T-Potでの短期観測

1. Honypotのログを見る
2017-06-11
INOUE Kei

2. summary
● これは何？
● どのような構成か
● T-Potのコンテナ
● 設置1週間のログを考察する(Check the log of Honypot)
○ HonyTrap Container
○ Glastopf Container
○ Dionaea Container
○ Cowrie Container
○ elasticpot Container
● 考察

3. 重要事項
本文書について、下記の点に留意されたい。
● 本文書の内容について、所属会社や関連会社とは一切関係がなく、あくまで私的
な、個人の見解である。曰く「趣味」の活動である。
● 今回の分析対象のデータは、社会情勢や時期等が限られたものである。グローバ
ルIP帯や社会情勢や季節等により状況は変わる為、あくまで一例として考える必要
がある。

4. これは何？
パブリッククラウドにHonypotを設置し、おおよそ1週間経過した。
当該のグローバルIPはどのようなことが起こっているのか、正しいFirewall等の設定では
何が防御できているのかを確認するため、1週間の検出結果を確認し、考察した。
● パブリッククラウド事業者が提供するグローバルアドレスを使っている。同サービス利
用者は同一IPレンジに存在するため、同様な攻撃にさらされていると考えられる。
● 観測対象グローバルIPは、Honypot設置時に払い出しを行った。新規サービス開
始時と同じ状況と思われる。

5. どのような構成か
パブリッククラウド上に T-POTを設置し、データ観
測用のELK(elasticsearch, logstash, Kibana)への
アクセスは別のグローバル IPからのアクセスにする
ように設定している。

6. T-Potのコンテナ(1)
以下のコンテナが用意される
● HonyTrap Container
○ ネットワークサービスへの攻撃を観測する。
● Glastopf Container
○ WEBアプリケーション型Honypotで、Web系攻撃を受ける。HTTP。
● Dionaea Container
○ FTP/WINS/TFTP/MS RPC/SMB/HTTPS/MSSQL/MySQL/VoIP等の低対話pot。
● Cowrie Container
○ SSH用honypot。ダウンロードさせようとしたファイルも取得可能。
● elasticpot Container
○ elasticsearch用
※その他、conpot、elk、emobility、suricata等もあるが省略する

7. T-Potのコンテナ(2)
ベースとなるサーバの /dataに、各Containerで収集されたデータが置かれる。
個別に確認したほうがよさそうなものは以下の通り。
● /data/dionaea/
○ binariesに作成されたバイナリが配置される
○ bistreamsに攻撃ログが保存される
● /data/cowrie/
○ downloadsにwgetで得たもの等が配置される
● /data/honytrap/
○ downloadsにファイルが配置される
基本的にはELK経由で見るので、直接アクセスは必要ない。

8. ここからは、左記期間のログを確認して
いく。
設置一週間の
ログを考察する
2017-06-04から
2017-0611まで

9. Cowrie
● Russian Federationからのアクセスが多い。
● Username/passwordは推測がしやすいもので試行されている。
● ログイン後、探索とシェルスクリプトのwgetが多いようだ。
● 特定のASでの探索が多い。

10. Dionaea
● MSSQLD:1433は常時アクセスされている。
● SMBD:445もそれなりにある。
● 類推されやすいIDでアクセス試行されている。
● PRC国からのアクセスが非常に多い。

11. Suricata
● SSHはGranados(.NET利用?)が多いようだ
● port53、かなり頻繁にアクセスされるようだ
● ZmEu(phpMyAdminスキャンツール)の試行が多い
● PE32(Windows用バイナリ)配置もあるようだ
○ 少ないながらもELFもある

12. その他(1)
● Glastopf
○ 比較的少ない(269回/1週間)
○ アクセス元の偏りはないようだ
● elasticpot
○ 非常に試行が少ない (17回/1週間)
○ 単なる探索、/_searchなどへのアクセスがあるようだ
● Honytrap
○ 一時的な8080ポートへの攻撃集中 (3時間で800試行)があった
○ その他3389や5900へは、少ないながら定期的に攻撃試行されている

13. その他(2)
● 国により、攻撃傾向が違うようだ
○ 国際情勢により、攻撃対象が違う可能性
○ port2222、とは？
○ kazakhstanの2222port過多は、意図したものか？
○ 5900(VNC)はUS以外はほぼ無いようだった
○ PRCは8080が多いようだ
■ bash脆弱性、QNAPのNAS
● https://www.jpcert.or.jp/at/2014/at140055.html

14. 考察
● 攻撃元の国により、探索対象に偏りがあるようだ
○ 意図は？国際情勢的に次のアクションに関連してくる？
● DNSポートの公開は、慎重にすべきと考えられる
○ 攻撃に耐えられるような、慎重な設定や運用が必須。
○ 運用が難しい時は、事業者の DNSを利用する。
● SSHでは、一連のコマンドを投げ込まれる
○ tty[0-5], pty, udevd, vyattad, ptv というファイル名でwgetし、chomod +xするものが多い。これは
ps等で確認された際の偽装と思われる。
○ ログイン後にHonypotかどうかの探索を行うこともある (対話的にログインした？ )
● FirewallやIPS/IDSでの制限は、有効
○ サーバ/サービスの設定に不備があったとしても、そもそもポートが空いていなければアクセスはでき
ない。need to knowの原則の適用。
○ IPS/IDSで検出できる程度のものも多数。
● 長期の観察、複数IPでの観測、は必要

15. 結論
● データ収集期間が短いため、あまり有効な分析はできない
● 但し、短期的な攻撃手法の確認はできる
○ SSHへの攻撃動作、WEBへの攻撃手法、流行しているスキャン等
○ 脆弱なアカウント名/パスワード
● 収集情報の分析手法について、情報が少ない
○ マルウェアやツール類の情報と、ログの関連付け
○ 国際情勢とアクセス元の関連付け
■ Honypotで取得できる情報と、その他の SIGINT情報との紐づけにより、将来の攻撃傾向予測
が可能になるのではないか？
○ そもそもの、T-Potの情報が少ない
■ インストールしてみた、 ELKを確認してみた、というサイトは多い。
■ しかしながら、内容の分析や複数観測 IPの連携などは、情報があまりないようだ
● 得られる知識は、CSIRTの知識として有用と思われる。