低対話型サーバハニーポットの運用結果及び考察
TRANSCRIPT
ハニーポットの運用結果及び考察
@takahoyo
目次
�ハニーポットとは
�運用したハニーポットの概要
�ログの解析について
�解析結果
�結果から考えられること
�今後どうするか
ハニーポットとは
�攻撃を受けやすいようわざと脆弱性を残したサーバなど
�主な目的
�マルウェアを捕獲する
�攻撃者(マルウェア)の攻撃を分析する
�様々な種類
�低対話型:サービスをエミュレート
�高対話型:本物のアプリケーションやOS
�クライアント型:自分から怪しいサイトにアクセスしに行く
運用したハニーポット
�2種類の低対話型ハニーポット�Dionaea�Kippo
�VPS(Virtual Private Server)にて運用
Dionaea(ハエトリグサ)
�FTP,HTTP,SMB,MSSQL,MYSQLなど多くのサービスをエミュレート�SMBやFTPで捕まえたバイナリを保存�通信のログも保存
�SQLiteのデータベースでログを出力可�Virus Totalとの連携機能(バイナリの解析結果をログに保存)�p0f v2とも連携が可通信からOSを予測(passive fingerprinting)しログに保存
Kippo
�SSHをエミュレート�Brute-force Attackをログするように設計�ログインした攻撃者にはシェルを操作させる
�コマンドもエミュレート
�シェル操作履歴もログに残る(Demo)�wgetでダウンロードしたバイナリも保存�Dionaeaと共存が可能!!
ログの解析項目
�Dionaea�日毎のアクセス回数
�アクセスされているサービス
�アクセスしてきた国
�アクセスしてきた端末のOS�捕まったマルウェアの種類
�Kippo�アクセスしてきた国
�アクセスしてきたユーザ
�アクセスしてきたパスワード
解析に用いたツール
�Excel 時々 Python�Excel
�SQLite DBをすべてCSVにしてExcelにインポート�頻度分析や結果のグラフ化など
�Python�IP→Countryの変換(GeoIP DBのPython用APIを使用)�Kippoのログからuser/passのcsvファイル作成
解析結果
�2014年6月7日~ 7月31日の約2カ月間運用�総アクセス数
�Dionaea : 2,504,496件 (SQLiteのログが2GBくらい)�Kippo : 12,243件
Dionaea解析結果
なんとなく周期がある?
圧倒的にSMB
SMB以外ではHTTP, SQL系が狙われやすい
アメリカ・ロシア・台湾・中国が多い
圧倒的にWindows
※結果が正確ではありません
Windows XP・2000が目立つ
※結果が正確ではありません
ほとんどがワーム
Kippo解析結果
ほとんど中国
・rootが圧倒的( rootでログインできないようにする)・ここにあるユーザ名は使うべきではない
ここにあるパスワードは使うべきではない
結果から考えられること (Dionaea)
�アクセスのほとんどがマルウェア(ワーム)による感染活動
→ アクセスして来た国はマルウェア感染端末が多い→ Win Vista以前のOSに感染してることが多い�SQLは狙われやすいから、使わないなら塞ごう�マルウェア収集には限界がある
→マルウェア収集にはWebクライアント型の方が良いかも
結果から考えられること (Kippo)
�マルウェアがパスワードの試行を試している可能性も
�rootでログインできないようにしておこう�passwordとかわかりやすいパスワードにするのは絶対やめよう(Honeypotなら別だが…)
今後どうするか
�ログ解析について
�マクロな解析だけでなくミクロな解析も
�改善点
�ハニーポットとわかりにくくする
�Dionaeaは、nmapでバレる�Kippoは、SHODANにバレる、シェルを操作するとバレる→ コードに改良を施す
� 9月くらいには再稼働したいな…
ENDThank you for Listening