Honypotのログを見る

2017-06-11INOUE Kei

summary● これは何？

● どのような構成か

● T-Potのコンテナ

● 設置1週間のログを考察する(Check the log of Honypot)○ HonyTrap Container○ Glastopf Container○ Dionaea Container○ Cowrie Container○ elasticpot Container

● 考察

重要事項

本文書について、下記の点に留意されたい。

● 本文書の内容について、所属会社や関連会社とは一切関係がなく、あくまで私的

な、個人の見解である。曰く「趣味」の活動である。

● 今回の分析対象のデータは、社会情勢や時期等が限られたものである。グローバ

ルIP帯や社会情勢や季節等により状況は変わる為、あくまで一例として考える必要

がある。

これは何？

パブリッククラウドにHonypotを設置し、おおよそ1週間経過した。

当該のグローバルIPはどのようなことが起こっているのか、正しいFirewall等の設定では

何が防御できているのかを確認するため、1週間の検出結果を確認し、考察した。

● パブリッククラウド事業者が提供するグローバルアドレスを使っている。同サービス利

用者は同一IPレンジに存在するため、同様な攻撃にさらされていると考えられる。

● 観測対象グローバルIPは、Honypot設置時に払い出しを行った。新規サービス開

始時と同じ状況と思われる。

どのような構成か

パブリッククラウド上にT-POTを設置し、データ観

測用のELK(elasticsearch, logstash, Kibana)への

アクセスは別のグローバル IPからのアクセスにする

ように設定している。

T-Potのコンテナ(1)以下のコンテナが用意される

● HonyTrap Container○ ネットワークサービスへの攻撃を観測する。

● Glastopf Container○ WEBアプリケーション型Honypotで、Web系攻撃を受ける。HTTP。

● Dionaea Container○ FTP/WINS/TFTP/MS RPC/SMB/HTTPS/MSSQL/MySQL/VoIP等の低対話pot。

● Cowrie Container○ SSH用honypot。ダウンロードさせようとしたファイルも取得可能。

● elasticpot Container○ elasticsearch用

※その他、conpot、elk、emobility、suricata等もあるが省略する

T-Potのコンテナ(2)ベースとなるサーバの /dataに、各Containerで収集されたデータが置かれる。

個別に確認したほうがよさそうなものは以下の通り。

● /data/dionaea/○ binariesに作成されたバイナリが配置される

○ bistreamsに攻撃ログが保存される

● /data/cowrie/○ downloadsにwgetで得たもの等が配置される

● /data/honytrap/○ downloadsにファイルが配置される

基本的にはELK経由で見るので、直接アクセスは必要ない。

ここからは、左記期間のログを確認して

いく。

設置一週間のログを考察する

2017-06-04から2017-0611まで

Cowrie● Russian Federationからのアクセスが多い。

● Username/passwordは推測がしやすいもので試行されている。

● ログイン後、探索とシェルスクリプトのwgetが多いようだ。

● 特定のASでの探索が多い。

Dionaea● MSSQLD:1433は常時アクセスされている。

● SMBD:445もそれなりにある。

● 類推されやすいIDでアクセス試行されている。

● PRC国からのアクセスが非常に多い。

Suricata● SSHはGranados(.NET利用?)が多いようだ

● port53、かなり頻繁にアクセスされるようだ

● ZmEu(phpMyAdminスキャンツール)の試行が多い

● PE32(Windows用バイナリ)配置もあるようだ○ 少ないながらもELFもある

その他(1)● Glastopf

○ 比較的少ない(269回/1週間)○ アクセス元の偏りはないようだ

● elasticpot○ 非常に試行が少ない (17回/1週間)○ 単なる探索、/_searchなどへのアクセスがあるようだ

● Honytrap○ 一時的な8080ポートへの攻撃集中 (3時間で800試行)があった

○ その他3389や5900へは、少ないながら定期的に攻撃試行されている

その他(2)● 国により、攻撃傾向が違うようだ

○ 国際情勢により、攻撃対象が違う可能性

○ port2222、とは？

○ kazakhstanの2222port過多は、意図したものか？

○ 5900(VNC)はUS以外はほぼ無いようだった

○ PRCは8080が多いようだ

■ bash脆弱性、QNAPのNAS● https://www.jpcert.or.jp/at/2014/at140055.html

考察

● 攻撃元の国により、探索対象に偏りがあるようだ○ 意図は？国際情勢的に次のアクションに関連してくる？

● DNSポートの公開は、慎重にすべきと考えられる○ 攻撃に耐えられるような、慎重な設定や運用が必須。

○ 運用が難しい時は、事業者の DNSを利用する。

● SSHでは、一連のコマンドを投げ込まれる○ tty[0-5], pty, udevd, vyattad, ptv というファイル名でwgetし、chomod +xするものが多い。これは

ps等で確認された際の偽装と思われる。

○ ログイン後にHonypotかどうかの探索を行うこともある (対話的にログインした？ )● FirewallやIPS/IDSでの制限は、有効

○ サーバ/サービスの設定に不備があったとしても、そもそもポートが空いていなければアクセスはでき

ない。need to knowの原則の適用。

○ IPS/IDSで検出できる程度のものも多数。

● 長期の観察、複数IPでの観測、は必要

結論

● データ収集期間が短いため、あまり有効な分析はできない

● 但し、短期的な攻撃手法の確認はできる○ SSHへの攻撃動作、WEBへの攻撃手法、流行しているスキャン等

○ 脆弱なアカウント名 /パスワード

● 収集情報の分析手法について、情報が少ない○ マルウェアやツール類の情報と、ログの関連付け

○ 国際情勢とアクセス元の関連付け

■ Honypotで取得できる情報と、その他の SIGINT情報との紐づけにより、将来の攻撃傾向予測

が可能になるのではないか？

○ そもそもの、T-Potの情報が少ない

■ インストールしてみた、ELKを確認してみた、というサイトは多い。

■ しかしながら、内容の分析や複数観測 IPの連携などは、情報があまりないようだ

● 得られる知識は、CSIRTの知識として有用と思われる。