低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots

Transcript

1. ハニーポットの運用結果及び考察 @takahoyo

2. 目次 šハニーポットとは š運用したハニーポットの概要 šログの解析について š解析結果 š結果から考えられること š今後どうするか

3. ハニーポットとは š 攻撃を受けやすいようわざと脆弱性を残したサーバなど š 主な目的 šマルウェアを捕獲する š攻撃者（マルウェア）の攻撃を分析する š 様々な種類 š

   低対話型：サービスをエミュレート š 高対話型：本物のアプリケーションやOS š クライアント型：自分から怪しいサイトにアクセスしに行く

4. 運用したハニーポット š2種類の低対話型ハニーポット šDionaea šKippo

5. Dionaea（ハエトリグサ） šFTP,HTTP,SMB,MSSQL,MYSQLなど多くのサービスをエミュレート šSMBやFTPで捕まえたバイナリを保存 š通信のログも保存 šSQLiteのデータベースでログを出力可 šVirus Totalとの連携機能（バイナリの解析結果をログに保存） šp0f v2とも連携が可 通信からOSを予測(passive

   fingerprinting)しログに保存

6. Kippo šSSHをエミュレート šBrute-force Attackをログするように設計 šログインした攻撃者にはシェルを操作させる šコマンドもエミュレート šシェル操作履歴もログに残る（Demo） šwgetでダウンロードしたバイナリも保存 šDionaeaと共存が可能！！

7. ログの解析項目 šDionaea š日毎のアクセス回数 šアクセスされているサービス šアクセスしてきた国 šアクセスしてきた端末のOS š捕まったマルウェアの種類 šKippo šアクセスしてきた国 šアクセスしてきたユーザ

   šアクセスしてきたパスワード

8. 解析に用いたツール šExcel 時々 Python šExcel šSQLite DBをすべてCSVにしてExcelにインポート š頻度分析や結果のグラフ化など šPython šIP→Countryの変換（GeoIP

   DBのPython用APIを使用） šKippoのログからuser/passのcsvファイル作成

9. 解析結果 š2014年6月7日 ～ 7月31日の約2カ月間運用 š総アクセス数 šDionaea : 2,504,496件 (SQLiteのログが2GBくらい) šKippo

   : 12,243件

10. Dionaea 解析結果

11. なんとなく周期がある？

12. 圧倒的にSMB

13. SMB以外では HTTP, SQL系が狙われやすい

14. アメリカ・ロシア・台湾・中国が多い

15. 圧倒的にWindows ※結果が正確ではありません

16. Windows XP・2000が目立つ ※結果が正確ではありません

17. ほとんどがワーム

18. Kippo 解析結果

19. ほとんど中国

20. ・rootが圧倒的( rootでログインできないようにする) ・ここにあるユーザ名は使うべきではない

21. ここにあるパスワードは使うべきではない

22. 結果から考えられること (Dionaea) šアクセスのほとんどがマルウェア（ワーム）による感染活動 → アクセスして来た国はマルウェア感染端末が多い → Win Vista以前のOSに感染してることが多い šSQLは狙われやすいから、使わないなら塞ごう šマルウェア収集には限界がある

    →マルウェア収集にはWebクライアント型の方が良いかも

23. 結果から考えられること (Kippo) šマルウェアがパスワードの試行を試している可能性も šrootでログインできないようにしておこう špasswordとかわかりやすいパスワードにするのは絶対やめよう （Honeypotなら別だが…)

24. 今後どうするか šログ解析について šマクロな解析だけでなくミクロな解析も š改善点 šハニーポットとわかりにくくする šDionaeaは、nmapでバレる šKippoは、SHODANにバレる、シェルを操作するとバレる → コードに改良を施す š

    9月くらいには再稼働したいな…

25. END Thank you for Listening