www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(9)

Dionaea という(たぶん今もっともイケてる)ハニーポットのインストールについて説明します.

公式サイト

http://dionaea.carnivore.it/

 

インストールに使用する OS は Ubuntu 12.04.3 LTS(64bit)です.

apt でインストールしますが,標準のリポジトリにないパッケージなので,追加した後にインストールします.

$ sudo apt-get install -y python-software-properties
※途中でエンターキーの入力が必要↓
$ sudo add-apt-repository ppa:honeynet/nightly
$ sudo apt-get update
$ sudo apt-get install -y dionaea

Dionaea が使用するディレクトリを作成します.

$ sudo mkdir /opt/dionaea/
$ cd /opt/dionaea/
$ sudo mkdir wwwroot binaries log rtp bistreams

ログディレクトリのシンボリックリンクを作っておきます.

$ sudo ln -s /opt/dionaea/log /var/log/dionaea

設定ファイルのコピーと,上記で作成したディレクトリのパスを指定します.

$ sudo cp /etc/dionaea/dionaea.conf.dist /etc/dionaea/dionaea.conf
$ sudo sed -i ‘s/var\/dionaea\///g’ /etc/dionaea/dionaea.conf
$ sudo sed -i ‘s/log\//\/opt\/dionaea\/log\//g’ /etc/dionaea/dionaea.conf

 

もし Dionaea で待ち受けする IP アドレスを指定したい場合は,上記の dionaea.conf で次の2箇所を変更します.

・1個目

mode = “getifaddrs”

↓こうする

mode = “manual”

 

・2個目

addrs = { eth0 = [“::”] }

↓こうする

addrs = { eth0 = [“待ち受けしたいIPアドレス“] }

Dionaea 用のグループをユーザを作成します.

$ sudo groupadd dionaea
$ sudo useradd -g dionaea -s /usr/sbin/nologin dionaea

Dionaea 用のディレクトリのパーミッションを上記で作成したユーザに変更します.

$ sudo chown -R dionaea:dionaea /opt/dionaea/

 

以上で準備が整いました.起動してみる.

$ sudo dionaea -c /etc/dionaea/dionaea.conf -w /opt/dionaea -u dionaea -g dionaea -D

 

Dionaea は起動時に特に AA は表示されません.起動時の情報が数行表示されるだけです.

 

nmap で -sS するとこんな結果になります.(一部の情報を伏せています)

dionaea_nmap

 

外から見えるサービスはあまり多くないですが,最近の攻撃のトレンドを考慮すると,これで十分だと思います.

 

ログですが,各ディレクトリそれぞれに以下のようなログが残ります.

/opt/dionaea/binaries/
ファイル共有で不正に作成されたファイル.主にマルウェア.

/opt/dionaea/bistreams/
このディレクトリの下に,さらに日付のディレクトリが作成されます.日付ディレクトリの中に攻撃者からの通信の記録が残ります.

/opt/dionaea/log/
Dionaea 自体のログです.

/opt/dionaea/rtp/
SIP のセッションデータが記録されます

/opt/dionaea/wwwroot/
Web のドキュメントルートですが,FTP や TFTP のルートディレクトリも兼ねています.なおここに,index.html ファイルを作成しておくと,HTTP 接続時にファイルを指定しなくとも表示されます(例:http://www.example.jp/ のアクセス時に http://www.example.jp/index.html へアクセスしたとみなされる).index.html がない場合はディレクトリリスティングの結果が表示されます.

 

Dionaea 自体はハニーポット観察記録を始める前から使用しています.HTTP の攻撃観測やマルウェアの捕獲はもちろん,ログもきちんと取れます.ハニーポットとしての機能が充実しているので,冒頭にも書きましたがイケてるハニーポットです.

 

ただ不正に作成されたファイルを後から参照可能なので,こまめにファイルのチェックは必要です.例えば,

  • FTP で anonymous 接続し,PUT されたファイルが,後から FTP 接続して GET できる.
  • FTP のルートディレクトリが Web のドキュメントルートと同じなので,HTTP で接続しても,FTP で PUT したファイルをダウンロードできる.

そのため踏み台として悪用される可能性があるので,この点は運用時に注意が必要です.(定期的にファイルを消す,別ディレクトリに移動させる等)

 

注意点はありますが,ハニーポットとしては優秀だと思います.これからハニーポットを使ってみたいという人は,とりあえずこの Dionaea から始めるのが良いのではないでしょうか.

Written by morihisa

10月 30th, 2013 at 4:44 pm