最近流行りのハニーポットを構築して、攻撃観測をはじめました。

モチベーションと目標は以下の通り

モチベーション

• 最新の攻撃動向を、サイトなどから調べること以外に自分で観測をして、動向などを自分で推測できるようになりたい
• 業務としてマルウェア解析をやっているが、サイトに置いてあるものはだいたい古いので、やっぱり新鮮なマルウェアをとっ捕まえて解析したい
• サーバー設定を変えることで、観測される攻撃はどのように変わるかや、適切な設定について（主にファイアウォールなど）を勉強したい

目標

•  まずはちゃんとハニーポットの管理をできるようにする（継続的に）

• ログ分析を行うために必要な知識を身につけ、注目すべき部分を自分で判断し、攻撃を推測できるようにする。
• ツールの操作（Kibanaなど）を把握する
• 可能な限り機能拡張を行う

といった感じです。

では早速、現在運用しているハニーポット「T-Pot」の紹介をば。

T-Pot

T-Potはドイツテレコムが作成したハニーポットプラットフォームです。

複数のハニーポットやツールをdocker上で動かし、攻撃観測を行います。

T-Potに含まれているツールは以下の通りです。

ハニーポット

• Cowrie
• Dionaea
• Glastopf
• Conpot
• honeytrap
• ElasticPot　など

セキュリティツール

• Suricata(IDS/IPS)
• p0f(TCPパケットからOSのフィンガープリントを行うツール)

また、ELK（Elasticsearch, LogStash, Kibana）スタックを使ってログ収集、可視化、検索を行うことが可能です。

収集されたログや攻撃者によって配置されたマルウェアなどは、docker volumeというところに格納されるらしいです（あまりdockerについては知識がないので、これから勉強しようと思います。

保存期間は約30日とのこと。なので、保存期間が過ぎないうちにFTPクライアントなどを使用してローカルに落とすなど対処が必要になります。

詳しい内容については公式ページを見てください。

github.com

T-Pot選定理由

今回、攻撃観測にT-Potを使用する理由としては以下の通り

• インストールが簡単
• ELKスタックを使用した可視化、ログ検索が可能
• 有名どころのハニーポットてんこ盛り
• Webで検索して見ても、日本語のブログなどたくさんあって自分のものと比較しやすそう

もちろん自分で特定のハニーポットをインストールすることも考えました（最初はDionaea単体を運用する予定でした）が、「やるんだったら色々やってみたい」という欲がまさってしまいこちらを選択しました。

インストール対象の環境ですが、VPSをお借りしてそこでおこないました。

現在、観測20日目ぐらいを迎えております。

いい感じにログが溜まっておりますし、マルウェアも大量に置かれているためかなりワクワクしています。

この後は、攻撃観測を定期的に報告するのと、抽出したマルウェアの解析報告を行いたいと思います。