Upload
hogehuga
View
403
Download
3
Embed Size (px)
Citation preview
Honypotのログを見る
2017-06-11INOUE Kei
summary● これは何?
● どのような構成か
● T-Potのコンテナ
● 設置1週間のログを考察する(Check the log of Honypot)○ HonyTrap Container○ Glastopf Container○ Dionaea Container○ Cowrie Container○ elasticpot Container
● 考察
重要事項
本文書について、下記の点に留意されたい。
● 本文書の内容について、所属会社や関連会社とは一切関係がなく、あくまで私的
な、個人の見解である。曰く「趣味」の活動である。
● 今回の分析対象のデータは、社会情勢や時期等が限られたものである。グローバ
ルIP帯や社会情勢や季節等により状況は変わる為、あくまで一例として考える必要
がある。
これは何?
パブリッククラウドにHonypotを設置し、おおよそ1週間経過した。
当該のグローバルIPはどのようなことが起こっているのか、正しいFirewall等の設定では
何が防御できているのかを確認するため、1週間の検出結果を確認し、考察した。
● パブリッククラウド事業者が提供するグローバルアドレスを使っている。同サービス利
用者は同一IPレンジに存在するため、同様な攻撃にさらされていると考えられる。
● 観測対象グローバルIPは、Honypot設置時に払い出しを行った。新規サービス開
始時と同じ状況と思われる。
どのような構成か
パブリッククラウド上にT-POTを設置し、データ観
測用のELK(elasticsearch, logstash, Kibana)への
アクセスは別のグローバル IPからのアクセスにする
ように設定している。
T-Potのコンテナ(1)以下のコンテナが用意される
● HonyTrap Container○ ネットワークサービスへの攻撃を観測する。
● Glastopf Container○ WEBアプリケーション型Honypotで、Web系攻撃を受ける。HTTP。
● Dionaea Container○ FTP/WINS/TFTP/MS RPC/SMB/HTTPS/MSSQL/MySQL/VoIP等の低対話pot。
● Cowrie Container○ SSH用honypot。ダウンロードさせようとしたファイルも取得可能。
● elasticpot Container○ elasticsearch用
※その他、conpot、elk、emobility、suricata等もあるが省略する
T-Potのコンテナ(2)ベースとなるサーバの /dataに、各Containerで収集されたデータが置かれる。
個別に確認したほうがよさそうなものは以下の通り。
● /data/dionaea/○ binariesに作成されたバイナリが配置される
○ bistreamsに攻撃ログが保存される
● /data/cowrie/○ downloadsにwgetで得たもの等が配置される
● /data/honytrap/○ downloadsにファイルが配置される
基本的にはELK経由で見るので、直接アクセスは必要ない。
ここからは、左記期間のログを確認して
いく。
設置一週間のログを考察する
2017-06-04から2017-0611まで
Cowrie● Russian Federationからのアクセスが多い。
● Username/passwordは推測がしやすいもので試行されている。
● ログイン後、探索とシェルスクリプトのwgetが多いようだ。
● 特定のASでの探索が多い。
Dionaea● MSSQLD:1433は常時アクセスされている。
● SMBD:445もそれなりにある。
● 類推されやすいIDでアクセス試行されている。
● PRC国からのアクセスが非常に多い。
Suricata● SSHはGranados(.NET利用?)が多いようだ
● port53、かなり頻繁にアクセスされるようだ
● ZmEu(phpMyAdminスキャンツール)の試行が多い
● PE32(Windows用バイナリ)配置もあるようだ○ 少ないながらもELFもある
その他(1)● Glastopf
○ 比較的少ない(269回/1週間)○ アクセス元の偏りはないようだ
● elasticpot○ 非常に試行が少ない (17回/1週間)○ 単なる探索、/_searchなどへのアクセスがあるようだ
● Honytrap○ 一時的な8080ポートへの攻撃集中 (3時間で800試行)があった
○ その他3389や5900へは、少ないながら定期的に攻撃試行されている
その他(2)● 国により、攻撃傾向が違うようだ
○ 国際情勢により、攻撃対象が違う可能性
○ port2222、とは?
○ kazakhstanの2222port過多は、意図したものか?
○ 5900(VNC)はUS以外はほぼ無いようだった
○ PRCは8080が多いようだ
■ bash脆弱性、QNAPのNAS● https://www.jpcert.or.jp/at/2014/at140055.html
考察
● 攻撃元の国により、探索対象に偏りがあるようだ○ 意図は?国際情勢的に次のアクションに関連してくる?
● DNSポートの公開は、慎重にすべきと考えられる○ 攻撃に耐えられるような、慎重な設定や運用が必須。
○ 運用が難しい時は、事業者の DNSを利用する。
● SSHでは、一連のコマンドを投げ込まれる○ tty[0-5], pty, udevd, vyattad, ptv というファイル名でwgetし、chomod +xするものが多い。これは
ps等で確認された際の偽装と思われる。
○ ログイン後にHonypotかどうかの探索を行うこともある (対話的にログインした? )● FirewallやIPS/IDSでの制限は、有効
○ サーバ/サービスの設定に不備があったとしても、そもそもポートが空いていなければアクセスはでき
ない。need to knowの原則の適用。
○ IPS/IDSで検出できる程度のものも多数。
● 長期の観察、複数IPでの観測、は必要
結論
● データ収集期間が短いため、あまり有効な分析はできない
● 但し、短期的な攻撃手法の確認はできる○ SSHへの攻撃動作、WEBへの攻撃手法、流行しているスキャン等
○ 脆弱なアカウント名 /パスワード
● 収集情報の分析手法について、情報が少ない○ マルウェアやツール類の情報と、ログの関連付け
○ 国際情勢とアクセス元の関連付け
■ Honypotで取得できる情報と、その他の SIGINT情報との紐づけにより、将来の攻撃傾向予測
が可能になるのではないか?
○ そもそもの、T-Potの情報が少ない
■ インストールしてみた、ELKを確認してみた、というサイトは多い。
■ しかしながら、内容の分析や複数観測 IPの連携などは、情報があまりないようだ
● 得られる知識は、CSIRTの知識として有用と思われる。