teppay’s log

*について書きます

セキュキャン終わってからやってること、あとハニーポットのこと

はじめに

adventar.org

  • 実は人生初めてのAdventCalenderです!!
  • こんなことをやりました、こんなことをやっていきますっていう報告程度のことしか書いていませんので、僕の熱狂的なファンの方向けの内容となっております()
  • あと随時お仲間を募集しております。同じようなことやってるって方は仲良くしてください。

第1部 セキュキャン以後のこと

セキュキャンで得たもの

  • マルウェア(解析)、生の攻撃への興味
  • 知らなかった分野への好奇心
  • ハニーポッターになるきっかけ(さくらのクラウドのクーポン)
  • すごく強い参加者や講師、チューターと会って、いい意味での焦りを感じた

teppay.hatenablog.com

いままでやったこと&いまやってること

いままで
  • Dionaea(ハニーポット)
    とりあえず、生の攻撃にさらされてみたかったので、IPAの資料でも推奨されていた低対話ハニーポットのDionaeaを構築してみました。ただ、DionaeaFRというWebフロントエンドがうまく動かなかったのでやめました。

teppay.hatenablog.com

いまやってる
  • T-Pot(ハニーポット
    T-Potは、いろんな種類のハニーポットとログ可視化のためのELKがセットになったものです。 Dionaeaをやめて、T−Potに乗り換えて今も運用しています。忙しくてログを解析することは未だ出来ていないのですが、ぼちぼちやっていこうと思います。

teppay.hatenablog.com

  • Practical Malware Analysis

    これは有名?なマルウェア解析についての本です。
    ハニーポットのログ眺めてるだけっていうのも芸がないので、ハニーポットが捕まえたマルウェアを解析してみたいと思い勉強をはじめました。真面目に洋書を読むのは初めてだったのですが、技術的な英語は読みやすいし、Kindleで買ったのでわからない単語は長押しで調べられてとても便利です。
    静的解析動的解析のことはもちろん、難読化、アンチVMなどたっぷりお腹いっぱいな内容です。各章にはLabsという練習問題的なものがついていて、その詳細な解説までついてくるのでしっかり復習できます。自分はまだ全体の8%程度しか読めていません。これから頑張っていこうと思います。

Practical Malware Analysis: A Hands-On Guide to Dissecting Malicious Software

今後やっていきたいこと

  • Kaggle(機械学習の競技サイト)
  • CTF(マルウェア解析と通じる部分もあるはずなので、とくにRevをできる様になりたい)
  • なんかしら脆弱性をみつける!
  • Practical Malware Analysisを一周したらハニーポットで捕まえたマルウェアを解析してみる
  • 現在は低対話型のハニーポットですが、強くなったら高対話型のハニーポットもやってみたい
  • 勉強会ってやつにいきたい!まじで!
  • 同じようなものに興味ある方がいれば、ぜひ一緒にやりたいです!

第2部 T-Potの観察日記0日目

ほんとに簡単なことしか書かないので0日目としました。とりあえずここ1ヶ月のログについてです。単位を日にしましたが、毎日観察するわけではないのであしからず。。。

アクセス先のハニーポット(サービス)

SSHTelnetハニーポットであるCowrieへのアクセスがダントツですね。Cowrieの生のログを見た感じの感想としては、話題のMIRAIのアクセスが多いです。そのせいで他のログが見つからない(怒 f:id:teppay:20171224001316p:plain

攻撃してくる国について

割合としてはこんな感じです。スペインとロシアからのアクセスがダントツで多いです。IPアドレスの元がその国ってだけでその国の人の攻撃かはわからないですけど、ただ国ごとにアクセスの性格が違います。それを見てるだけでも楽しいです。今回はダントツのスペインとロシアだけ、
f:id:teppay:20171224000534p:plain

スペイン

スペインは(フランスなんかもそんなイメージがありますけど)、急にどーーーーーん!!とでかいアクセスが来ます。 f:id:teppay:20171224000841p:plain

ロシア

スペインとは対照的?にロシアは、サーバを見つけてからダラダラとネチネチとアクセスしてきています。 f:id:teppay:20171224001019p:plain

Cowrieに来る悲しいPassword

TagCloudってやつです。Kibanaって便利ですね。。。
f:id:teppay:20171224002032p:plain
/bin/busyboxenableshellのようなものは、なぜかログイン後にシェルに入力したものがTagCloudに表示されてしまっています。なのでPasswordとは違うと思います。(ちなみにおそらくMIRAIのアクセスによるものです。)

ごらんの通り、

  • 123
  • password
  • admin

のような、教科書どおりのパスワードも見受けられますが、ちょっと違うのもありますね。

  • ipcam_rt5350 (IPカメラのパスワード?)
  • ho4uku6at  (ランダム?)

みたいなやつです。これなにかなと思って調べてみましたが、いろんなハニーポットで検知されているようで、それが検索に引っかかっちゃってなんのパスワードなのかわかりませんでした。前者はインターネットに接続されるタイプのカメラのデフォルトパスワードなのかなと、勝手に思っています。

ただこいつらよりも僕の心をわしづかみにした、悲しいパスワードがあります。 f:id:teppay:20171224004301p:plain こいつです。
こいつがどんな思い出こんな屈辱的な名前にされたか,,,
そしてそれが報われず、changeしてもらえないせいで、辞書攻撃のためのパスワードリストに入ってしまっているんでしょう。それともchangeしてもらえているかどうかに関わらずリストには入れられてしまうんでしょうか。僕としては後者であることを祈るばかりです。。。

おわりに

  • 今回は seccamp2017 Advent Calendar 2017 - Adventarということで、人生初のAdvent Calenderでした!
  • 内容としては大したものでは無かったし、23日を1時間ほど過ぎてからの投稿になってしまいましたが今年(の後半)を振り返ることが出来て良かったです。
  • ハニーポットに関しては、今回はほんとに表層の部分しかみることができなかったのですが、これを足がかりにもっと深いところまで分析していけたらと思います。
  • 再三になりますが、同じようなことに興味があって、意見交換できるようなお仲間を随時募集してます。いましたらTwitterで話しかけてください。