[]0[]--ee--ee

慶應義塾大学 政策・メディア研究科白畑　真 <true@sfc.wide.ad.jp>

0[]0[]--ee--ee

～未使用アドレス空間を利用したハニーポットの運用～

0[]0[]--ee--ee

自己紹介

n 白畑　真n 慶應義塾大学　政策・メディア研究科/

村井研究室n インターネットセキュリティ(IDS, Honeypot)

n 株式会社クララオンラインn 専用サーバ, Web ホスティングn ネットワークエンジニア

n といいつつもサーバなどもやってます

0[]0[]--ee--ee

目的

nインターネット上におけるセキュリティリスクの計量nワーム/ウィルス感染ホストの規模の推定nアタックに悪用されているホストの傾向分析

0[]0[]--ee--ee

関連手法: Darknet

n AS65531がインターネットに10.0.0.0/8の経路を広報している場合n 顧客用Prefixへはlongest matchで本来のnext hopへn AS内で未使用のアドレス空間宛のパケットが

計測サーバにAS 65531

計測サーバ10.0.0.0/8

Customer A10.1.0.0/16

Customer B10.2.0.0/16

Internet

0[]0[]--ee--ee

関連手法(続き)

n The Team Cymru Darknet Project n http://www.cymru.com/Darknet/

n Network telescopen http://www.caida.org/analysis/security/telescope/

n Internet Motion Sensorn http://ims.eecs.umich.edu/index.html

n Backscatter,ワームの観測

0[]0[]--ee--ee

手法

n 低インタラクション型ハニーポットをネットワークに配置、アクセス傾向を分析n 低インタラクション型ハニーポットn サーバの動作をエミュレートn 実際にホストには侵入させず

0[]0[]--ee--ee

dumnet

n 低インタラクション型ハニーポットソフトn 村上さん(LAC) 作

n 動作n すべての TCP SYN に対して SYN+ACK を返答n すべての ICMP ECHO Request に対して ECHO

Reply を返答n Bind() しないので、広いアドレス空間にも容易に適用

可能ê

n 全TCPポートが開かれているかのように振る舞う

0[]0[]--ee--ee

ハニーポットのメリット

n 未知のワームや攻撃コードを入手できる(はず)n ポート番号だけではわからない内容を入手可能

n 例: Windows RPCn Windows は 135~139, 443 番ポートをさまざまな目的に利用n 同じポートに様々な種類のアタック

n 未知のウィルス/ワームを捕獲可能

n IP Address Spoofingを判別できるn TCP の 3way handshake が成立するか

0[]0[]--ee--ee

ハニーポットのデメリット

n 存在しないはずのホストから返事が…n なんか気持ち悪い

n トラフィックが増えるn いまのところ数百kbps程度の増加(/16)

0[]0[]--ee--ee

現在の構成

n 202.X.X.0/24 * 3 n 133.X.0.0/16

DumnetDumnet

mwcollectIGP的Default Route

133.X.0.0/16

133.X.Y.0/24

* DIX-IE/NSPIXP3 peer only

ManagementNetwork

Management Network

0[]0[]--ee--ee

観測結果

n サイトCn Routable on the

Global Internet

n 5/16 19:16 ~ 6/26 16:46

n 90万0620件n 約2.3万件/日n 約261件/アドレス/日n 約5.5分/件

n サイトWn DIX-IE/NSPIXP-3

Peer onlyn Mostly from Japan

n 6/13 18:37~ 6/25 17:59n 1億2396万4200件

n 約1466.2万件/日n 約157件/アドレス/日n 約9分/件

0[]0[]--ee--ee

国名データの取得

nMaxMind GeoIPn http://www.maxmind.com/nRIRのWhoisから取得した(?)データをも

とに、IPアドレスと国名のマッピングを提供するAPI

nアクセス元のIPアドレスの国名を調査

0[]0[]--ee--ee

サイトC: Source IP プロトコル分析(Routable on the global Internet)

0%

20%

40%

60%

80%

100%5/

165/

185/

205/

225/

245/

265/

285/

30 6/1

6/3

6/5

6/7

6/9

6/11

6/13

6/15

6/17

6/19

6/21

6/23

6/25

TCP UDP ICMP

0[]0[]--ee--ee

サイトW: Source IP プロトコル別分析(Mostly from Japan)

Source IP Address Count

0%

20%

40%

60%

80%

100%

2005

/6/13

2005

/6/14

2005

/6/15

2005

/6/16

2005

/6/17

2005

/6/18

2005

/6/19

2005

/6/20

2005

/6/21

2005

/6/22

2005

/6/23

2005

/6/24

2005

/6/25

TCP UDP ICMP

0[]0[]--ee--ee

Source IPアドレス

n ワーム/ウィルス感染ノード数の推計(TCP)n サイトC: 776,318アドレス

n うち日本国内: 64,813アドレス

n サイトW: 203,611アドレスn うち日本国内: 112,604アドレス

n 日本国内の感染アドレス数 > 約11万

0[]0[]--ee--ee

トラフィックのの推移 (サイトC)average pps/bps

0

20

40

60

80

100

120

140

5/16

5/19

5/22

5/25

5/28

5/31 6/3 6/6 6/9 6/1

26/1

56/1

86/2

16/2

4

pps

010,00020,00030,00040,00050,00060,00070,00080,00090,000

bps

pps bps

0[]0[]--ee--ee

パケット数の推移(サイトC)

Packet Count

0

1,000,000

2,000,000

3,000,000

4,000,000

5,000,000

6,000,000

7,000,000

8,000,000

9,000,000

10,000,000

11,000,000

5/17

5/18

5/195/2

05/2

15/2

25/2

35/2

45/2

55/2

65/2

75/2

85/2

95/3

05/3

1 6/1 6/2 6/3 6/4 6/5 6/6 6/7 6/8 6/9 6/10

6/116/1

26/1

36/1

46/1

56/1

66/1

76/1

86/1

96/2

06/2

16/2

26/2

36/2

46/2

5

pkts

/day

tcp udp icmp

0[]0[]--ee--ee

OSの検出

n ハニーポットにアクセスしてきたノードのOSを推測

n p0fn Passive OS Fingerprintingツールn TCPのWindowサイズ, デフォルトTTL, TCPオ

プションの並び順などからOSを推測n http://lcamtuf.coredump.cx/p0f.shtml

0[]0[]--ee--ee

OSの割合の推移(サイトC)

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

5/16

5/17

5/18

5/19

5/20

5/21

5/22

5/23

5/24

5/25

5/26

5/27

5/28

5/29

5/30

5/31 6/

16/

26/

36/

46/

56/

66/

76/

86/

96/

106/

116/

126/

136/

146/

156/

166/

176/

186/

196/

206/

216/

226/

236/

246/

256/

26

Windows Detection Failed Others

0[]0[]--ee--ee

OS by Source IP Address

189Novell

213CacheFlow

993OpenBSD

994FreeBSD

3,699NMAP

9,799Solaris

333,671Linux

4,252,537Detection Failed

22,178,824Windows

CountOS CountOS

1HP-UX

2BSD/OS

3Redline

3PocketPC

3Eagle

12SymbianOS

19NetCache

67Cisco

0[]0[]--ee--ee

推定ホップ数

n多くのOSのDefault TTL:n 32, 64, 128, 256 のいずれか

n到着したパケットのTTLと、よくあるデフォルトTTLを比較n例: TTL 52 の場合、64-52=12なので

推定 12 hop

0[]0[]--ee--ee

推定ホップ数の推移5/

165/

185/

205/

225/

245/

265/

285/

30 6/1

6/3

6/5

6/7

6/9

6/11

6/13

6/15

6/17

6/19

6/21

6/23

6/25

~5~10

~15~20

~25~30

~3536~

0

100000

200000

300000

400000

500000

600000

700000

800000

900000

~5 ~10 ~15 ~20 ~25 ~30 ~35 36~

0[]0[]--ee--ee

3127/tcp

n 多くのWormが利用するバックドアポートn Mydoom, DoomJuice, Novarg, Solame…n 参考:

http://www.nai.com/japan/security/virM2004.asp?v=W32/Mydoom.b@MM

n アップデート機能n Mydoom.Bn 3127/tcpが開いているホストを発見すると、

ワーム自体を送り込む

0[]0[]--ee--ee

新種発見?

1. TCPストリームを再構成2. 512byte未満のファイルを除外

3. 先頭5バイト(認証コード)を除去4. ファイルの内容n file(1)コマンドで調査

認証コード ワーム本体0 5 6 可変長

0[]0[]--ee--ee

送られてきたファイル

n サイトCに送られたファイルを分析n 分析期間: 5/16 19:16 ~ 6/26 16:46n 50カ国、2718アドレスからアクセスn 全ファイルがMS-DOS executable

Source IP Address Count

Japan40%

US17%

Others24%

UnitedKingdom

5%

Taiwan6%

China8%

96%

4%

MS-DOS executable (EXE)MS-DOS executable (EXE), OS/2 or MS Windows

0[]0[]--ee--ee

ウィルススキャン

2005/7/8現在のパターンファイルで2718ファイルをスキャンしました

が、

0[]0[]--ee--ee

W32.HLLW.Doomjuice.B

9%

W32.HLLW.Doomjuice

11%

W32.HLLW.Gaobot.gen

2%Not Detected

78%

ある商用アンチウィルスソフトのスキャン結果

0[]0[]--ee--ee

ClamAVでも試してみました

n オープンソースの Anti-Virus ソフトn ウィルスシグネチャもユーザコミュニティで作成

n http://www.clamav.net/ CountVirus Name

1Worm.W32.Welchia.E

2Worm.Winur.D

4Trojan.Gobot.R

11Worm.Gaobot.336

15Worm.Mytob.GE

16Worm.Mytob.BP

25Trojan.Ghostbot.A

28Trojan.Gobot.T

30Trojan.Gobot.A

40Worm.Gaobot.HK

51Trojan.Downloader.Delf-35

Others8%

Not Detected47%

Worm.Doomjuice.B

9%

Worm.Doomjuice.A

11%

Worm.Vesser.A-1

25%

0[]0[]--ee--ee

この手法の課題

n ハニーポットのIPアドレスが判明した場合、意図的なアタックが行われる恐れ

à観測対象のIPアドレスを分散させるn他のアドレスブロックのデータから、

ある程度の補正が可能に

0[]0[]--ee--ee

ハニーポットの比較

http://www.keyfocus.net/kfsensor/

http://www.mwcollect.org/

http://tf.happyhacking.net/

URL

RequiredRequiredNot RequiredNetwork Interface

LowLowVery LowOverhead

HTTP, SMTP, CIFS, SOCKS, MS SQL, FTP, POP3, Telnet, RDP(Terminal Server), VNC, Relay

Bagle Backdoor, Windows RPC, CIFS, WINS

TCPSupported Protocols

Windows*UNIX*UNIXOS

KFSensorMwcollectdumnetSoftware

0[]0[]--ee--ee

今後の構成

dumnetmwcollect

Policy Router

KFSensor

Tunnel(TBD)

Static

Tunnel(TBD)

0[]0[]--ee--ee

今後の予定

n広域化n複数拠点での展開

nブラックリストの構築n統計手法の検討n視覚化

nレイティングn得られた情報の共有

0[]0[]--ee--ee

Q&A

0[]0[]--ee--ee

おねがい

n 未使用アドレス空間をハニーポット用にルーティングしてもいいという方n (and 計測に箱を置いてもいい)n 統計情報のみ公開n IPアドレスはいつでも返却

n ぜひ白畑 (true@sfc.wide.ad.jp) までご連絡ください！