Elastic Stack

Technology Innovation Group

2017.06.20(Tue) Masamitsu Maehara

世界にさらしたサーバを可視化してみた

自己紹介 前原 応光（まえはら まさみつ）

Future Architect, Inc.

Technology Innovation Group

AWSをゴニョゴニョやってますー

ゆるふわエンジニア

@micci184

目的 Elastic Stackの魅力を知ってもらう

ログを可視化する楽しさを知ってもらう

Elastic Stack??

Elastic Stack

Elastic CLoud

LogStash Beats

Elasticsearch

Kibana

+

Security

Alert

Monitor

Graph

Logstash/Beats：取込み

Elasticsearch：保存/インデックス/分析

Kibana：ユーザインターフェース

世界にさらす？

HoneyPot

??

HoneyPot 高対話型ハニーポット

本物のOSやアプリケーションを利用する

情報が得られやすい

リスク高い

低対話型ハニーポット

OSやアプリケーションをエミュレートして監視する

機能制限がある

攻撃者にバレる可能性がある

高対話型より安全

Dionaea 低対話型ハニーポット

マルウェア収集するよ

SMB/HTTP/HTTPS/FTP/TFTP/MSSQL/SIP

それっぽくするために、フロントの画面はつくる

低対話型ハニーポット

SSH特化

Kippoよりもよくできている

Cowrie

今回の構成について

AWSを使用

ハニーポットにBeatsをインストール

Elastic Stackにデータを統合

Dionaea

Region@Virginia

HaneyPot VPC

Public Subnet

Cowrie Elastic Stack

Wordpress

Client ・・・

Monitoring

Attack

Logging

Install Dionaea ### Ubuntu 14.04 $ sudo apt-get update

$ sudo apt-get dist-upgrade

$ sudo apt-get install software-properties-common

$ sudo add-apt-repository ppa:honeynet/nightly

$ sudo apt-get update

$ sudo apt-get install dionaea

### Start Dionaea

$ sudo service dionaea start

Install Cowrie ### Ubuntu 16.04 $ sudo apt-get install git python-virtualenv libmpfr-dev libssl-dev libmpc-dev libffi-dev build-essential libpython-dev python2.7-minimal authbind

### adduser Cowrie

$ sudo adduser --disabled-password cowrie

$ sudo su - cowrie

### Setup Virtual Enviroment

$ virtualenv cowrie-env

$ source cowrie-env/bin/activate

### Install configuration file

$ export PYTHONPATH=/home/cowrie/cowrie

### Start Cowrie

$ bin/cowrie start

Activating virtualenv “cowrie-env”

Starting cowrie: [twistd -l log/cowrie.log --umask 0077 --pidfile var/run/cowrie.pid cowrie ]...

$ bin/cowrie status

cowrie is running (PID: 5979).

Beats データシッパー

Beatsには家族がいるよ

Filebeat：ログファイルを送る

Metricbeat：メトリックデータ（CPU/Mem..etc）を送る

Packetbeat：パケットキャプチャデータを送る

Winlogbeat：Windowsイベントログを送る

Hearbeat：稼働状況の監視

Data Flow WordPressのApache/MySQLは直接Elasticsearchにストア

ハニーポットが出力するログをLogstashを介してElasticsearchにストア

Dionaea Filebeat

Ubuntu

+ Log /dionaea.log /binalies/*

Amazon Linux

Logstash + Input + Filter + Output

Cowrie Filebeat

Ubuntu

+ Log /cowrie.log

Elastic search

Kibana Metric Beat

Filebeat

Amazon Linux

+ Apache

Apache

WordPress

Packetbeat + MySQL

Filebeat Modules Filebeat をインスール

$ curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.0.0-alpha2-x86_64.rpm

$ sudo rpm -vi filebeat-6.0.0-alpha2-x86_64.rpm

### Configuring

$ vim /etc/filebeat/filebeat.yml

#------------------------------- Apache2 Module ------------------------------

- module: apache2

# Access logs

access:

enabled: true

var.paths: ["/var/log/httpd/access_log"]

error:

enabled: true

var.paths: ["/var/log/httpd/error_log"]

#-------------------------- Elasticsearch output -------------------------------

output.elasticsearch:

hosts: [“xxx.xxx.xxx.xxx:9200"]

Ingest Plugins Ingest Geoip & Ingest user agent をインストール

Ingest Geoip：IPアドレスの地図マッピングをよしなに

Ingest user agent：ユーザーエージェントをよしなに

Ingenst Pluginsは、Elastic Stackサーバにインストール

### Ingest Geoip

$ sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install ingest-geoip

### Ingest user agent

$ sudo /usr/share/elasticsearch/bin/elasticsearch-plugin install ingest-user-agent

!!Attention #01 プロキシ環境は気を付けて

Ingest Pluginsインストール時にタイムアウトエラー

起動スクリプトにプロキシ設定を実施し、インストール

$ sudo /usr/share/elasticsearch/bin//elasticsearch-plugin install ingest-user-agent

-> Downloading ingest-user-agent from elastic

Exception in thread "main" java.net.ConnectException: 接続がタイムアウトしました (Connection timed out)

### Setup Proxy

$ export ES_JAVA_OPTS="-Dhttp.proxyHost=xxx -Dhttp.proxyPort=xxx -Dhttps.proxyHost=xxx -Dhttps.proxyPort=xxx"

### Install ingest-user-agent

$ /usr/share/elasticsearch/bin/elasticsearch-plugin install ingest-user-agent

-> Downloading ingest-user-agent from elastic

[=================================================] 100% ### Ingest Geoip

!!Attention #02 プロキシ環境は気を付けて

Filebeat起動時にDashboardsをインポートしてくれる優れもの

＃filebeat.ymlのDashbords設定で起動時にインポートが可能

ただし、プロキシ環境だと起動できずに死亡。。Orz

なので手で入れましょう

$ sudo vim /etc/filebeat/filebeat.yml

#============================== Dashboards =====================================

- #setup.dashboards.enabled: false

+ #setup.dashboards.enabled: enable

$ sudo /usr/share/filebeat/scripts/import_dashboards -file /tmp/beats-dashboards-x.x.zip -es http://xxx:9200

Visualization♥

素敵♥

今までは…

Filebeatで可視化したいログをLogstashに送る

Logstashが受け付けたログを正規化して、Elasticsearchにストア

Kibanaでいい感じに見れるようにDashbordを作成

あれ？ Logstash不要説？

そんなことはない！

Logstash & Dionaea

Malware Dionaeaに仕込まれたマルウェア？

/opt/dionaea/var/dionaea/binariesにウヨウヨ…

$ ll /opt/dionaea/var/dionaea/binaries

-rw------- 1 dionaea dionaea 53 Jun 6 02:59 d41d8cd98f00b204e9800998ecf8427e.gz

-rw------- 1 dionaea dionaea 162168 Jun 7 22:56 dc8c32d7f26352c8484bc490b6467843.gz

-rw------- 1 dionaea dionaea 153820 Jun 7 02:34 dd0400bed68d272b08d1d0272bc18462.gz

-rw------- 1 dionaea dionaea 129803 Jun 5 01:01 de1e602b2452a95ba57ef53347e50094.gz

-rw------- 1 dionaea dionaea 22778 Jun 6 17:38 e0ddd8bf8e3b97ad25855721dc75daae.gz

-rw------- 1 dionaea dionaea 155154 Jun 7 04:33 e53ed987e82ad7bf076c23d91401cac7.gz

-rw------- 1 dionaea dionaea 1189 Jun 8 15:32 ead49a9b7b0c8ad6894be45674cebf77.gz

-rw------- 1 dionaea dionaea 22777 Jun 6 17:39 eb18a7d302bbc8c0b3ed2cd1612e8d59.gz

…

-rw------- 1 dionaea dionaea 21966 Jun 5 16:52 ee0efafc69a13cd57d714ffdc603d8fc.gz

-rw------- 1 dionaea dionaea 154329 Jun 4 16:48 f09ee5028fd1b1eaaf22df1538de159b.gz

-rw------- 1 dionaea dionaea 156637 Jun 9 08:51 f5f1fd0d093d81a4a769c20aca1d6232.gz

-rw------- 1 dionaea dionaea 29643 Jun 8 15:34 fc9b0b8b711e44ce0d4f91b0cedb1c76.gz

ClamScan マルウェア？ってことで、スキャン実行

FOUNDがマルウェア判定

$ clamscan /opt/dionaea/var/dionaea/binaries/

/opt/dionaea/var/dionaea/binaries/f09ee5028fd1b1eaaf22df1538de159b.gz: Win.Worm.Kido-200 FOUND

/opt/dionaea/var/dionaea/binaries/621c0b356c49edc5ce4cf3ee88c30f82.gz: OK

/opt/dionaea/var/dionaea/binaries/90e02a26204ade7771acf7e8521bdf09.gz: Win.Worm.Kido-297 FOUND

/opt/dionaea/var/dionaea/binaries/02830b424d88664cc3576941dd9841f9.gz: Win.Worm.Kido-307 FOUND

/opt/dionaea/var/dionaea/binaries/a7bc14c1bd7271a45391f1e1541afe43.gz: Win.Worm.Downadup-110 FOUND

/opt/dionaea/var/dionaea/binaries/87136c488903474630369e232704fa4d.gz: Win.Worm.Kido-113 FOUND

/opt/dionaea/var/dionaea/binaries/1195dfde6305980ed050a9751b157f42.gz: Win.Worm.Kido-293 FOUND

/opt/dionaea/var/dionaea/binaries/1b4cd56e54d3f9030a153590fb3fa9e5.gz: Win.Worm.Kido-316 FOUND

/opt/dionaea/var/dionaea/binaries/fc9b0b8b711e44ce0d4f91b0cedb1c76.gz: OK

/opt/dionaea/var/dionaea/binaries/cae8a8524eeb0e7de1fb3704bd14b7ba.gz: Win.Trojan.Ramnit-1847 FOUND

/opt/dionaea/var/dionaea/binaries/7bb455ea4a77b24478fba4de145115eb.gz: Win.Worm.Kido-197 FOUND

/opt/dionaea/var/dionaea/binaries/eb18a7d302bbc8c0b3ed2cd1612e8d59.gz: OK

/opt/dionaea/var/dionaea/binaries/smb-az4poq4s.tmp.gz: OK

/opt/dionaea/var/dionaea/binaries/16acf30169d089b8a967f40d9a38d8f7.gz: Win.Trojan.Agent-129152 FOUND

仕込まれたマルウェアを リアルタイムに監視したい…

Data Flow 定期的にClamScanを実行し、ログ出力

FilebeatがログをElastic Stackサーバに送る

Logstashはインプットしたデータを正規化し、Elasticsearchにストアする

Kibanaで可視化

Dionaea Filebeat

Ubuntu

+ Log /binalies/* /log/scan.log

clamscan.sh

Amazon Linux

Logstash + Input + Filter + Output

Elastic search

Kibana Metric Beat

ちなみに、みなさん使ってます？

Logstash

Logstash vs fluentd Google Trendで比較

国別で比較

青：Logstash

赤：fluentd

Grok filter

Grok Filter

ClamScanした結果が、以下でしたね

これをいい感じに正規化して必要なKey-Valueを抽出する必要あり

欲しい値

OK/FOUND (Key : check)

マルウェア名 (Key : malware)

$ clamscan /opt/dionaea/var/dionaea/binaries/

/opt/dionaea/var/dionaea/binaries/f09ee5028fd1b1eaaf22df1538de159b.gz: Win.Worm.Kido-200 FOUND

/opt/dionaea/var/dionaea/binaries/621c0b356c49edc5ce4cf3ee88c30f82.gz: OK

/opt/dionaea/var/dionaea/binaries/90e02a26204ade7771acf7e8521bdf09.gz: Win.Worm.Kido-297 FOUND

/opt/dionaea/var/dionaea/binaries/02830b424d88664cc3576941dd9841f9.gz: Win.Worm.Kido-307 FOUND

つらい…

Grok Constructor http://grokconstructor.appspot.com/do/match

Grok Constructor

Webブラウザでテスト可能

Logstashで標準出力で試すのもあり

Logstash.conf書き換えるの面倒とかだったら便利

ここにログを貼る

Grok Filter

貼っつけたらGO!!

Grok Constructor

結果は、こんな感じ

checkにOK/FOUNDが抽出できている

ただし、マルウェア名が抽出できていない

再度、Grok Filter

dataで抽出した値を対象とする

Grok Filter

貼っつけたらGO!!

Grok Constructor

結果は、こんな感じ

malwareにマルウェア名が抽出できている

Logstash.conf

最終的にこんな感じ

input { beats { port => 5044 } } filter { grok { match => [ "message", "/[^/]+/[^/]+/[^/]+/[^/]+/(?<field>[^/]+)/%{GREEDYDATA:data}%{WORD:check}"] remove_field => [ "host", "message" ] } grok { match => [ "data", "(?:[¥w._/%-]+)%{WORD}(?:[:]*)%{GREEDYDATA:malware}"] remove_field => [ "data" ] } } output { elasticsearch { hosts => "http://xxx.xxx.xxx.xxx:9200/" } }

いい感じに取れてる

Malware♥

まとめ Elastic Stackを活用することで、インプットからアウトプットまで、全てを任せ

ることができる

Beatsを使うことで簡単に可視化できる

とりあえずサーバを公開すれば、ログの幅が広がる

この発表を聞いて今すぐにでもサーバ公開したくなったはず？

Logstashに負けないで！

Thanks