本記事は、Honeypot Advent Calendar の18日目の記事です。
沢山の方のハニーポットの知見を読ませていただき、とても参考にさせていただいております。 ありがとうございます。
さて、そんな私ですが今回は12月に入ってハニーポッターになって3ヶ月目になりました。 年末ですし、せっかくの機会なので振り返りを行なっていきます。
なぜ始めたのか?
改めて、なぜ始めたかを振り返ります。
今年Webアプリケーションエンジニアからセキュリティエンジニアへのジョブチェンを目指していたため、少しでもリアルにサイバー攻撃を経験できる場が欲しかったからです。 結果マルウェアを取得できたり、CVEを検出できたりするので、それらの解析をできているのはとても良い経験になっています。
将来的にセキュリティエンジニア ですって名乗るためにも、他人がアウトプットしたセキュリティ記事を読み漁るだけじゃなくて、自分自身で攻撃を経験して調査してアウトプットする能力を養いたいわけですよ。
— ばぁど (@UltraBirdTech) 2018年8月23日
ハニーポットを植えて何ができるようになった?
マルウェア解析
マルウェアを収集できるようになったので、マルウェアの解析をできるようになりました。 主にマルウェアの表層解析とVirus Totalでの結果を集計しています。
下記のようにPythonで解析スクリプトを作り、作業の自動化にも取り組んでおります。 比較的綺麗にリファクタリングできているかなと思っております。
CVEについて
あまり過去に発表されたCVEについて触れるこがなかったのですが、 ハニーポットで検知したCVEの調査を行うことでどのような脆弱性があるかを知るきっかけになります。 週によっては特定の脆弱性に対する攻撃回数が極端に伸びる時があり、流行の攻撃がわかります。 なぜ、攻撃が流行っているのか調べると面白そうなのですが、そこまでできていない・・・
今まで検知したCVEの総数は17個。 下記が今まで検知したCVEのまとめになります。
検知日時:2018年9月9日 - 2018年12月14日
CVE | 検知した回数 |
---|---|
CVE-2005-4050 | 370 |
CVE-2017-7269 | 109 |
CVE-2017-5638 | 95 |
CVE-2017-0143 | 76 |
CVE-1999-0183 | 46 |
CVE-2003-0818 | 25 |
CVE-2014-3120 | 23 |
CVE-2016-6563 | 17 |
CVE-2003-0825 | 8 |
CVE-2015-1427 | 7 |
CVE-2014-3566 | 6 |
CVE-2014-0160 | 6 |
CVE-2008-4250 | 4 |
CVE-2012-1823 | 2 |
CVE-2010-3055 | 2 |
CVE-2017-9805 | 1 |
CVE-2005-0045 | 1 |
定期的なアウトプットの癖
定期的なアウトプットの癖がつきました。 気が向いた時とか、面白そうな攻撃が検知できたときだけアウトプットしようとすると三日坊主になってしまうので笑
頑張って毎週土曜日に観測日誌を書いているので、もしよければ覗いてみてください。
今後の展望
ログ分析
ログを分析した上で、観察日誌としてアウトプットを行なっていきます。
ただ、まだ何が悪いログなのかがわからない・・・ ここら辺のスキルがまだ足りていないようです。
そして、できるのであればログに対して怪しいものを自動検出して、slackに通知とかやってみたい。 AIとか導入して機械学習の勉強材料にしたいところです。 妄想している状況なので、できるかわかりませんが笑
技術同人誌企画しています!!
技術同人誌絶賛企画中です。
shin・DO・meeee を2019年も、どうぞよろしくお願いします。
サークル内にハニーポッターが2人いるので、共同執筆でハニーポットで得た経験をまとめて本としてアウトプットしようと企画中です。 内容は色々と考えているので、乞うご期待ください。
次回、技術書典受かるかどうかわかりませんが・・・苦笑
まとめ・所感
2018年、セキュリティエンジニアとしての第一歩を踏み出せたかなと思います。
2019年も引き続き、ハニーポットの運用を行いつつ自分の糧にできればいいなー。
以上です。