ハニーポットの運用結果及び考察

@takahoyo

目次

�ハニーポットとは

�運用したハニーポットの概要

�ログの解析について

�解析結果

�結果から考えられること

�今後どうするか

ハニーポットとは

�攻撃を受けやすいようわざと脆弱性を残したサーバなど

�主な目的

�マルウェアを捕獲する

�攻撃者（マルウェア）の攻撃を分析する

�様々な種類

�低対話型：サービスをエミュレート

�高対話型：本物のアプリケーションやOS

�クライアント型：自分から怪しいサイトにアクセスしに行く

運用したハニーポット

�2種類の低対話型ハニーポット�Dionaea�Kippo

�VPS(Virtual Private Server)にて運用

Dionaea（ハエトリグサ）

�FTP,HTTP,SMB,MSSQL,MYSQLなど多くのサービスをエミュレート�SMBやFTPで捕まえたバイナリを保存�通信のログも保存

�SQLiteのデータベースでログを出力可�Virus Totalとの連携機能（バイナリの解析結果をログに保存）�p0f v2とも連携が可通信からOSを予測(passive fingerprinting)しログに保存

Kippo

�SSHをエミュレート�Brute-force Attackをログするように設計�ログインした攻撃者にはシェルを操作させる

�コマンドもエミュレート

�シェル操作履歴もログに残る（Demo）�wgetでダウンロードしたバイナリも保存�Dionaeaと共存が可能！！

ログの解析項目

�Dionaea�日毎のアクセス回数

�アクセスされているサービス

�アクセスしてきた国

�アクセスしてきた端末のOS�捕まったマルウェアの種類

�Kippo�アクセスしてきた国

�アクセスしてきたユーザ

�アクセスしてきたパスワード

解析に用いたツール

�Excel 時々 Python�Excel

�SQLite DBをすべてCSVにしてExcelにインポート�頻度分析や結果のグラフ化など

�Python�IP→Countryの変換（GeoIP DBのPython用APIを使用）�Kippoのログからuser/passのcsvファイル作成

解析結果

�2014年6月7日～ 7月31日の約2カ月間運用�総アクセス数

�Dionaea : 2,504,496件 (SQLiteのログが2GBくらい)�Kippo : 12,243件

Dionaea解析結果

なんとなく周期がある？

圧倒的にSMB

SMB以外ではHTTP, SQL系が狙われやすい

アメリカ・ロシア・台湾・中国が多い

圧倒的にWindows

※結果が正確ではありません

Windows XP・2000が目立つ

※結果が正確ではありません

ほとんどがワーム

Kippo解析結果

ほとんど中国

・rootが圧倒的( rootでログインできないようにする)・ここにあるユーザ名は使うべきではない

ここにあるパスワードは使うべきではない

結果から考えられること (Dionaea)

�アクセスのほとんどがマルウェア（ワーム）による感染活動

→ アクセスして来た国はマルウェア感染端末が多い→ Win Vista以前のOSに感染してることが多い�SQLは狙われやすいから、使わないなら塞ごう�マルウェア収集には限界がある

→マルウェア収集にはWebクライアント型の方が良いかも

結果から考えられること (Kippo)

�マルウェアがパスワードの試行を試している可能性も

�rootでログインできないようにしておこう�passwordとかわかりやすいパスワードにするのは絶対やめよう（Honeypotなら別だが…)

今後どうするか

�ログ解析について

�マクロな解析だけでなくミクロな解析も

�改善点

�ハニーポットとわかりにくくする

�Dionaeaは、nmapでバレる�Kippoは、SHODANにバレる、シェルを操作するとバレる→ コードに改良を施す

� 9月くらいには再稼働したいな…

ENDThank you for Listening