ばぁど・うぉっちんぐ

セキュリティを頑張りたいプログラマ。自由と春を求めて羽ばたく渡り鳥。

ハニーポット観察日誌 - T-Pot に含まれているハニーポットたちを調べてみる -

どーも、ばぁどです。

最近、ハニーポット(Honeypot)を始めました。 ハニー・ポッター見習いです。 T-Potを植えて、現在観測中です。

T-Potを植えて毎日とてもワクワクして帰宅しております。

このワクワクは魔法世界の扉を叩いた賢者の石の時のハ○ー・ポッターのようです。

今回は、このタイミングでT-Potに含まれているハニーポットの役割や特徴を調べてみました。

kibana の画面 f:id:UltraBirdTech:20180911203209p:plain

T-Potに含まれているハニーポット

そもそも、T-PotにはいくつかのT-Potが含まれているらしい!!

github.com

なんと!!

あまり自分で調べず、知見者からの意見を鵜呑みにしてT-Pot にしたから把握していなかった。

まさにハニーポットのフルコースですね。贅沢だ。

今回はT-Potに含まれているハニーポットを調べてみようと思います。

Cowrie

SSHTelnet に対する攻撃を観測できる ハニーポット です。 主に攻撃者のブルートフォース攻撃やシェルの対話を記録するように設計された、中規模のハニーポットとのこと。

github.com

主に下記のような機能があります。

  • etc/passwordcatできるようにしてある。なお、ファイルの中身は最小構成となっている。
  • bin/playlog下に攻撃で使われたコマンドのログを保存している
  • wgetcarlでダウンロードしたファイル、もしくはアップロードしたファイルの検査ログを出力する(不正に置かれたファイルは即座に別ディレクトリに送られる模様)

(訳し間違えていたらごめんなさい)

Cowire は、もともと Kippo と言う ssh 専用のハニーポットがあり、それの改良版らしい。 バグや不具合を修正したものが、Cowire なので、基本的には Cowire を使うことが推奨されいてるようです。

Cowire の観測画面

f:id:UltraBirdTech:20180911210729p:plain

Cowire の管理画面では下記のような集計結果を見ることができます。

ブルートフォース攻撃で使われたユーザ名、パスワード

f:id:UltraBirdTech:20180911210257p:plain

一番多いのはroot、試されているパスワードは1234のようですね。まぁ、こういった情報はもう周知の事実なので、あまり深入りせずスルー。kibana なら視覚的にわかりやすく見れるよと言うことで。

使用されたコマンド

f:id:UltraBirdTech:20180911210330p:plain

ls -la var/run/gcc.pidと言うのは、現在実行中のpidを見ようとしているんですかね。 実際にググって見ると、同じようなログがkippoを利用したハニーポッターの方々から報告されていました。

Conpot

産業制御システムをターゲットに攻撃してくる攻撃者の情報を収集することができるとのこと。

詳しいことは、下記説明を見てください( ̄ー ̄)ノ" ゜ ポイッ うまく理解できなかったし、訳すこともできなかった(敗北感

conpot.org

動かすにはpython3系が必要みたい。 T-Potも基本的にPythonが必要みたいだから、ハニーポットは基本的にPythonが入っている必要があるみたいですね。

セキュリティ界隈、ハッカーの方々はPythonを使う方々が多い。 理由は、セキュリティ系、ハッキング系のライブラリが充実しているから。

当然のごとく、ConpotもPythonが必要になってくるんですねー

kibanaで観測しようと思ったのですが、このConpotへのログはまだ溜まっていなかったみたい。 他に比べて薄味ですが、ここら辺で。 また何か追加情報あったら追加します。

Dionaea

アイコンの恐竜がお気に入り。目が可愛い。

github.com

Dionaea はPythonスクリプト言語として埋め込み、libemuを使ってシェルコードを検出し、ipv6tlsをサポートしているとのこと。

libemuとは、シェルコードを検知する機能を持っているツールとのこと。

github.com

Dionaea についての説明は下記に詳しく記載されていました。 Introduction — dionaea 0.8.0 documentation

ネットワーク上に提供されたサービスの脆弱性をつくマルウェアを騙す意図がありますが、そのさきの目的はマルウェアのコピーを取得することだそうです。 FTP / HTTP / MySQL などの様々なプロトコルに対応した低対話のハニーポットです。

glastopf

Webアプリケーションを模したハニーポットgithub.com

ハニーポットの画面として出される時はこのハニーポットが動いている。

f:id:UltraBirdTech:20180912204325p:plain

Webアプリケーションエンジニアとして働いていた私にとっては、一番親近感がわくハニーポットです。 使い方とか、攻撃の仕方とかも直感的にわかるので、良き。

elasticpot

ElasticSearch 用のハニーポット。 調べたけど、これくらいの情報しか落ちてない。

https://hub.docker.com/r/honeynet/elasticpot/

honeytrap

TCP / UDP に対する攻撃を観測する ハニーポット。 デフォルトではデーモンとして実行されており、ポートへの接続時にプロセスを開始するとのこと。

github.com

mailoney

SMTPに対するハニーポット。 ドキュメントにもそれくらいのことしか書かれていない。

github.com

まとめ

T-Potって、こんなにも沢山の種類のハニーポットを含んでいたのですね。

そりゃ、4GBメモリが必要になるわけだ。

元会社の同期に色々と情報を聞いて、ログを保存するだけだと面倒臭くなってkibanaとか導入しないなと思ったから、最初からkibanaがあるT-Potにしたけど、少し大きすぎたかも(汗)

もう少し、個々のハニーポットを調べて特徴掴まないとツールに遊ばれているだけになりそう。それぞれの使い方わかったら別記事で書こうかな。

来月は時間ができる予定なので、旅行しながらゆっくり観測していこうと思います。