どーも、ばぁどです。
最近、ハニーポット(Honeypot)を始めました。 ハニー・ポッター見習いです。 T-Potを植えて、現在観測中です。
T-Potを植えて毎日とてもワクワクして帰宅しております。
このワクワクは魔法世界の扉を叩いた賢者の石の時のハ○ー・ポッターのようです。
今回は、このタイミングでT-Potに含まれているハニーポットの役割や特徴を調べてみました。
kibana の画面
T-Potに含まれているハニーポット
そもそも、T-PotにはいくつかのT-Potが含まれているらしい!!
なんと!!
あまり自分で調べず、知見者からの意見を鵜呑みにしてT-Pot にしたから把握していなかった。
まさにハニーポットのフルコースですね。贅沢だ。
今回はT-Potに含まれているハニーポットを調べてみようと思います。
Cowrie
SSH と Telnet に対する攻撃を観測できる ハニーポット です。 主に攻撃者のブルートフォース攻撃やシェルの対話を記録するように設計された、中規模のハニーポットとのこと。
主に下記のような機能があります。
etc/password
をcat
できるようにしてある。なお、ファイルの中身は最小構成となっている。bin/playlog
下に攻撃で使われたコマンドのログを保存しているwget
やcarl
でダウンロードしたファイル、もしくはアップロードしたファイルの検査ログを出力する(不正に置かれたファイルは即座に別ディレクトリに送られる模様)
(訳し間違えていたらごめんなさい)
Cowire は、もともと Kippo と言う ssh 専用のハニーポットがあり、それの改良版らしい。 バグや不具合を修正したものが、Cowire なので、基本的には Cowire を使うことが推奨されいてるようです。
Cowire の観測画面
Cowire の管理画面では下記のような集計結果を見ることができます。
ブルートフォース攻撃で使われたユーザ名、パスワード
一番多いのはroot
、試されているパスワードは1234
のようですね。まぁ、こういった情報はもう周知の事実なので、あまり深入りせずスルー。kibana なら視覚的にわかりやすく見れるよと言うことで。
使用されたコマンド
ls -la var/run/gcc.pid
と言うのは、現在実行中のpidを見ようとしているんですかね。
実際にググって見ると、同じようなログがkippo
を利用したハニーポッターの方々から報告されていました。
Conpot
産業制御システムをターゲットに攻撃してくる攻撃者の情報を収集することができるとのこと。
詳しいことは、下記説明を見てください( ̄ー ̄)ノ" ゜ ポイッ うまく理解できなかったし、訳すこともできなかった(敗北感
動かすにはpython3系が必要みたい。 T-Potも基本的にPythonが必要みたいだから、ハニーポットは基本的にPythonが入っている必要があるみたいですね。
セキュリティ界隈、ハッカーの方々はPythonを使う方々が多い。 理由は、セキュリティ系、ハッキング系のライブラリが充実しているから。
当然のごとく、ConpotもPythonが必要になってくるんですねー
kibanaで観測しようと思ったのですが、このConpotへのログはまだ溜まっていなかったみたい。 他に比べて薄味ですが、ここら辺で。 また何か追加情報あったら追加します。
Dionaea
アイコンの恐竜がお気に入り。目が可愛い。
Dionaea はPythonをスクリプト言語として埋め込み、libemuを使ってシェルコードを検出し、ipv6とtlsをサポートしているとのこと。
libemuとは、シェルコードを検知する機能を持っているツールとのこと。
Dionaea についての説明は下記に詳しく記載されていました。 Introduction — dionaea 0.8.0 documentation
ネットワーク上に提供されたサービスの脆弱性をつくマルウェアを騙す意図がありますが、そのさきの目的はマルウェアのコピーを取得することだそうです。 FTP / HTTP / MySQL などの様々なプロトコルに対応した低対話のハニーポットです。
glastopf
Webアプリケーションを模したハニーポット。 github.com
ハニーポットの画面として出される時はこのハニーポットが動いている。
Webアプリケーションエンジニアとして働いていた私にとっては、一番親近感がわくハニーポットです。 使い方とか、攻撃の仕方とかも直感的にわかるので、良き。
elasticpot
ElasticSearch 用のハニーポット。 調べたけど、これくらいの情報しか落ちてない。
https://hub.docker.com/r/honeynet/elasticpot/
honeytrap
TCP / UDP に対する攻撃を観測する ハニーポット。 デフォルトではデーモンとして実行されており、ポートへの接続時にプロセスを開始するとのこと。
mailoney
SMTPに対するハニーポット。 ドキュメントにもそれくらいのことしか書かれていない。
まとめ
T-Potって、こんなにも沢山の種類のハニーポットを含んでいたのですね。
そりゃ、4GBメモリが必要になるわけだ。
元会社の同期に色々と情報を聞いて、ログを保存するだけだと面倒臭くなってkibanaとか導入しないなと思ったから、最初からkibanaがあるT-Potにしたけど、少し大きすぎたかも(汗)
もう少し、個々のハニーポットを調べて特徴掴まないとツールに遊ばれているだけになりそう。それぞれの使い方わかったら別記事で書こうかな。
来月は時間ができる予定なので、旅行しながらゆっくり観測していこうと思います。