Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
Honeypot on GCE (Google Compute Engine)
hiro
August 28, 2019
Technology
1
680
Honeypot on GCE (Google Compute Engine)
hiro
August 28, 2019
Tweet
Share
More Decks by hiro
See All by hiro
Observe_C2Servers_Phorpiex_Avaddon_-20200630.pdf
ctrl_z3r0
1
910
Observe_C2Servers_via_MonitoringService-20200330.pdf
ctrl_z3r0
2
710
Remove_obfuscation_in_Emotet_PowershellScript-20200129.pdf
ctrl_z3r0
2
2.1k
Honeypot-on-GCP-20191201.pdf
ctrl_z3r0
0
520
HackingDojo_De-Ice_1.110_-20191203.pdf
ctrl_z3r0
5
1k
Investigating-Malware-20191030
ctrl_z3r0
4
1k
Honeypot_on_GCP-20191006.pdf
ctrl_z3r0
4
1.1k
AntiPortscan-20190925
ctrl_z3r0
2
690
Authentication-and-7pay-case.pdf
ctrl_z3r0
6
1.1k
Other Decks in Technology
See All in Technology
週刊タイピングは役に立たない
chizuchizu
0
110
Instant Payments: moving money at (almost) light speed
_aitor
0
150
DX_開発管理課
iketomo1207
1
150
Renewal of UIT INSIDE beyonds native app and web
line_developers
PRO
1
100
KDD2022参加報告
line_developers
PRO
0
190
Learn How to PowerShell Like a Pro
guyrleech
0
110
PharmaX Company Deck
pharma_x
0
1.5k
A Commerce-Centric Take on Queueing Fairly at High Throughput
martelogan
1
200
PHP メモリ管理術
memory1994
PRO
2
390
ソフトウェア開発者に必要な考え方 / Necessary mindset for software developers
soudai
20
8.1k
IIJmio meeting 33 無線通信の世界~第一弾:無線通信とは?~
iij_techlog
1
2.6k
Spring Bootcamp(新卒研修) 2022 QA研修 座学
honamin09
2
540
Featured
See All Featured
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
213
11k
VelocityConf: Rendering Performance Case Studies
addyosmani
316
22k
Optimizing for Happiness
mojombo
364
64k
How To Stay Up To Date on Web Technology
chriscoyier
780
250k
Stop Working from a Prison Cell
hatefulcrawdad
262
18k
Clear Off the Table
cherdarchuk
79
290k
How to name files
jennybc
44
66k
Designing for humans not robots
tammielis
243
24k
KATA
mclloyd
7
9k
How STYLIGHT went responsive
nonsquared
85
4k
Six Lessons from altMBA
skipperchong
14
1.5k
How GitHub Uses GitHub to Build GitHub
holman
465
280k
Transcript
ハニーポット 0円生活 ~GCPの無料枠を活用しよう!~ 第30回ゼロから始めるセキュリティ入門 勉強会 2019/08/28 hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)
自己紹介 hiro(Twitter:@ctrl_z3r0) ※勉強会用アカウント ねこさん⚡Иow or Иever(ΦωΦ) @catnap707 ばらまきメールウォッチャー
アジェンダ 1 ハニーポットとは 2 ハニーポットに必要なもの 3 仮想サーバ(VPS)の準備 4 GCP/GPEを使ってみよう 5 ハニーポットの選定 6 ハニーポットの設置 7 ハニーポッターの紹介 8 まとめ ▪参考情報
・これから始めるGCP(GCE)安全に無料枠を使い倒せ(2019-05-23) https://qiita.com/Brutus/items/22dfd31a681b67837a74
4 1 ハニーポットとは
ハニーポットとは(1/2) 5 ▪ハニーポットの概要 ▪参考情報 ・ハニーポットとは - IT用語 https://e-works.jp/w/ハニーポット.html ・ハニーポット
- WikiPedia https://ja.wikipedia.org/wiki/ハニーポット ハニーポットとは、はちみつの入った壺という意味の英 単語。情報セキュリティの分野では、わざと脆弱性があ る状態のように見せかけたサーバなどのことを指す。外 部からの攻撃に関する情報を収集するのが目的。 高対話型:脆弱性が存在する本物のOSやアプリケー ションを用いて構築されたもの。 低対話型:脆弱性が存在するOSやアプリケーションの 環境や振る舞いをエミュレートする。
6 ▪ハニーポットの目的 ▪参考情報 ・サイバー・デセプション(Cyber Deception)とは何か?(2016-07-28) https://www.scientia-security.org/entry/2016/07/28/094709 ・サイバー攻撃を偽のネットワークに誘いこむ「STARDUST」 NICTが開発(2017-05-31) https://www.itmedia.co.jp/enterprise/articles/1705/31/news155.html
何らかの有益そうな情報や資源がありそうに見せかけて攻撃者の手 法や攻撃の傾向を収集・分析を目的として設置することが多い。 ハニーポットとは(2/2) サイバー・デセプション(Cyber Deception)とは、ハニーポットのような デコイ(囮)サーバを多数用意して、攻撃者が攻撃すべき対象を選定し たり囮サーバを攻撃している間に、攻撃を検知したり、本当に攻撃され てはいけないサーバへの対応への時間を稼ぐ技術のこと。 例)Deceptions Everywhere (illusive networks) Attivo (Attivo Networks)、 Deception GRID(TrapX Security) サイバー攻撃誘引基盤「STARDUST」(NICT) ▪サイバー・デセプション(おとりとしてのハニーポット)
7 2 ハニーポットに必要なもの
ハニーポットに必要なもの 8 ▪ハニーポットを稼働させるサーバ サーバのサイジング(CPUコア、メモリ、ディスク等)をどうするか。 →稼働させたいハニーポットプログラムによって要求するスペックが 異なるが、Windowsが動くスペック(2コア、メモリ4〜8GB)で基本十分 ▪通信回線 基本的に常時接続回線が必要。 自宅サーバの場合、別途、回線契約するのが無難。 ▪OS
Linux推奨(Ubuntu、Debian、CentOS)、Windowsは要ライセンス ▪知識 Linuxに関する知識(稼働には設定ファイルの修正が必要) ファイアウォールに関する知識 【手軽にハニーポットを始めるには・・・】 物理サーバや通信回線の準備が不要な仮想サーバ(VPS Virtual Private Server)を用意して構築することをお勧めします。
9 3 仮想サーバ(VPS)の準備
仮想サーバ(VPS)の準備 10 ▪参考情報 ・[PDF]スクリーニングで選別可能!~会員登録済のメールアドレスはどれだ?~ - 愛知県警察(2018-12-19) https://www.pref.aichi.jp/police/anzen/cyber/osirase/documents/screening.pdf ・パスワードリスト攻撃の事前スクリーニング、大胆なその手口 - Security
NEXT(2018-06-22) http://www.security-next.com/094772 VPSサービス メモリ ストレージ 月額費用(税込み) さくらのVPS 512MB 20GB 685円 カゴヤのVPS 1GB 20GB 648円 ServerMan 256MB 5GB 350円 ▪国内のVPSサービス ▪海外のVPSサービス(無料枠) VPSサービス メモリ ストレージ GCPの無料枠 614MB 30GB AWS無料利用枠 Lambda100万リクエスト/月 AWS12ヵ月無料利用枠 1GB 5GB GCP(Google Cloud Platform)の無料枠が おすすめ! 12か月の無料枠が終わって も、条件を満たせば引き続 き、無料のまま利用 (AlwaysFree)できる。
GCP(Google Cloud Platform)とは 11 ▪GCP(Google Cloud Platform) ▪参考情報 ・GCEとGAE、どっち使えばいいの?という人のためのGCP運用診断(2019-04-10) https://qiita.com/defunty/items/f837c9e09c8ccc6033b3
Googleが提供する クラウドサービス群の総称 Amazon→AWS Microsoft→Azure ▪GCE(Google Computer Engine) Googleが提供する IaaS(Infrastructure as a Service) AWS→EC2 Azure→VirtualMachine ▪GAE(Google App Engine) Googleが提供する PaaS(Platform as a Service) AWS→Elastic Beanstalk Azure→AppService
GCP/GCEを使ってみよう(1/4) 12 「GCP 無料枠 長期トライアル」で検索! https://cloud.google.com/free/?hl=ja
GCP/GCEを使ってみよう(2/4) 13 無料枠(Always Free)の条件は3つ ①アメリカusのリージョンを選択する。 (西海岸のus-west1が東京に近くておすすめ) ②f1-microというマシンタイプを選択する。 ③ストレージは30GBのHDDを選択する。
GCP/GCEを使ってみよう(3/4) 14
GCP/GCEを使ってみよう(4/4) 15
やっておこうGCPのSSH設定(1/2) 16 ssh-keygenコマンドで、SSHのホストキー(秘密鍵)を 作って、その秘密鍵をコンソールに登録しておきます。
やっておこうGCPのSSH設定(2/2) 17 ▪SSHのポート番号を変更(22/tcp⇒22022/tcp) # OpenSSH is to specify options with
their default value where # possible, but leave them commented. Uncommented options override the # default value. #Port 22 Port 22022 ハニーポット用途なので、 SSH(22/tcp)のほか、TELNET(23/tcp)、 HTTP(80/tcp)などをGCPのファイアウォールで許可。
18 4 ハニーポットの選定
ハニーポットの選定 19 ▪何を収集したいかによって選定するとよい ▪参考情報 ・British Airwaysの情報流出、Ticketmaster事件のハッカーグループが関与か(2018-09-12) https://japan.zdnet.com/article/35125475/ ・サイバー犯罪集団「Magecart」の新しい攻撃を確認、広告配信サービスを侵害しスキミングコードを注入(2019-01-18) https://blog.trendmicro.co.jp/archives/20150 ハニーポット
監視対象 目的 WOWHoneypot HTTP Webサーバへの攻撃手法の収集 Cowrie SSH/Telnet SSH/Telnetへの攻撃の収集 Dionaea HTTP、FTP、 TFTP、SMB、 MSSQL、VoIP Webサーバ、FTP/TFTPサーバ、 SMB、MSSQL、VoIPの攻撃の収集 T-Pot 各種詰合せ 各種のハニーポットを同時に稼働 ElasticSearchとKibanaを搭載 BW-Pot WordPress、 Tomcat、 phpMyAdmin 高対話型ハニーポット 詳細な攻撃者のログを収集可能 【悲報】無料枠ではリソースが足りない
20 5 ハニーポットの構築
WOWHoneypotの構築 21 ▪参考情報 ・GitHub - morihisa / WOWhoneypot https://blog.kawa-xxx.jp/entry/2018/04/30/161300
・WoWHoneypotを植えてみよう - hogehogehugahuga(2018-08-04) https://qiita.com/hogehogehugahuga/items/cad931485f58ae487d53 ・WOWHoneypotを構築してみた - かわろぐ(2018-04-30) https://blog.kawa-xxx.jp/entry/2018/04/30/161300 ・WOWHoneypotをサービス化してみる - かわろぐ(2018-05-06) https://blog.kawa-xxx.jp/entry/2018/05/06/133615 ▪Welcome to Omotenashi Web Honeypot(WOWHoneypot) 【ユーザwowの作成】 # adduser wow # su - wow 【git cloneでインストール】 $ git clone https://github.com/morihisa/WOWHoneypot.git wowhoneypot 【実行】 $ cd ~/wowhoneypot $ python3 ./wowhoneypot.py 詳細は、先人の方々のブログを ご参照ください!
cowrie、cowrie-logviewerの構築 22 ▪参考情報 ・Cowrie SSH/Telnet Honeypot https://github.com/cowrie/cowrie ・ハニーポットCowrieを設置した話(2018-01-22)
https://socketo.hatenablog.jp/entry/2018/01/22/000537 ・SSHハニーポットのCowrieをインストールしてみた - とりあえずブログ(2018-05-29) https://saito.hatenadiary.com/entry/2018/05/29/231306 ・SSHハニーポット「Cowrie」を構築してみた - ITオムライス(2018-11-17) https://it-omurice.tokyo/?p=59 ▪cowrie、cowrie-logviewerの構築 【ユーザwowの作成】 # adduser cowrie # su -cowrie 【git cloneでインストール】 $ git clone https://github.com/cowrie/cowrie.git 【実行】 $ cd ~/cowrie/bin $ cowrie 詳細は、先人の方々のブログを ご参照ください!
iptablesによるひと工夫 23 Chain PREROUTING (policy ACCEPT) target prot opt source
destination REDIRECT tcp -- 153.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 150.xx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 173.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 74.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 180.xx.xx.xx 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 8080 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 redir ports 2222 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 redir ports 2223 DOCKER all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL 許可されたIP 許可されない IP iptables PREROUTING SSH 22022/tcp Cowrie 2222/tcp 2223/tcp WOWHoneypot 8080/tcp HTTP 80/tcp SSH 22/tcp Telnet 23/tcp アクセス先を制御
24 6 ハニーポッターの紹介
ツイッターで見かけるハニーポッターの皆様 25 ▪ハニーポット、ちょっとできる勢 (作者) morihi-soc @morihi_soc WOWHoneypot graneed @graneed111 BW-pot
▪ハニーポット観察(#ハニーポット観察) sec_chick (せっくちっく) @one_chick_sec WOWHoneypot、Honeytrap 弐参 @sec2323 WoWHoneypot TK @ookura1978 T-pot SmokyJp@右座骨 神経痛療養中 @smokyjp WOWHoneypot Nick @STUSecInfo BW-pot
26 7 まとめ
◆#ハニーポット観察 でつぶやこう! 27 まとめ ◆GCPの無料枠を活用しよう! ◆Linuxとネットワークの知識は役に立つので 勉強しよう!
ご清聴ありがとうございました。 28 フォロー待ってるニャ! @catnap707
29
ctrl_z3r0
chizuchizu
_aitor
iketomo1207
line_developers
guyrleech
pharma_x
martelogan
memory1994
soudai
iij_techlog
honamin09
jensimmons
addyosmani
mojombo
chriscoyier
hatefulcrawdad
cherdarchuk
jennybc
tammielis
mclloyd
nonsquared
skipperchong
holman
![仮想サーバ(VPS)の準備 10 ▪参考情報 ・[PDF]スクリーニングで選別可能!~会員登録済のメールアドレスはどれだ?~ - 愛知県警察(2018-12-19) https://www.pref.aichi.jp/police/anzen/cyber/osirase/documents/screening.pdf ・パスワードリスト攻撃の事前スクリーニング、大胆なその手口 - Security](https://files.speakerdeck.com/presentations/81ab4db7aea64c1fb799eb1bc88dc6c6/slide_9.jpg){kind=link}
