Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
Zombie Web
2015/3/29
Trend Micro Incorporated,
Shigeru Hihara
- 倒れないWebシステム -
~AWSでAuto-Defense~
2 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
自己紹介
■氏名
日原 茂(ひはら しげる)
■所属
トレンドマイクロ株式会社
スレットディフェンスSE本部所属
■業務
Webサイトのインシデント対策支援
(コンサルティング・設計・実装)に従事
■AWSの経験値
ぺーぺー(無免許)
3 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
いきなりですが。。
4 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
参考:https://www.jpcert.or.jp/pr/2014/pr140003.html
5 3/31/2015 Copyright 2015 Trend Micro Inc.
2015年入ってからだと、、
WordPressが攻撃されるケースは?
6 3/31/2015 Copyright 2015 Trend Micro Inc.
攻撃者
管理者用 ログインページ
攻撃者
管理ページへの不正ログイン行為
プラグインを中心とした脆弱性を悪用した不正侵入
プラグイン等の 不具合
7 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
え、当社の
サイトが?
8 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
改ざんされたっ!!!?
9 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
10 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
とか
11 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
12 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
え、、、今の誰?
も、、もう一回
13 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
14 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
当社のサイトに、、、
15 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
変態が
16 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
踊ってる???
17 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
しかも
18 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
クリックしたら。。
19 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
こんなん出てきた。。
20 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
腹立つわー!!!
ってこういうこと?
21 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
そういうケースもある。
けどタチが悪いのは、
こっち。。
22 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
23 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
えーっと、htmlファイルにこんなの埋め込まれてる。。何これ?
24 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
あ、なんか読めそう
25 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
ん、、、iframe??
26 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
当社のWebサイト
27 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
不正サイト 当社のWebサイト
28 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
不正サイト
そして、感染 当社のWebサイト
29 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
不正サイト 当社のWebサイト
30 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
どうしよう。。
ウイルスばら撒いちゃった。。
31 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
32 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
33 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
2. サイトを停止 (閲覧者に迷惑かけたくない)
34 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
2. サイトを停止 (閲覧者に迷惑かけたくない)
今話してたのが、ここまで。 その後どうなるのか。
2. サイトを停止 (閲覧者に迷惑かけたくない)
35 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
3. 原因と影響度を調査
2. サイトを停止 (閲覧者に迷惑かけたくない)
36 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
3. 原因と影響度を調査
4. 調査に必要な情報が足りない
2. サイトを停止 (閲覧者に迷惑かけたくない)
37 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
3. 原因と影響度を調査
4. 調査に必要な情報が足りない
5. OSとアプリ作り直し
2. サイトを停止 (閲覧者に迷惑かけたくない)
38 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
3. 原因と影響度を調査
4. 調査に必要な情報が足りない
5. OSとアプリ作り直し
2. サイトを停止 (閲覧者に迷惑かけたくない)
39 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
3. 原因と影響度を調査
4. 調査に必要な情報が足りない
5. OSとアプリ作り直し
6. サイトの再開
2. サイトを停止 (閲覧者に迷惑かけたくない)
40 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
3. 原因と影響度を調査
4. 調査に必要な情報が足りない
5. OSとアプリ作り直し
6. サイトの再開
2. サイトを停止 (閲覧者に迷惑かけたくない)
41 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
3. 原因と影響度を調査
4. 調査に必要な情報が足りない
5.OSインストール/アプリ作り直し
6. サイトの再開
.
この間、 ビジネス止まってない!?
2. サイトを停止 (閲覧者に迷惑かけたくない)
42 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
3. 原因と影響度を調査
4. 調査に必要な情報が足りない
5.OSインストール/アプリ作り直し
6. サイトの再開
.
とある例では、 - XXX万円/日 - X億円/1回の改ざん事故
の損害 になったりしてます。
2. サイトを停止 (閲覧者に迷惑かけたくない)
43 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
3. 原因と影響度を調査
4. 調査に必要な情報が足りない
5.OSインストール/アプリ作り直し
6. サイトの再開
.
この期間どうにかしたい
44 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
という場があるんだから! セキュリティだって自動化して
解決出来るのでは?
AWS
45 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
Zombie Web
46 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
AWSを使って自動復旧・防御
“As you know, Zombie never died… This concept is also in the same way,
If attacker exploit to web system, They would get no goal to continuing attack…….
This idea that it is applied to Immutable Infrastructure to Security”
47 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
Victim web
Real time log store
Attacker 1.バックドアを操作
2.ファイル改ざん
3.アラート送信
4. 自動復旧シナリオ実行
48 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1.Webサイトを改ざん
どうやって動いてるのか?
Attacker
49 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
どうやって動いてるのか?
Attacker
2.セキュリティ製品で検知
50 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
どうやって動いてるのか?
Attacker
3.検知情報を送信
Syslog
CloudWatch Logs
51 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
どうやって動いてるのか?
Attacker
4.自害。。
52 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
どうやって動いてるのか?
Attacker
5.ELBから外れる
53 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
どうやって動いてるのか?
Attacker
6. Auto Scaling 発動
54 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
どうやって動いてるのか?
Attacker
7.新しくインスタンス立ち上がる (勿論セキュリティ保護付きで)
55 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1.Web Defacing 2.Detection
3.Forwarding Security Events
4.Store Syslog file
8.Launching new instance
& auto security protection
9. Announce Launch
for new Instance
6.Work off victim instance
どうやって動いてるのか?
5.Suicide victim instance
Attacker
Web admin
7.Launching auto scaling
2. サイトを停止 (閲覧者に迷惑かけたくない)
56 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
1. Webサイトが改ざんされた
3. 原因と影響度を調査
4. 調査に必要な情報が足りない
5. OSとアプリ作り直し
6. サイトの再開
.
この期間を、こんな風に 自動化出来たら素敵だよね
57 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
重要なポイントが。。
58 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
↓キモになるのはここ
Attacker
2.セキュリティ製品で検知
59 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
攻撃を検知するためのトリガー
60 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
Victim web
Real time log store
Attacker 1.バックドアを操作
2.ファイル改ざん
3.アラート送信
4. 自動復旧シナリオ実行
61 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
All in One Security
Deep Security
62 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
Firewall IDS/IPS ウイルス対策
変更監視 ログ監視
63 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
インストールするだけ
64 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
この期間をどうにか自動化 出来そう。
アプリ インフラ
Immutable Infrastructure
セキュリティ
65 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
次のアクションとして、よりリアルに近い システムでのPoCをしたいと思っています。
共同PoCを行って頂けるかた、
大・大募集です!!
66 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
END