WebLogicの該当の脆弱性情報(攻撃コード)の値段は、ブラックマーケットでは0dayの間は1100-5300万円で取引されているようだ。もちろん、公開後は価値なしのはず。 #hanipo_tech
2018-02-24 10:22:14UserAgent、明らかに古いAgentの場合はツールでの攻撃の可能性が高いから、切ってしまえばいいのでは。 確かにそうなのだけど、SaaS系サービスの場合は未だにxpでアクセスするユーザもいるので、業務上では難しいかも。 #hanipo_tech
2018-02-24 10:34:19攻撃手法として、脆弱性への無差別攻撃をして、成功するようであればcall backするような設定をしておくことで、自サーバのログを見るだけで脆弱なサーバを簡単に見つける、のか。たしかに効率的だ。 #hanipo_tech
2018-02-24 10:44:47攻撃コードをpastebinに配置して、get/compileをすることで身元を隠すの、よくできていると思う。git等よりも匿名性高いし、よく考えるなぁ。#hanipo_tech
2018-02-24 10:46:26コマンドプロンプトでファイルハッシュ確認にお世話になったcertutil コマンドでファイルDLもできたとは #hanipo_tech
2018-02-24 10:56:40最初の10個くらいをshodanでみたけど、9個はサーバとして公開されてた。(さすがに7001はあいてなかった) #hanipo_tech
2018-02-24 11:05:33みなさん「業務で知り得た情報ではない」宣言がテンプレートですね(機微情報含むのもあるので、そのように発言する必要はある)。 第二セッションは mirai亜種の攻撃観測、かも #hanipo_tech
2018-02-24 11:10:30mirai亜種の攻撃元マップ。可視化するとおもしろい。国内からも攻撃が来ているのでルータが最新パッチか確認を。#hanipo_tech
2018-02-24 11:19:08第三セッションはModern Honey Network speakerdeck.com/blackle0pard/m… の紹介?みたい。 #hanipo_tech
2018-02-24 11:27:28一台しか運用してない人(しかも今だに無料枠でやっている)とか私だけなのでは?まともに分析するには課金が必要だ… #hanipo_tech
2018-02-24 11:31:54MHN良さそう #hanipo_tech Modern Honey Networkを使ったハニーポットの管理 speakerdeck.com/blackle0pard/m…
2018-02-24 11:37:46スクラッチで、毎日ログを分析したものをSlackに送るスクリプト(分析内容を要検討)しようと思ってたけど、Modern Honey NetworkのREST APIでざっくり出したほうが楽なのかしら? ログ分析書道の簡素化のために試してみようかな。 #hanipo_tech
2018-02-24 11:39:41第三セッションは、なんかタイトル変わってたけど naosec のやつ。 クライアント型ハニーポットの話のようだ。 #hanipo_tech
2018-02-24 11:43:40