sec-chick Blog

サイバーセキュリティブログ

【参加してきた】第6回 ハニーポッター技術交流会 〜ハニポを止めるな!〜

本日、ハニーポットにフォーカスした第6回 ハニーポッター技術交流会 〜ハニポを止めるな!〜 に参加して来ましたので、ブログに書きたいと思います。
ハニーポット:あえて攻撃を受けること前提としたシステム

 

 
ハニーポッター技術交流会とは

「あなたのハニーポット技術やログ分析の知見を共有してみませんか」をテーマにハニーポットを運用者「ハニーポッター」が集まり、発表や議論など技術的な交流を通して、セキュリティ業界の発展に貢献することが目的のイベントです。こちらのイベントはCompassから参加可能です。

hanipo-tech.connpass.com
本イベントはハニーポッター同士の交流を目的にしていることもあり、募集枠にハニーポッター枠が存在します。募集人数の半分以上がハニーポッター枠であるため、参加したい人はハニーポットを植える(運用)しておくことをオススメします。
また、このハニーポッター技術交流会の大きな特徴の一つして、参加できなかったハニーポッターや未来のハニーポッターのため、そしてセキュリティ業界への貢献のために発表者の資料公開をしてくれています。参加できなかったとしても、資料を公開しているのでどんな内容を発表したか分かるので非常に助かります。
今回の発表内容もアップロードされているので、詳細な内容はそちらを見て下さい

 

ハニーポットのログを国別で傾向分析してみた」

発表者:morihi_soc さん

 

speakerdeck.com


morihi_socさんはハニーポッター技術交流会の主催者であり、WoWHoneypotの製作者です。WoWHoneypotはHTTPの低対話型ハニーポットであり、インストールもしやすいのでオススメのハニーポットの一つです。

github.com

発表内容はハニーポットで検知したIoT機器を狙った攻撃ログを元にした国別の傾向を調査したものでした。
各IoT機器への攻撃に対してどの国のIPから来て、どの国に設置したハニーポットからの検知が多かったかを円グラフとチャートで纏めてくれています。
IoT機器への攻撃はどのようなものがあるかは以下のUnit 42 のページが参考になると思います。

unit42.paloaltonetworks.com


その中でもZYVELルータを狙った攻撃は日本からの攻撃が多く、日本が攻撃しているように見えます。morihi_socさんの過去の資料で日本の攻撃元IPの多くは家庭用のIPであるとの発表をしており、知らないうちに攻撃に利用されているケースが想定されます。普段、セキュリティに携わっている人やハニーポッターは気にするかもしれませんが、多くの人は自分のIPが攻撃に利用されていると気がつくケースはほとんどないと思います。

speakerdeck.com


なかなか気がつくことが難しいですが、現在実施されている「NOTICE」がこれらを機器に対して調査/注意喚起してくれるのがだと思っているため、攻撃者に加担しないためにも必要な取り組みではないかと考えています。もちろん、自分で気が付くのがベストだと思いますが。。。

www.nict.go.jp


自分のブログでもIoT機器を狙ったものを検知しているものの、一つのハニーポットしか運用していないので、morihi_socさんのように複数の国で運用している人の話は非常に参考になりました。

 

HTTPSハニポとFingerprint

speakerdeck.com

発表者:junk_cokenさん

発表内容はHTTPSハニーポットで取得したpcapからFingerprintを取得しようという発表内容でした。Fingerprintってどんな情報が取れるかは以下のサイトにテスト用ページがあるのでアクセスしてみるとイメージしやすいです。

valve.github.io


最近はHTTPS化が進んでいるため、HTTPSハニーポットも運用も必要になってくると考えています。今回の発表内容では、検知した通信が少ないとのデータであったため、運用するには何か工夫が必要かもしれません。


HTTPSハニーポットで取得したパケット情報からソフトウェア構成などを解析するため、Passive FingerprintツールであるJA3を利用していました。JA3で鍵交換のパケットの中身から SSL VersionやCipher Suiteの情報を取得などを取得することでソフトウェアの構成情報が分かるとのこと。しかしながら、JA3の既知のFingerprintリストはあるものの、ほとんどがリスト登録されていないとのことでした。うまく利用できれば攻撃を検知するために使えそうだとも感じました(マルウェアの通信とか特徴がありそう)。

github.com



自分はハニーポットのリクエストやマルウェアのダウンロード先などを分析していますが、パケットの中身によるFingerprintまでは分析していなかったのでハニーポットの分析方法にも色々とあると改めて思いました。


スライドの最後に物理的なハニーポットが紹介されていて、めっちゃ美味しそうでした。

www.ma-couleur.jp


自動車ハニーポット(Valpot)の構成と実験


発表者:hayao880さん

http://www.gentei.org/~hayao/material/20190309_honeypot_tech_event.pdf


自作の自動車ハニーポット(Valpot)の紹介と実際の攻撃事例の話でした。
※Valpot: Virtual automotive lure pot (hayao880さん自作のハニーポット)
自動車に対して月に30万件近くの攻撃があるとのことなので、セキュリティを無視できない分野になってきていると思います。

jidounten-lab.com


ハニーポットの構成自体はELM327をシミュレートしネットワークの通信を記録、再現することで実現しているとのこと。
※ELM327:車の状態を知ることが出来る装置

chuun-yosibu.jp


実際に設置した見た結果、1件攻撃の検知があったのですが、攻撃されたものの、ハニーポットだとバレる自体が発生。ハニーポッターなら憧れる瞬間だと思いました。実際に攻撃を受けているということは外部に公開しているELM327もあるのかは気になります。

f:id:one-chick-sec:20190310135855p:plain

今回の実験ではポート35000を利用したとのことですが、自分のハニーポットについても同様の通信が発生しないか調査してみました。直近のログを調査した結果、自分のところにはRDPの調査行為の検知のみでした。
ペイロード
...*%......Cookie: mstshash=Test..........


自動車セキュリティは普段関わらない分野なので非常に勉強になりました。また、このハニーポットは自作とのことでハニーポッターの技術力の高さを痛感しました。

ハニーポットで見るOWASP_IoT_TOP10
発表者:TKさん

低対話型を複数実装しているT-Potを運用しているハニーポッターの方で、よくブログを拝見しているので、発表を楽しみにしていました。

tk-secu.hateblo.jp


今回の発表内容はOWASP IoT TOP10に記載されている脅威をハニーポットでログで見てみるという内容でした。

www.owasp.org

日本語の記事はラック社のブログが参考になると思います。

www.lac.co.jp


なかなかIoTのセキュリティの注意点はこうですと書かれていても実感が湧かないと思いますが、こうして実際のログを見てみるとどれだけ該当する攻撃をされているか分かると思います。改めてIoTセキュリティの重要性を知ることが出来ました。
こういった情報を持っているハニーポッターが情報発信して脅威を促すことが出来るので、情報発信をしていくことは重要だと感じました。

 

「高対話型ハニーポット 「BW-Pot」の紹介と、Google BigQuery & データポータルを使用した分析の話」


発表者:graneed111 さん

speakerdeck.com


高対話型ハニーポットである「BW-Pot」作成者である graneed111 さんの発表。
高対話型ハニーポットは擬似的にシミュレートする低対話型とは違い、実際に攻撃を受けるハニーポットなります。実際に攻撃を受けるためリスクは高いですが、攻撃を受けた後の次のステップを見ることが出来ます。「BW-Pot」は公開されているハニーポットであるため、興味がある人は運用することも可能です。ただし、実際に攻撃を受けて攻撃者側になってしまう可能性もありますので、責任を持って運用することが重要です。

github.com

「BW-Pot」の特徴は以下の通りです。
①頻繁に攻撃のターゲットとなっているWebアプリケーション環境を使用
   デフォルトでWordPressphpMyadminApache Tomcatなどが攻撃を受けやすいアプリケーションが実装されています。また、アプリケーションは自分でカスタマイズすることも可能ですので、自分好みのハニーポットにすることが出来ます。

②毎日、クリーンな環境に自動リストア
 T-Potと同様にDockerコンテナをリストアするので1日で元の状態に戻ります。

Google BigQueryへのリアルタイムなログ連携
 Google BigQueryはGoogle Cloud Platformが提供するビッグデータ解析サービスです。SQL文で溜め込んだログを分析することが可能あり、Googleデータポータルでダッシュボードも作成することが可能です。
(個人的に自分のハニーポットのログにもうまく活用できないか検討中)
 
④低スペックなサーバで運用可能
 ハニーポット運用は外部のクラウドVPS上に設置することが多いですが、その際にお金が発生するので、継続して分析していく上でお金の問題は非常に重要です。AWS上で月額700〜800円程度で運用可能なので、だいぶリーズナブルに運用することが可能です。

実際に観察事例を見てみると低対話型では見ることが出来ない攻撃後からWebシェル設置までの流れを観察すること出来ます。攻撃者の目的を知るためにはやはり高対話型ハニーポットが必要だと思いました。(近いうちに運用したい!!)

 

「ハニーポッター流社会貢献」

発表者:S-Owl さん

speakerdeck.com

毎日定期的にWoWHoneypotに関する分析を公開しているハニーポッターの方です。

sec-owl.hatenablog.com



今回の内容はハニーポットのアクセスランキング、ハニーポットのログ分析方法、ログ分析の効率化などハニーポットで分析出来ることや運用のコツが書いてあるため、これからハニーポットを運用していく人は必見の内容となっています。

今回の発表内容の中でも特に印象に残ったことはハニーポッターの情報共有やアクションを起こそうといったハニーポットの情報活用方法の提案でした。
ハニーポッターは徐々に増えてきていますが、その中でも情報発信をしている人はまだまだ少ないと感じています。実際に運用していると他のハニーポッターの分析結果やどのようにして運用しているなど色々と気になってきます(最近は高対話型ハニーポットに興味があるのですが、運用方法や分析方法とか気になっています)。

実際にS-Owlさんの発表内容の中で自分のブログ記事がJPCERTのインターネット定点観測レポートの参考文献として活用されたりします(このブログの記事はフリー素材ですが、使ったことを教えてもらえると本人が喜びます)。

 

また、ちゃんと分析結果を見たら何らかのアクションを起こしてあげることも重要だと思っています。誰かの役に立っていると思うとやはりモチベーションが上がり、継続してやっていこうという気持ちになると思います。
ハニーポッタの方は twitterハッシュタグ「#ハニーポット観察」で情報発信して、他のハニーポッタの記事を見たらアクション(いいねやリツイート)をしましょう!!

また、不審な情報を見つけたら、abuse窓口やJPCERTに報告し、日本のセキュリティに貢献していくことも重要だと感じました。一人一人が取り組みことで日本のセキュリティは良くなっていくはずなので、今後は自分も積極的に取り込んでいきたいと思います。 

www.jpcert.or.jp

 

やっぱり、ハニーポッター達の発表を聞くのはすごく楽しかったです。次回は何かネタを考えてLT枠で発表を目指したいと思います。

以上、第6回 ハニーポッター技術交流会の参加してきた感想でした。