Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Honeypot on GCE (Google Compute Engine)
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
hiro
August 28, 2019
Technology
1.1k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Honeypot on GCE (Google Compute Engine)
hiro
August 28, 2019
More Decks by hiro
See All by hiro
Observe_C2Servers_Phorpiex_Avaddon_-20200630.pdf
ctrl_z3r0
1
1.5k
Observe_C2Servers_via_MonitoringService-20200330.pdf
ctrl_z3r0
2
1.2k
Remove_obfuscation_in_Emotet_PowershellScript-20200129.pdf
ctrl_z3r0
2
2.7k
Honeypot-on-GCP-20191201.pdf
ctrl_z3r0
0
910
HackingDojo_De-Ice_1.110_-20191203.pdf
ctrl_z3r0
5
1.5k
Investigating-Malware-20191030
ctrl_z3r0
4
1.6k
Honeypot_on_GCP-20191006.pdf
ctrl_z3r0
4
1.6k
AntiPortscan-20190925
ctrl_z3r0
2
1.3k
Authentication-and-7pay-case.pdf
ctrl_z3r0
6
1.4k
Other Decks in Technology
See All in Technology
Oracle Cloud Infrastructure:2026年6月度サービス・アップデート
oracle4engineer
PRO
0
130
Flow 不死:AI 時代 DevOps 的不變本質
cheng_wei_chen
2
340
気軽に使える"情報のハブ"としてのNotion活用 〜フロー情報の集積点 と、 Claude Code × Notion AI〜
syucream
1
160
2026TECHFRESH畢業分享會 - 葬送的通靈師:化系統與用戶雜訊成行動訊號
line_developers_tw
PRO
0
1.3k
Kubernetesにおける学習基盤とLLMOpsの概要
ry
1
320
小さく始める AI 活用推進 ― 日経電子版 Web チームの事例/nikkei-tech-talk47
nikkei_engineer_recruiting
0
300
SteampipeとExcel Power QueryでAWS構成定義書の作成を自動化する
jhashimoto
0
160
IaC コードを資産へ:AWS CDK 社内ライブラリと横断展開 / aws-summit-japan-2026
gotok365
5
1.2k
Kiroで書いた 設計書 が AI レビューの 採点基準 になる
ezaki
0
130
日本 Fintech 未来予測レポート 2027〜2028年(手動編集版)
8maki
1
2.5k
生成 AI 実践ガイド (概略版) AIガバナンス編
asei
0
130
20260619 私の日常業務での生成 AI 活用
masaruogura
1
230
Featured
See All Featured
30 Presentation Tips
portentint
PRO
1
330
How To Speak Unicorn (iThemes Webinar)
marktimemedia
1
490
The Invisible Side of Design
smashingmag
302
52k
Paper Plane (Part 1)
katiecoart
PRO
0
9.1k
How to Ace a Technical Interview
jacobian
281
24k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
2
1.5k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
240
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
340
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.8k
My Coaching Mixtape
mlcsv
0
150
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
210
Large-scale JavaScript Application Architecture
addyosmani
515
110k
Transcript
ハニーポット 0円生活 ~GCPの無料枠を活用しよう!~ 第30回ゼロから始めるセキュリティ入門 勉強会 2019/08/28 hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)
自己紹介 hiro(Twitter:@ctrl_z3r0) ※勉強会用アカウント ねこさん⚡Иow or Иever(ΦωΦ) @catnap707 ばらまきメールウォッチャー
アジェンダ 1 ハニーポットとは 2 ハニーポットに必要なもの 3 仮想サーバ(VPS)の準備 4 GCP/GPEを使ってみよう 5 ハニーポットの選定 6 ハニーポットの設置 7 ハニーポッターの紹介 8 まとめ ▪参考情報
・これから始めるGCP(GCE)安全に無料枠を使い倒せ(2019-05-23) https://qiita.com/Brutus/items/22dfd31a681b67837a74
4 1 ハニーポットとは
ハニーポットとは(1/2) 5 ▪ハニーポットの概要 ▪参考情報 ・ハニーポットとは - IT用語 https://e-works.jp/w/ハニーポット.html ・ハニーポット
- WikiPedia https://ja.wikipedia.org/wiki/ハニーポット ハニーポットとは、はちみつの入った壺という意味の英 単語。情報セキュリティの分野では、わざと脆弱性があ る状態のように見せかけたサーバなどのことを指す。外 部からの攻撃に関する情報を収集するのが目的。 高対話型:脆弱性が存在する本物のOSやアプリケー ションを用いて構築されたもの。 低対話型:脆弱性が存在するOSやアプリケーションの 環境や振る舞いをエミュレートする。
6 ▪ハニーポットの目的 ▪参考情報 ・サイバー・デセプション(Cyber Deception)とは何か?(2016-07-28) https://www.scientia-security.org/entry/2016/07/28/094709 ・サイバー攻撃を偽のネットワークに誘いこむ「STARDUST」 NICTが開発(2017-05-31) https://www.itmedia.co.jp/enterprise/articles/1705/31/news155.html
何らかの有益そうな情報や資源がありそうに見せかけて攻撃者の手 法や攻撃の傾向を収集・分析を目的として設置することが多い。 ハニーポットとは(2/2) サイバー・デセプション(Cyber Deception)とは、ハニーポットのような デコイ(囮)サーバを多数用意して、攻撃者が攻撃すべき対象を選定し たり囮サーバを攻撃している間に、攻撃を検知したり、本当に攻撃され てはいけないサーバへの対応への時間を稼ぐ技術のこと。 例)Deceptions Everywhere (illusive networks) Attivo (Attivo Networks)、 Deception GRID(TrapX Security) サイバー攻撃誘引基盤「STARDUST」(NICT) ▪サイバー・デセプション(おとりとしてのハニーポット)
7 2 ハニーポットに必要なもの
ハニーポットに必要なもの 8 ▪ハニーポットを稼働させるサーバ サーバのサイジング(CPUコア、メモリ、ディスク等)をどうするか。 →稼働させたいハニーポットプログラムによって要求するスペックが 異なるが、Windowsが動くスペック(2コア、メモリ4〜8GB)で基本十分 ▪通信回線 基本的に常時接続回線が必要。 自宅サーバの場合、別途、回線契約するのが無難。 ▪OS
Linux推奨(Ubuntu、Debian、CentOS)、Windowsは要ライセンス ▪知識 Linuxに関する知識(稼働には設定ファイルの修正が必要) ファイアウォールに関する知識 【手軽にハニーポットを始めるには・・・】 物理サーバや通信回線の準備が不要な仮想サーバ(VPS Virtual Private Server)を用意して構築することをお勧めします。
9 3 仮想サーバ(VPS)の準備
仮想サーバ(VPS)の準備 10 ▪参考情報 ・[PDF]スクリーニングで選別可能!~会員登録済のメールアドレスはどれだ?~ - 愛知県警察(2018-12-19) https://www.pref.aichi.jp/police/anzen/cyber/osirase/documents/screening.pdf ・パスワードリスト攻撃の事前スクリーニング、大胆なその手口 - Security
NEXT(2018-06-22) http://www.security-next.com/094772 VPSサービス メモリ ストレージ 月額費用(税込み) さくらのVPS 512MB 20GB 685円 カゴヤのVPS 1GB 20GB 648円 ServerMan 256MB 5GB 350円 ▪国内のVPSサービス ▪海外のVPSサービス(無料枠) VPSサービス メモリ ストレージ GCPの無料枠 614MB 30GB AWS無料利用枠 Lambda100万リクエスト/月 AWS12ヵ月無料利用枠 1GB 5GB GCP(Google Cloud Platform)の無料枠が おすすめ! 12か月の無料枠が終わって も、条件を満たせば引き続 き、無料のまま利用 (AlwaysFree)できる。
GCP(Google Cloud Platform)とは 11 ▪GCP(Google Cloud Platform) ▪参考情報 ・GCEとGAE、どっち使えばいいの?という人のためのGCP運用診断(2019-04-10) https://qiita.com/defunty/items/f837c9e09c8ccc6033b3
Googleが提供する クラウドサービス群の総称 Amazon→AWS Microsoft→Azure ▪GCE(Google Computer Engine) Googleが提供する IaaS(Infrastructure as a Service) AWS→EC2 Azure→VirtualMachine ▪GAE(Google App Engine) Googleが提供する PaaS(Platform as a Service) AWS→Elastic Beanstalk Azure→AppService
GCP/GCEを使ってみよう(1/4) 12 「GCP 無料枠 長期トライアル」で検索! https://cloud.google.com/free/?hl=ja
GCP/GCEを使ってみよう(2/4) 13 無料枠(Always Free)の条件は3つ ①アメリカusのリージョンを選択する。 (西海岸のus-west1が東京に近くておすすめ) ②f1-microというマシンタイプを選択する。 ③ストレージは30GBのHDDを選択する。
GCP/GCEを使ってみよう(3/4) 14
GCP/GCEを使ってみよう(4/4) 15
やっておこうGCPのSSH設定(1/2) 16 ssh-keygenコマンドで、SSHのホストキー(秘密鍵)を 作って、その秘密鍵をコンソールに登録しておきます。
やっておこうGCPのSSH設定(2/2) 17 ▪SSHのポート番号を変更(22/tcp⇒22022/tcp) # OpenSSH is to specify options with
their default value where # possible, but leave them commented. Uncommented options override the # default value. #Port 22 Port 22022 ハニーポット用途なので、 SSH(22/tcp)のほか、TELNET(23/tcp)、 HTTP(80/tcp)などをGCPのファイアウォールで許可。
18 4 ハニーポットの選定
ハニーポットの選定 19 ▪何を収集したいかによって選定するとよい ▪参考情報 ・British Airwaysの情報流出、Ticketmaster事件のハッカーグループが関与か(2018-09-12) https://japan.zdnet.com/article/35125475/ ・サイバー犯罪集団「Magecart」の新しい攻撃を確認、広告配信サービスを侵害しスキミングコードを注入(2019-01-18) https://blog.trendmicro.co.jp/archives/20150 ハニーポット
監視対象 目的 WOWHoneypot HTTP Webサーバへの攻撃手法の収集 Cowrie SSH/Telnet SSH/Telnetへの攻撃の収集 Dionaea HTTP、FTP、 TFTP、SMB、 MSSQL、VoIP Webサーバ、FTP/TFTPサーバ、 SMB、MSSQL、VoIPの攻撃の収集 T-Pot 各種詰合せ 各種のハニーポットを同時に稼働 ElasticSearchとKibanaを搭載 BW-Pot WordPress、 Tomcat、 phpMyAdmin 高対話型ハニーポット 詳細な攻撃者のログを収集可能 【悲報】無料枠ではリソースが足りない
20 5 ハニーポットの構築
WOWHoneypotの構築 21 ▪参考情報 ・GitHub - morihisa / WOWhoneypot https://blog.kawa-xxx.jp/entry/2018/04/30/161300
・WoWHoneypotを植えてみよう - hogehogehugahuga(2018-08-04) https://qiita.com/hogehogehugahuga/items/cad931485f58ae487d53 ・WOWHoneypotを構築してみた - かわろぐ(2018-04-30) https://blog.kawa-xxx.jp/entry/2018/04/30/161300 ・WOWHoneypotをサービス化してみる - かわろぐ(2018-05-06) https://blog.kawa-xxx.jp/entry/2018/05/06/133615 ▪Welcome to Omotenashi Web Honeypot(WOWHoneypot) 【ユーザwowの作成】 # adduser wow # su - wow 【git cloneでインストール】 $ git clone https://github.com/morihisa/WOWHoneypot.git wowhoneypot 【実行】 $ cd ~/wowhoneypot $ python3 ./wowhoneypot.py 詳細は、先人の方々のブログを ご参照ください!
cowrie、cowrie-logviewerの構築 22 ▪参考情報 ・Cowrie SSH/Telnet Honeypot https://github.com/cowrie/cowrie ・ハニーポットCowrieを設置した話(2018-01-22)
https://socketo.hatenablog.jp/entry/2018/01/22/000537 ・SSHハニーポットのCowrieをインストールしてみた - とりあえずブログ(2018-05-29) https://saito.hatenadiary.com/entry/2018/05/29/231306 ・SSHハニーポット「Cowrie」を構築してみた - ITオムライス(2018-11-17) https://it-omurice.tokyo/?p=59 ▪cowrie、cowrie-logviewerの構築 【ユーザwowの作成】 # adduser cowrie # su -cowrie 【git cloneでインストール】 $ git clone https://github.com/cowrie/cowrie.git 【実行】 $ cd ~/cowrie/bin $ cowrie 詳細は、先人の方々のブログを ご参照ください!
iptablesによるひと工夫 23 Chain PREROUTING (policy ACCEPT) target prot opt source
destination REDIRECT tcp -- 153.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 150.xx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 173.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 74.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 180.xx.xx.xx 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 8080 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 redir ports 2222 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 redir ports 2223 DOCKER all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL 許可されたIP 許可されない IP iptables PREROUTING SSH 22022/tcp Cowrie 2222/tcp 2223/tcp WOWHoneypot 8080/tcp HTTP 80/tcp SSH 22/tcp Telnet 23/tcp アクセス先を制御
24 6 ハニーポッターの紹介
ツイッターで見かけるハニーポッターの皆様 25 ▪ハニーポット、ちょっとできる勢 (作者) morihi-soc @morihi_soc WOWHoneypot graneed @graneed111 BW-pot
▪ハニーポット観察(#ハニーポット観察) sec_chick (せっくちっく) @one_chick_sec WOWHoneypot、Honeytrap 弐参 @sec2323 WoWHoneypot TK @ookura1978 T-pot SmokyJp@右座骨 神経痛療養中 @smokyjp WOWHoneypot Nick @STUSecInfo BW-pot
26 7 まとめ
◆#ハニーポット観察 でつぶやこう! 27 まとめ ◆GCPの無料枠を活用しよう! ◆Linuxとネットワークの知識は役に立つので 勉強しよう!
ご清聴ありがとうございました。 28 フォロー待ってるニャ! @catnap707
29
SiteGround - Reliable hosting with speed, security, and support you can count on.
ctrl_z3r0
oracle4engineer
cheng_wei_chen
syucream
line_developers_tw
ry
nikkei_engineer_recruiting
jhashimoto
gotok365
ezaki
8maki
asei
masaruogura
portentint
marktimemedia
smashingmag
katiecoart
jacobian
sarafernandez
.png){kind=avatar}
helenjbeal
szymonslowik
inesmontani
mlcsv
codingconduct
addyosmani
![仮想サーバ(VPS)の準備 10 ▪参考情報 ・[PDF]スクリーニングで選別可能!~会員登録済のメールアドレスはどれだ?~ - 愛知県警察(2018-12-19) https://www.pref.aichi.jp/police/anzen/cyber/osirase/documents/screening.pdf ・パスワードリスト攻撃の事前スクリーニング、大胆なその手口 - Security](https://files.speakerdeck.com/presentations/81ab4db7aea64c1fb799eb1bc88dc6c6/slide_9.jpg){kind=link}
