サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置205日目 ~Mailoneyの結果は如何に!?~

 

先日、オワスプナイトナゴヤ#2でハニーポットのLTを行ってきました。

資料をアップしましたので、興味のある方はご覧いただければと思います。

speakerdeck.com

 

相変わらず、ハニーポットの設置に迷走していますが、改めてT-POTにWOWHoneypotを仕込むことにしました。

今回の設定では、以前の私の記事とは比較にならないくらい詳細に記載されている

graneed.hatenablog.com

こちらの記事を参考にさせていただき、kibanaへの連携も真似させていただきました。

ようやくkibanaで視覚的に確認できるようになりましたので、今後の解析に役立つ…といいなぁ…

 

 

本日の攻撃状況

過去1週間の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180729220155p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180729222712p:plain

今週はCowrie以外は落ち着いた感じがしますね。 

本日の攻撃状況

本日1日の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180729223524p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180729223452p:plain

今日は、WOWHoneypot設置のために、一時的にハニーポットを止めていましたので、収集された件数はいつもとは異なります。その中で、Cowrieに次いで、徐々にMailoneyの件数が増加しているのが楽しみですね。

 

メールハニーポットの検証

前回の記事で、メールのハニーポットを作成し、怪しそうな出会い系サイトに登録し、1週間くらいが経過しました。

tk-secu.hateblo.jp

いよいよ楽しみの結果発表ですね。


SMTPのHandShake

本題に入る前に、メールのハニーポットを確認するうえで避けて通れないのが、SMTPのHandShakeですね。

 

私自身、この辺が全く理解できていませんでしたので、改めて学習することから始めましたので、備忘記録として残しておくことにします。

すでにご存じで、結果を先に見たいという方は、この項目は飛ばしていただければと思います。

ドメインの特定

まず、メールを送信するためには、メールのドメイン名から接続するSMTPサーバをDNSで特定する必要があります。ここは、HTTP通信と同様ですね。

DNSを使用して接続するSMTPサーバが決まれば、Port:25を使用して通信を開始します。

 SMTP通信の受け入れ

SMTPサーバに対する通信は、基本的に認証を行いませんので、SMTPサーバとして稼働している場合、Port:25に対して通信が行われた場合、グリーディングを送信します。

グリーディングは、3桁の数字とメッセージ文を使用してサーバの状態を送信することで、正常に受け入れる場合は「220」を返します。

グリーディングが返信されると、クライアント側は「EHLO(Extended HELLO)」か、「HELO(HELLO)」をSMTPサーバに対して送信します。

EHLOの場合は、クライアントのホスト名を必ず付けなければならないという決まりがありますが、詐称することも可能です。

メールの送信

SMTPの受け入れが完了すると、いよいよメールの送信に移ります。メールの送信は、「MAIL FROM:(差出人のメールアドレス)」コマンドによって行われます。

ここで、メールを受け入れる場合、SMTPサーバは「250 OK」を返信します。

次に、「RCPT TO:(宛先のメールアドレス)」コマンドによって、送信先のアドレスを指定します。ここでも、送信先のアドレスを受け入れる場合、SMTPサーバは「250 OK」を返信します。

続いて、クライアントから「DATA」コマンドを送信します。「DATA」コマンドが来ると、SMTPサーバはメール本文の受け入れ準備を行うため、300番台の応答コード(続きの送信待ち)を返信します。

この300番台の返信をもって、メールのヘッダや本文、添付ファイルの送信を行い、最後に「.」のみのデータを送信します。

SMTPサーバは、クライアントから送信された「.」のみのデータをもって、メールすべての送信が完了したと判断し、「250 OK」を返信します。

通信の終了

すべてのメールの送信後、クライアントは「QUIT」コマンドを送信します。それに対し、SMTPサーバが「221 good bye」を返信して、メールに関する通信は終了となります。

まとめ

SMTP HandShakeは、簡単にまとめると下図のようになります。

f:id:tk-secu:20180729234107p:plain

メールハニーポットのチェック

 

メール件数の比較

ここからが本題です。メールアドレスをばらまいた週とばらまく前の週とでは、どの程度の件数の違いが出ているのでしょうか。

f:id:tk-secu:20180729235218p:plain

メールアドレスをばらまく前とばらまいた後では、およそ4倍もの件数差が生じていることが分かります。

また、実際にメールが送信されているであろう件数を見てみると、バラマキ後は478件到着していますが、バラマキ前は1件しか到着していません。

この件数の差には、「AUTH LOGIN」コマンドが関係してそうです。

f:id:tk-secu:20180729235545p:plain

「AUTH LOGIN」で件数を比較すると、このようになります。

本来「AUTH LOGIN」コマンドが到達した後には、ユーザIDとパスワードがBASE64形式で記録されるはずですので、どういったユーザIDとパスワードが試行されているのか確認しようと思いましたが、ログを見たところ、「AUTH LOGIN」コマンドの後、すぐに「QUIT」コマンドが入っていました。

これは、メールサーバに侵入を試みたが、認証要求があったためあきらめた…もしくはスキャンだけ行っていたということになるのかもしれません。

バラマキ後に件数が大きく増加したのも、メールアドレスをばらまいたことによって、メールサーバが存在することをアピールできた結果かもしれませんね。

 
メールアドレスによる比較

前回の記事に記載した通り、怪しい出会い系サイトに登録するメールアドレスは、すべて違うアドレスで登録していました。

今回は、1週間分ではありますが、その結果について検証したいと思います。

f:id:tk-secu:20180730000906p:plain

出会い系からのスパムが大半ではありますが、届いたメールの件数は以上のようになります。

当然のことながら、登録したのちは、こちらから一切のアクションを起こしていない状態でこの件数ということですので、どこのサイトにサクラが多いかよくわかりますね。下手な出会い系サイトに登録してしまうと、少なくともスパムが大量に来る可能性があることはわかりますね。

(まるで、どこの出会い系サイトが安全かを検証しているかのような気分になってきました…)

 

現時点で判明している情報はここまでですね。

残念ながら、怪しいメールアドレス等によるメールは、いまだ着信していません。早くアドレスが漏洩してほしいところですね。