www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

今年のログは今年のうちに

どうも。ハニーポッターの森久です。
今回は、Honeypot Advent Calendar 2017の3日目の記事です。

早いもので、2017年も12月になってしまいました。振り返ると、今年は1月にハニーポット観察記録を書籍化したところから始まり、そのご縁で大阪の tktk 勉強会に呼ばれていったり、ハニーポット技術交流会(第1回第2回)をはじめてみたり、自作の WOWHoneypot を公開してみたりと、イベント盛り沢山な一年でした。

ハニーポットの運用を始めた人もたくさんいると思いますが、今一度伝えたい事があります。

ログは分析しないと意味が無いぞ!

せっかくハニーポットにさまざまなログが蓄積されているのに、見ないのはもったいないです。
しかしハニーポット始めたばかりで、何をとっかかりとして分析をしたらいいかわからないという初心者ハニーポッターもいることでしょう。
そこでハニーポットのログ分析で、とりあえずここから始めてみたら面白いんじゃないかというテクニックをいくつかご紹介します。

 

とりま

  1. とりあえずハニーポットの様子を見る
  2. とりあえずログファイルを開いて眺めてみる

なにはなくとも、まずはこの1と2からです。ハニーポットを植えたらたまには見てあげましょう。
植物を育てるときには定期的に水やりをしますが、ハニーポットのログを見るのが水やりじゃないですかね。たまにハングアップしていたり、プロセス落ちていたり、ハニーポット事態の脆弱性を狙われて壊れていたりと正常に動作していないことがあります。
これを専門用語で、ハニーポットが枯れたといいます。なお名付けたのは私です。
枯れちゃうのはもったいないので、メンテナンスも兼ねてまずはログを見てみましょう。

 

ハニーポット全般

  1. 送信元IPアドレスの whois を調べてみる
  2. 送信元IPアドレスの国を調べてみる
  3. どの時間帯に攻撃が多いのか調べてみる

主にサーバ側のハニーポットについてです。クライアント側のハニーポットを使う人は、それなりにマニアックな人だと思うので、私がコメントしなくても自然とログを読むでしょう。
サーバ側のハニーポットでは、ログに必ずと行っていいほど送信元 IP アドレスが記録されています。そこで送信元IPアドレスについて調べてみると興味が出てくるかもしれません。
私がよく調べることは whois 情報です。下記の IPVOID というサイトを使うことが多いです。

http://www.ipvoid.com/

whois を調べると、関連して2のどの国からのアクセスかが分かることがあります。次の図は、私の WOWHoneypot に対してアクセスのあった国の一覧です。過去1ヶ月分です。

なお日本からのアクセスであれば、追加で所属組織だったり、都道府県だったり、逆引きしてホスト名を調べてみたりします。

初心者の方はおそらく複数のサーバでハニーポットを運用することはほぼないと思います。
ただもし複数のサーバでハニーポットを運用しているのであれば、サーバの違いによってアクセスがどう違っているか調べてみると、攻撃の傾向が見えてきます。

攻撃の傾向といえば、時間帯によって攻撃件数が全然違ってくることがあります。
私のハニーポットでは、少ないときと多いときのログ件数を比較すると2倍違います。

さて次からは、初心者に人気な SSH ハニーポットと、WOWHoneypot をはじめとした HTTP ハニーポットの分析ポイントを紹介します。

 

SSH ハニーポット

  1. アカウント名とパスワードの Top 10 を出してみる
  2. 人間らしい攻撃者を探してみる
  3. ハニーポットが捕獲した不審なファイルを調べてみる

SSH ハニーポットといえば、攻撃者による不正ログインの行動履歴が残りますよね。その一番最初の行動は、ログイン施行です。

どんなアカウント名なのか、またどのようなパスワードリストを使うのか調べてみましょう。root や admin だけでなく、特定メーカの管理アカウントや、IoT のデフォルトアカウント名を見つけるかもしれません。パスワードも攻撃者によって辞書攻撃に使う元ネタが異なるので、リストアップすると意外と違いがあります。たまにninjaとか入力している人がいますね。

SSH ハニーポットの良いところの1つに、攻撃者のキー入力を再現できる点があります。

機械的な入力はボットによるものなので、それほど面白くないです。それに対して、本当に攻撃者が手入力しているところはリアルを感じます。lsをミスってslと打ってたり、使いたかったコマンドが実装されていなくて混乱している様子とかね。

私の SSH ハニーポットで得たログは一部動画にして Youtube にあるので、ハニーポッターで無い方は、雰囲気だけでもどうぞ。

https://www.youtube.com/watch?v=zQKm7jlC1rg

https://www.youtube.com/watch?v=iFvLr55A5nU

不正ログインした攻撃者やボットは、大抵の場合なにかしらのファイルをダウンロードします。たとえば特権昇格のための Kernel エクスプロイトコードだったり、マルウェアだったりいろいろです。このダウンロードされたファイルも、SSH ハニーポットが記録している場合があります。せっかくなのでそのファイルを調べてみましょう。

どんなファイルなのかざっくり調べるために、まずは VirusTotal にアップロードしてみることをオススメします。
https://www.virustotal.com/

次にファイルの種別が Windows の実行ファイルか、Linux の実行ファイルであれば、動的解析してみましょう。各ファイルともオンラインの無料サービスがあります。

Windows の実行ファイルであれば Hybrid Analysis が有名です。
https://www.hybrid-analysis.com/

Linux の実行ファイルであれば Detux がオススメです。
https://detux.org/

なお絶対に自分の端末で実行しないでくださいね! 分析するときは、専用の検証環境を用意してその中でやりましょう。

 

HTTP ハニーポット

  1. アクセスしているファイルのリストを作ってみる
  2. POST メソッドのリクエストを見てみる
  3. 1つの IP アドレスの時系列を追ってみる

HTTP は普通の Web サーバのアクセスログを見るのと、同じ要領で見ても面白いと思います。最近の Web サイトにはアクセス解析ツールが埋め込まれていて、ユーザがどのページを閲覧していたか調べられると思います。ハニーポットでも、どのファイルへのアクセスが多いのか調べると、そのときの攻撃の流行が分かります。

攻撃手法はいろいろありますが、初心者ハニーポッターにオススメなのは POST メソッドのリクエストを見ることです。どのようなデータをハニーポッターへ送信しているか見てみましょう。

POST 攻撃のログ

※一部の情報を意図的に伏せています。また元々は URL エンコードされていましたが、みやすさのためデコード後の文字列を掲載しています。

ttcp_ip パラメータの部分を見ると、コマンド実行の攻撃です。外部サイトから nmlt1.sh というファイルをダウンロードおよび実行を試みていますね。

ここで狙われた脆弱性はなにかとか、ダウンロードされるファイルはなにかとか調べると面白いです。普通の Web サーバにはデータ部分のログは残らないことが多いので、ハニーポットならではという感じ。

最後、IP アドレスを追ってみましょう。いろいろなファイルをスキャンしていたり、攻撃手法を少しずつ変えていたりします。また WOWHoneypot であれば、攻撃リクエストにあわせて、レスポンス内容を変えるので、反応があるかもしれません。

私が WOWHoneypot で見つけた攻撃者の反応の例を紹介します。WOWHoneypot を利用しているハニーポッターは、ぜひ mrrid 1010 のログを探してみてください。

1回目のアクセスログ

2回目のアクセスログ

※一部の情報を意図的に伏せています。

両方とも、Bash の脆弱性を狙った OS コマンド実行の試みです。
1回目は 2014 という文字列を MD5 でハッシュ化した文字列の表示をしようとしています。そこで WOWHoneypot の mrrid 1010 では、このリクエストに対して ad43fd99987a8f6a648abe05095bf52c を返しました。
すると攻撃者からは、攻撃が成功したように見えるので2回目のアクセスログの攻撃をしてきています。

なんと、2014の文字列を MD5 でハッシュ化するコマンドの次に、uname と w と id コマンドの実行を試みた後、2015の文字列を MD5 でハッシュ化しています。
おそらく攻撃が成功するサーバの基本的な情報を収集するために、uname などのコマンドを実行したのでしょう。
他の HTTP ハニーポットでは、1回目の攻撃は検知できても2回目の攻撃を検知することは難しいと思います。WOWHoneypot ならではの特徴です。

 

まとめ

なんだか最後は WOWHoneypot の宣伝になってしまった気がする。
そこはさておき、全体を通して初心者ハニーポッターのみなさまは是非、ログの分析をしてみましょう。
そしてせっかくなので、ログ分析した過程や見つけた攻撃手法などをブログで公開してください。Honeypot Advent Calendar 2017にはまだ枠が残っていますしね。
ハニーポッター技術交流会で LT 発表してもよくてよ。

ハニーポットで得たログは今年のうちに分析しましょう。
それでは良いハニーポットライフを。Happy Hoenypot!

Written by 森久

12月 3rd, 2017 at 11:08 pm