Honypotのログを見る
- 2. summary
● これは何?
● どのような構成か
● T-Potのコンテナ
● 設置1週間のログを考察する(Check the log of Honypot)
○ HonyTrap Container
○ Glastopf Container
○ Dionaea Container
○ Cowrie Container
○ elasticpot Container
● 考察
- 6. T-Potのコンテナ(1)
以下のコンテナが用意される
● HonyTrap Container
○ ネットワークサービスへの攻撃を観測する。
● Glastopf Container
○ WEBアプリケーション型Honypotで、Web系攻撃を受ける。HTTP。
● Dionaea Container
○ FTP/WINS/TFTP/MS RPC/SMB/HTTPS/MSSQL/MySQL/VoIP等の低対話pot。
● Cowrie Container
○ SSH用honypot。ダウンロードさせようとしたファイルも取得可能。
● elasticpot Container
○ elasticsearch用
※その他、conpot、elk、emobility、suricata等もあるが省略する
- 12. その他(1)
● Glastopf
○ 比較的少ない(269回/1週間)
○ アクセス元の偏りはないようだ
● elasticpot
○ 非常に試行が少ない (17回/1週間)
○ 単なる探索、/_searchなどへのアクセスがあるようだ
● Honytrap
○ 一時的な8080ポートへの攻撃集中 (3時間で800試行)があった
○ その他3389や5900へは、少ないながら定期的に攻撃試行されている
- 14. 考察
● 攻撃元の国により、探索対象に偏りがあるようだ
○ 意図は?国際情勢的に次のアクションに関連してくる?
● DNSポートの公開は、慎重にすべきと考えられる
○ 攻撃に耐えられるような、慎重な設定や運用が必須。
○ 運用が難しい時は、事業者の DNSを利用する。
● SSHでは、一連のコマンドを投げ込まれる
○ tty[0-5], pty, udevd, vyattad, ptv というファイル名でwgetし、chomod +xするものが多い。これは
ps等で確認された際の偽装と思われる。
○ ログイン後にHonypotかどうかの探索を行うこともある (対話的にログインした? )
● FirewallやIPS/IDSでの制限は、有効
○ サーバ/サービスの設定に不備があったとしても、そもそもポートが空いていなければアクセスはでき
ない。need to knowの原則の適用。
○ IPS/IDSで検出できる程度のものも多数。
● 長期の観察、複数IPでの観測、は必要
- 15. 結論
● データ収集期間が短いため、あまり有効な分析はできない
● 但し、短期的な攻撃手法の確認はできる
○ SSHへの攻撃動作、WEBへの攻撃手法、流行しているスキャン等
○ 脆弱なアカウント名/パスワード
● 収集情報の分析手法について、情報が少ない
○ マルウェアやツール類の情報と、ログの関連付け
○ 国際情勢とアクセス元の関連付け
■ Honypotで取得できる情報と、その他の SIGINT情報との紐づけにより、将来の攻撃傾向予測
が可能になるのではないか?
○ そもそもの、T-Potの情報が少ない
■ インストールしてみた、 ELKを確認してみた、というサイトは多い。
■ しかしながら、内容の分析や複数観測 IPの連携などは、情報があまりないようだ
● 得られる知識は、CSIRTの知識として有用と思われる。