Asteriskをクラックされた (前編）

Presentation on theme: "Asteriskをクラックされた (前編）"— Presentation transcript:

1 Asteriskをクラックされた (前編）
3/18/2017 6:58 AM Asteriskをクラックされた (前編） By mac © 2007 Microsoft Corporation. All rights reserved. Microsoft、Windows、Windows Vista、およびその他の製品名は、米国およびその他の国における登録商標または商標 です。 ここに示す情報は参照だけを目的とし、発表時点での Microsoft Corporation の見解を表します。 Microsoft は変化する市況に対応する必要があり、この発表は Microsoft のコミットメントとして解釈されるものではありません。また Microsoft はこの発表日以降に提供されるあらゆる情報について、その正確性を保証できるものではありません。 Microsoft はここに示される情報について、明示、黙示、または法令を問わず保証をしません。

2 Agenda 前編 後編 被害の実態 解析手法 - awkで統計処理 なぜAsteriskは狙われるのか？ 再発防止策
3/18/2017 6:58 AM Agenda 前編 被害の実態 解析手法 - awkで統計処理 なぜAsteriskは狙われるのか？ 再発防止策 後編 弁護士との相談 – 100万円以下の損害は… 警察への届け出 NTT-Eとの交渉 © 2007 Microsoft Corporation. All rights reserved. Microsoft、Windows、Windows Vista、およびその他の製品名は、米国およびその他の国における登録商標または商標 です。 ここに示す情報は参照だけを目的とし、発表時点での Microsoft Corporation の見解を表します。 Microsoft は変化する市況に対応する必要があり、この発表は Microsoft のコミットメントとして解釈されるものではありません。また Microsoft はこの発表日以降に提供されるあらゆる情報について、その正確性を保証できるものではありません。 Microsoft はここに示される情報について、明示、黙示、または法令を問わず保証をしません。

3 被害の実態(1) 不正アクセスしたIPと回数 回数 IP Address 組織名 国名 28417 50.97.230.2 us 16922
SoftLayer Technologies Inc. us 16922 Iliad Entreprises Customers fr 12800 Korea Network Information Cente kr 7639 SK Networks co., Ltd 1681 Serverology LLC cn 37 intergenia AG de 23 Hadara Gaza BSA ps 11 Hadara Technologies 3 African Internet Numbers Registry Mauritius citynet service 2 Palestine Telecommunications Company 1 Hadara Gaza BSA 2nd subnet

4 被害の実態(2) 最初に攻撃があった日時 月 日 時刻(GMT) Port IP [Feb 13 18:07:21]
' ' No matching peer found 14 19:30:01] ' ' 20:46:46] ' ' Wrong password 21:17:16] ' ' 15 03:56:42] ' ' 21:48:18] ' ' 16 00:15:28] ' ' 06:36:00] ' ' 08:54:00] ' ' 17:55:44] ' ' 22:56:48] ' ' 17 00:16:41] ' ' 08:15:02] ' ' 18 22:48:11] ' ' 22:49:33] ' ' 23:31:32] ' ' 19 06:45:34] ' ' 06:51:10] ' ' 07:01:44] ' ' 20:02:33] ' :10040' 20 10:29:34] ' :18377'

5 被害の実態(3) 不正に掛けられた番号と回数 回数 電話番号 142 01037127698004 46 01037178519280 41
不正に掛けられた国際電話 日付　時刻(GMT) 電話番号 秒数 2014/2/14 11:53 20 2014/2/14 11:57 2014/2/14 11:59 2014/2/14 12:18 303 2014/2/14 12:23 834 2014/2/14 12:37 804 2014/2/14 12:50 963 2014/2/14 13:06 1379 2014/2/14 13:30 1197 2014/2/14 13:50 2272 2014/2/14 14:28 1099 2014/2/14 14:46 1080 2014/2/14 15:04 1008 2014/2/14 15:21 66 2014/2/14 15:24 1087 2014/2/14 15:43 927 2014/2/14 15:59 776 2014/2/14 16:12 722 2014/2/14 16:24 905 2014/2/14 16:39 758 2014/2/14 16:52 1390 2014/2/14 17:15 2228 2014/2/14 17:52 1545 2014/2/14 18:18 1349 2014/2/14 18:41 1070 2014/2/14 18:59 1307 2014/2/14 19:21 1340 不正に掛けられた番号と回数 回数 電話番号 142 46 41 25 9 7 6 5 3 2 1

6 被害の実態(4) 通話料金明細内訳書 【ＮＴＴ東日本ご利用分】 ＊ ひかり電話（通話料）合計160円
　【ＮＴＴ東日本ご利用分】 ＊　ひかり電話（通話料）合計160円 ＊　ひかり電話（海外への通話料）合計407,641円 　【ＮＴＴ東日本ご利用分】 ＊　ひかり電話（通話料）合計56円 ＊　ひかり電話（海外への通話料）合計90,810円

7 解析手法 国際電話を抜き出す cat Master.csv | awk -F, '
3/18/2017 6:58 AM 解析手法 国際電話を抜き出す cat Master.csv | awk -F, ' $9 ~ /SIP\/010/ && $15 ~ /ANSWERED/ { print $11 "," $9 "," $14; }' | sed 番号別発信回数 cat Master.csv | awk -F, ' $9 ~ /SIP\/010/ && $15 ~ /ANSWERED/ { cnt[$6]++; } END { for (i in cnt) { print cnt[i], i; }' | sort -nr © 2007 Microsoft Corporation. All rights reserved. Microsoft、Windows、Windows Vista、およびその他の製品名は、米国およびその他の国における登録商標または商標 です。 ここに示す情報は参照だけを目的とし、発表時点での Microsoft Corporation の見解を表します。 Microsoft は変化する市況に対応する必要があり、この発表は Microsoft のコミットメントとして解釈されるものではありません。また Microsoft はこの発表日以降に提供されるあらゆる情報について、その正確性を保証できるものではありません。 Microsoft はここに示される情報について、明示、黙示、または法令を問わず保証をしません。

8 なぜAsteriskは狙われるか usernameに3～4桁の数字を使う傾向 make samplesで生成されるお手本がダメすぎ
内線番号=userである必要はないが、そうしなければダメなIP電話機もある passwordも数字だけ（全く必要性なし） make samplesで生成されるお手本がダメすぎ 63個の設定ファイルが生成される 接続に必要なのはそのうち2個 後で実例を示します Patchが本流にmergeされない いつまでたってもソースからコンパイル (RT200NE) 独自の日付形式　→　fail2banを使うにもpatch © 2007 Microsoft Corporation. All rights reserved. Microsoft、Windows、Windows Vista、およびその他の製品名は、米国およびその他の国における登録商標または商標 です。 ここに示す情報は参照だけを目的とし、発表時点での Microsoft Corporation の見解を表します。 Microsoft は変化する市況に対応する必要があり、この発表は Microsoft のコミットメントとして解釈されるものではありません。また Microsoft はこの発表日以降に提供されるあらゆる情報について、その正確性を保証できるものではありません。 Microsoft はここに示される情報について、明示、黙示、または法令を問わず保証をしません。

9 再発防止策 Asteriskの設定 Serverにはntpdを立てる ルーターの設定は手を抜かない iptablesで築く城壁
3/18/2017 6:58 AM 再発防止策 Asteriskの設定 アクセス権を徹底して絞る LAN内で出来るだけIPを固定する(dhcpd) passwdがあっている通話は「異常」として扱われない（LogにIPが記録されない） Serverにはntpdを立てる 時刻は極めて重要な証拠。秒単位で合わせておく。 ルーターの設定は手を抜かない DMZの甘い罠 - 絶対設定してはいけない UPnP – Crackerにオールを渡すな iptablesで築く城壁 © 2007 Microsoft Corporation. All rights reserved. Microsoft、Windows、Windows Vista、およびその他の製品名は、米国およびその他の国における登録商標または商標 です。 ここに示す情報は参照だけを目的とし、発表時点での Microsoft Corporation の見解を表します。 Microsoft は変化する市況に対応する必要があり、この発表は Microsoft のコミットメントとして解釈されるものではありません。また Microsoft はこの発表日以降に提供されるあらゆる情報について、その正確性を保証できるものではありません。 Microsoft はここに示される情報について、明示、黙示、または法令を問わず保証をしません。

10 Iptablesの設定 難解だけど頑張る 大学や企業の複雑な構成から学び始めない シンプルに手堅く 3/18/2017 6:58 AM
© 2007 Microsoft Corporation. All rights reserved. Microsoft、Windows、Windows Vista、およびその他の製品名は、米国およびその他の国における登録商標または商標 です。 ここに示す情報は参照だけを目的とし、発表時点での Microsoft Corporation の見解を表します。 Microsoft は変化する市況に対応する必要があり、この発表は Microsoft のコミットメントとして解釈されるものではありません。また Microsoft はこの発表日以降に提供されるあらゆる情報について、その正確性を保証できるものではありません。 Microsoft はここに示される情報について、明示、黙示、または法令を問わず保証をしません。

11 まとめと予告 どんなに零細なサイトでもクラッカーは狙っている 必要のないポートは開けない 次回は社会的側面での後始末
3/18/2017 6:58 AM まとめと予告 どんなに零細なサイトでもクラッカーは狙っている サイトの規模には関係ない ポートスキャンと総当り法プログラムでクラック 必要のないポートは開けない iptablesでしっかり固める DMZ, UPnP, DHCPなど「楽な設定」に気をつける 次回は社会的側面での後始末 © 2007 Microsoft Corporation. All rights reserved. Microsoft、Windows、Windows Vista、およびその他の製品名は、米国およびその他の国における登録商標または商標 です。 ここに示す情報は参照だけを目的とし、発表時点での Microsoft Corporation の見解を表します。 Microsoft は変化する市況に対応する必要があり、この発表は Microsoft のコミットメントとして解釈されるものではありません。また Microsoft はこの発表日以降に提供されるあらゆる情報について、その正確性を保証できるものではありません。 Microsoft はここに示される情報について、明示、黙示、または法令を問わず保証をしません。