ハニーポットはじめました。
最近流行りのハニーポットを構築して、攻撃観測をはじめました。
モチベーションと目標は以下の通り
モチベーション
- 最新の攻撃動向を、サイトなどから調べること以外に自分で観測をして、動向などを自分で推測できるようになりたい
- 業務としてマルウェア解析をやっているが、サイトに置いてあるものはだいたい古いので、やっぱり新鮮なマルウェアをとっ捕まえて解析したい
- サーバー設定を変えることで、観測される攻撃はどのように変わるかや、適切な設定について(主にファイアウォールなど)を勉強したい
目標
-
まずはちゃんとハニーポットの管理をできるようにする(継続的に)
- ログ分析を行うために必要な知識を身につけ、注目すべき部分を自分で判断し、攻撃を推測できるようにする。
- ツールの操作(Kibanaなど)を把握する
- 可能な限り機能拡張を行う
といった感じです。
では早速、現在運用しているハニーポット「T-Pot」の紹介をば。
T-Pot
T-Potはドイツテレコムが作成したハニーポットプラットフォームです。
複数のハニーポットやツールをdocker上で動かし、攻撃観測を行います。
T-Potに含まれているツールは以下の通りです。
ハニーポット
- Cowrie
- Dionaea
- Glastopf
- Conpot
- honeytrap
- ElasticPot など
セキュリティツール
- Suricata(IDS/IPS)
- p0f(TCPパケットからOSのフィンガープリントを行うツール)
また、ELK(Elasticsearch, LogStash, Kibana)スタックを使ってログ収集、可視化、検索を行うことが可能です。
収集されたログや攻撃者によって配置されたマルウェアなどは、docker volumeというところに格納されるらしいです(あまりdockerについては知識がないので、これから勉強しようと思います。
保存期間は約30日とのこと。なので、保存期間が過ぎないうちにFTPクライアントなどを使用してローカルに落とすなど対処が必要になります。
詳しい内容については公式ページを見てください。
T-Pot選定理由
今回、攻撃観測にT-Potを使用する理由としては以下の通り
- インストールが簡単
- ELKスタックを使用した可視化、ログ検索が可能
- 有名どころのハニーポットてんこ盛り
- Webで検索して見ても、日本語のブログなどたくさんあって自分のものと比較しやすそう
もちろん自分で特定のハニーポットをインストールすることも考えました(最初はDionaea単体を運用する予定でした)が、「やるんだったら色々やってみたい」という欲がまさってしまいこちらを選択しました。
インストール対象の環境ですが、VPSをお借りしてそこでおこないました。
現在、観測20日目ぐらいを迎えております。
いい感じにログが溜まっておりますし、マルウェアも大量に置かれているためかなりワクワクしています。
この後は、攻撃観測を定期的に報告するのと、抽出したマルウェアの解析報告を行いたいと思います。