ごちゃごちゃしたIT勉強記録

自分が勉強したものと実際にやってみたものの記録です。メインはセキュリティ(多分)こんなものでも誰かの参考になれば嬉しいです。

ハニーポットはじめました。

最近流行りのハニーポットを構築して、攻撃観測をはじめました。

モチベーションと目標は以下の通り

 

モチベーション

  • 最新の攻撃動向を、サイトなどから調べること以外に自分で観測をして、動向などを自分で推測できるようになりたい
  • 業務としてマルウェア解析をやっているが、サイトに置いてあるものはだいたい古いので、やっぱり新鮮なマルウェアをとっ捕まえて解析したい
  • サーバー設定を変えることで、観測される攻撃はどのように変わるかや、適切な設定について(主にファイアウォールなど)を勉強したい

目標

  •  まずはちゃんとハニーポットの管理をできるようにする(継続的に)

  • ログ分析を行うために必要な知識を身につけ、注目すべき部分を自分で判断し、攻撃を推測できるようにする。
  • ツールの操作(Kibanaなど)を把握する
  • 可能な限り機能拡張を行う

といった感じです。

 

では早速、現在運用しているハニーポット「T-Pot」の紹介をば。

 

T-Pot

T-Potはドイツテレコムが作成したハニーポットプラットフォームです。

複数のハニーポットやツールをdocker上で動かし、攻撃観測を行います。

T-Potに含まれているツールは以下の通りです。

ハニーポット
  • Cowrie
  • Dionaea
  • Glastopf
  • Conpot
  • honeytrap
  • ElasticPot など
 

セキュリティツール

  • Suricata(IDS/IPS)
  • p0f(TCPパケットからOSのフィンガープリントを行うツール)

 

また、ELK(Elasticsearch, LogStash, Kibana)スタックを使ってログ収集、可視化、検索を行うことが可能です。

収集されたログや攻撃者によって配置されたマルウェアなどは、docker volumeというところに格納されるらしいです(あまりdockerについては知識がないので、これから勉強しようと思います。

保存期間は約30日とのこと。なので、保存期間が過ぎないうちにFTPクライアントなどを使用してローカルに落とすなど対処が必要になります。

 

詳しい内容については公式ページを見てください。

github.com

 

T-Pot選定理由

今回、攻撃観測にT-Potを使用する理由としては以下の通り

  • インストールが簡単
  • ELKスタックを使用した可視化、ログ検索が可能
  • 有名どころのハニーポットてんこ盛り
  • Webで検索して見ても、日本語のブログなどたくさんあって自分のものと比較しやすそう

もちろん自分で特定のハニーポットをインストールすることも考えました(最初はDionaea単体を運用する予定でした)が、「やるんだったら色々やってみたい」という欲がまさってしまいこちらを選択しました。

 

インストール対象の環境ですが、VPSをお借りしてそこでおこないました。

現在、観測20日目ぐらいを迎えております。

いい感じにログが溜まっておりますし、マルウェアも大量に置かれているためかなりワクワクしています。

 

この後は、攻撃観測を定期的に報告するのと、抽出したマルウェアの解析報告を行いたいと思います。