Honeypot on GCE (Google Compute Engine)

ハニーポット０円生活 
～GCPの無料枠を活用しよう！～ 
第30回ゼロから始めるセキュリティ入門勉強会 
2019/08/28 
hiro（@ctrl_z3r0） a.k.a ねこさん⚡（@catnap707） 

View Slide

自己紹介 
hiro（Twitter:@ctrl_z3r0）
※勉強会用アカウント 
ねこさん⚡Иow or Иever(ΦωΦ)
　@catnap707 ばらまきメールウォッチャー 

View Slide

アジェンダ 
１　ハニーポットとは 
２　ハニーポットに必要なもの 
３　仮想サーバ（VPS）の準備 
４　GCP/GPEを使ってみよう 
５　ハニーポットの選定 
６　ハニーポットの設置 
７　ハニーポッターの紹介 
８　まとめ 
■参考情報 
・これから始めるGCP（GCE）安全に無料枠を使い倒せ（2019-05-23） 
　https://qiita.com/Brutus/items/22dfd31a681b67837a74

View Slide

4
１　ハニーポットとは 

View Slide

ハニーポットとは（１/２） 
5
■ハニーポットの概要　　　 
　　　 
■参考情報 
・ハニーポットとは - IT用語 
　https://e-works.jp/w/ハニーポット.html 
・ハニーポット - WikiPedia 
　https://ja.wikipedia.org/wiki/ハニーポット 
　ハニーポットとは、はちみつの入った壺という意味の英
単語。情報セキュリティの分野では、わざと脆弱性があ
る状態のように見せかけたサーバなどのことを指す。外
部からの攻撃に関する情報を収集するのが目的。 
高対話型：脆弱性が存在する本物のOSやアプリケー 
　　　　　　　ションを用いて構築されたもの。 
低対話型：脆弱性が存在するOSやアプリケーションの 
　　　　　　　環境や振る舞いをエミュレートする。 

View Slide

6
■ハニーポットの目的　 
　　　 
■参考情報 
・サイバー・デセプション（Cyber Deception）とは何か？(2016-07-28) 
　https://www.scientia-security.org/entry/2016/07/28/094709 
・サイバー攻撃を偽のネットワークに誘いこむ「STARDUST」 NICTが開発（2017-05-31） 
　https://www.itmedia.co.jp/enterprise/articles/1705/31/news155.html 
　何らかの有益そうな情報や資源がありそうに見せかけて攻撃者の手
法や攻撃の傾向を収集・分析を目的として設置することが多い。 
 
ハニーポットとは（２/２） 
　サイバー・デセプション（Cyber Deception）とは、ハニーポットのような
デコイ（囮）サーバを多数用意して、攻撃者が攻撃すべき対象を選定し
たり囮サーバを攻撃している間に、攻撃を検知したり、本当に攻撃され
てはいけないサーバへの対応への時間を稼ぐ技術のこと。 
例）Deceptions Everywhere (illusive networks) 
　　Attivo （Attivo Networks）、 
　　Deception GRID（TrapX Security） 
　　サイバー攻撃誘引基盤「STARDUST」（NICT） 
■サイバー・デセプション（おとりとしてのハニーポット） 

View Slide

7
２　ハニーポットに必要なもの 

View Slide

ハニーポットに必要なもの 
8
■ハニーポットを稼働させるサーバ 
　サーバのサイジング（CPUコア、メモリ、ディスク等）をどうするか。 
　→稼働させたいハニーポットプログラムによって要求するスペックが 
　　異なるが、Windowsが動くスペック（２コア、メモリ4〜8GB）で基本十分 
 ■通信回線 
　基本的に常時接続回線が必要。 
　自宅サーバの場合、別途、回線契約するのが無難。 
 ■OS 
　Linux推奨（Ubuntu、Debian、CentOS）、Windowsは要ライセンス 
 
 
■知識 
　Linuxに関する知識（稼働には設定ファイルの修正が必要） 
　ファイアウォールに関する知識 
 
【手軽にハニーポットを始めるには・・・】 
　物理サーバや通信回線の準備が不要な仮想サーバ（VPS 
　Virtual Private Server）を用意して構築することをお勧めします。 

View Slide

9
３　仮想サーバ（VPS）の準備 

View Slide

仮想サーバ（VPS）の準備 
10
■参考情報 
・[PDF]スクリーニングで選別可能！～会員登録済のメールアドレスはどれだ？～ - 愛知県警察（2018-12-19) 
　https://www.pref.aichi.jp/police/anzen/cyber/osirase/documents/screening.pdf 
・パスワードリスト攻撃の事前スクリーニング、大胆なその手口 - Security NEXT（2018-06-22） 
　http://www.security-next.com/094772 
VPSサービス  メモリ  ストレージ  月額費用（税込み） 
さくらのVPS  512MB  20GB  685円 
カゴヤのVPS  1GB  20GB  648円 
ServerMan  256MB  5GB  350円 
■国内のVPSサービス 
■海外のVPSサービス（無料枠） 
VPSサービス  メモリ  ストレージ 
GCPの無料枠  614MB  30GB 
AWS無料利用枠  Lambda100万リクエスト/月
AWS12ヵ月無料利用枠  1GB  5GB 
GCP(Google Cloud
Platform)の無料枠が 
おすすめ！ 
12か月の無料枠が終わって
も、条件を満たせば引き続
き、無料のまま利用 
（AlwaysFree）できる。 

View Slide

GCP（Google Cloud Platform）とは 
11
■GCP（Google Cloud Platform) 
■参考情報 
・GCEとGAE、どっち使えばいいの？という人のためのGCP運用診断（2019-04-10) 
　https://qiita.com/defunty/items/f837c9e09c8ccc6033b3 
　Googleが提供するクラウドサービス群の総称 
　　Amazon→AWS 
　　Microsoft→Azure 
 ■GCE（Google Computer Engine） 
　Googleが提供する IaaS（Infrastructure as a Service） 
　　AWS→EC2 
　　Azure→VirtualMachine 
 ■GAE（Google App Engine） 
　Googleが提供する PaaS（Platform as a Service） 
　　AWS→Elastic Beanstalk 
　　Azure→AppService 
 

View Slide

GCP/GCEを使ってみよう（１／４） 
12
「GCP 無料枠長期トライアル」で検索！ 
https://cloud.google.com/free/?hl=ja 

View Slide

GCP/GCEを使ってみよう（２／４） 
13
無料枠（Always Free）の条件は３つ 
①アメリカusのリージョンを選択する。 
　（西海岸のus-west1が東京に近くておすすめ） 
②f1-microというマシンタイプを選択する。 
③ストレージは30GBのHDDを選択する。 

View Slide

GCP/GCEを使ってみよう（３／４） 
14

View Slide

GCP/GCEを使ってみよう（４／４） 
15

View Slide

やっておこうGCPのSSH設定（１／２） 
16
ssh-keygenコマンドで、SSHのホストキー（秘密鍵）を 
作って、その秘密鍵をコンソールに登録しておきます。 

View Slide

やっておこうGCPのSSH設定（２／２） 
17
■SSHのポート番号を変更（22/tcp⇒22022/tcp) 
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options
override the
# default value.
#Port 22
Port 22022
ハニーポット用途なので、 
SSH（22/tcp）のほか、TELNET(23/tcp)、 
HTTP（80/tcp）などをGCPのファイアウォールで許可。 

View Slide

18
４　ハニーポットの選定 

View Slide

ハニーポットの選定 
19
■何を収集したいかによって選定するとよい 
■参考情報 
・British Airwaysの情報流出、Ticketmaster事件のハッカーグループが関与か(2018-09-12) 
　https://japan.zdnet.com/article/35125475/ 
・サイバー犯罪集団「Magecart」の新しい攻撃を確認、広告配信サービスを侵害しスキミングコードを注入(2019-01-18) 
　https://blog.trendmicro.co.jp/archives/20150 
ハニーポット  監視対象  目的 
WOWHoneypot  HTTP  Webサーバへの攻撃手法の収集 
Cowrie  SSH/Telnet  SSH/Telnetへの攻撃の収集 
Dionaea 
HTTP、FTP、 
TFTP、SMB、 
MSSQL、VoIP 
Webサーバ、FTP/TFTPサーバ、
SMB、MSSQL、VoIPの攻撃の収集 
T-Pot  各種詰合せ 
各種のハニーポットを同時に稼働 
ElasticSearchとKibanaを搭載 
BW-Pot 
WordPress、
Tomcat、 
phpMyAdmin 
高対話型ハニーポット 
詳細な攻撃者のログを収集可能 
【悲報】無料枠ではリソースが足りない 

View Slide

20
５　ハニーポットの構築 

View Slide

WOWHoneypotの構築 
21
■参考情報 
・GitHub - morihisa / WOWhoneypot  
　https://blog.kawa-xxx.jp/entry/2018/04/30/161300
 
・WoWHoneypotを植えてみよう - hogehogehugahuga（2018-08-04）
 
　https://qiita.com/hogehogehugahuga/items/cad931485f58ae487d53
 
・WOWHoneypotを構築してみた - かわろぐ（2018-04-30）
 
 
・WOWHoneypotをサービス化してみる - かわろぐ（2018-05-06）
 
 
■Welcome to Omotenashi Web Honeypot(WOWHoneypot) 
【ユーザwowの作成】 
# adduser wow 
# su - wow 
 
【git cloneでインストール】 
$ git clone https://github.com/morihisa/WOWHoneypot.git wowhoneypot 
 
【実行】 
$ cd ~/wowhoneypot 
$ python3 ./wowhoneypot.py 
 
詳細は、先人の方々のブログを
ご参照ください！ 

View Slide

cowrie、cowrie-logviewerの構築 
22
■参考情報 
・Cowrie SSH/Telnet Honeypot 
　https://github.com/cowrie/cowrie
 
・ハニーポットCowrieを設置した話（2018-01-22）
 
　https://socketo.hatenablog.jp/entry/2018/01/22/000537
 
・SSHハニーポットのCowrieをインストールしてみた - とりあえずブログ（2018-05-29）
 
　https://saito.hatenadiary.com/entry/2018/05/29/231306
 
・SSHハニーポット「Cowrie」を構築してみた - ITオムライス（2018-11-17）
 
　https://it-omurice.tokyo/?p=59
 
■cowrie、cowrie-logviewerの構築 
【ユーザwowの作成】 
# adduser cowrie 
# su -cowrie 
 
【git cloneでインストール】 
$ git clone https://github.com/cowrie/cowrie.git 
 
【実行】 
$ cd ~/cowrie/bin 
$ cowrie 
 
詳細は、先人の方々のブログを
ご参照ください！ 

View Slide

iptablesによるひと工夫 
23
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 153.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022
REDIRECT tcp -- 150.xx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022
REDIRECT tcp -- 180.xx.xx.xx 0.0.0.0/0 tcp dpt:22 redir ports 22022
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 8080
DOCKER all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL
許可されたIP 
許可されない 
IP 
iptables 
PREROUTING 
 
 
 
 
 
SSH 
22022/tcp 
Cowrie 
2222/tcp 
2223/tcp 
WOWHoneypot 
8080/tcp 
HTTP 
80/tcp 
SSH 
22/tcp 
Telnet 
23/tcp 
アクセス先を制御 

View Slide

24
６　ハニーポッターの紹介 

View Slide

ツイッターで見かけるハニーポッターの皆様 
25
■ハニーポット、ちょっとできる勢（作者） 
morihi-soc @morihi_soc WOWHoneypot
graneed @graneed111 BW-pot
■ハニーポット観察（#ハニーポット観察） 
sec_chick
（せっくちっく）
@one_chick_sec WOWHoneypot、Honeytrap
弐参 @sec2323 WoWHoneypot
TK @ookura1978 T-pot
SmokyJp@右座骨
神経痛療養中
@smokyjp WOWHoneypot
Nick @STUSecInfo BW-pot

View Slide

26
７　まとめ 

View Slide

◆#ハニーポット観察でつぶやこう！ 
27
まとめ 
◆GCPの無料枠を活用しよう！ 
◆Linuxとネットワークの知識は役に立つので 
　勉強しよう！ 

View Slide

ご清聴ありがとうございました。 
28
フォロー待ってるニャ！ 
@catnap707 

View Slide

29

View Slide

Honeypot on GCE (Google Compute Engine)

Honeypot on GCE (Google Compute Engine)

hiro

More Decks by hiro

Other Decks in Technology

Featured

Transcript