Honeypot on GCE (Google Compute Engine)

Transcript

1. ハニーポット ０円生活
 ～GCPの無料枠を活用しよう！～
 第30回ゼロから始めるセキュリティ入門 勉強会
 2019/08/28
 hiro（@ctrl_z3r0） a.k.a ねこさん⚡（@catnap707）


2. 自己紹介
 hiro（Twitter:@ctrl_z3r0） ※勉強会用アカウント
 ねこさん⚡Иow or Иever(ΦωΦ) 　@catnap707 ばらまきメールウォッチャー


3. アジェンダ
 １　ハニーポットとは
 ２　ハニーポットに必要なもの
 ３　仮想サーバ（VPS）の準備
 ４　GCP/GPEを使ってみよう
 ５　ハニーポットの選定
 ６　ハニーポットの設置
 ７　ハニーポッターの紹介
 ８　まとめ
 ▪参考情報


   ・これから始めるGCP（GCE）安全に無料枠を使い倒せ（2019-05-23）
 　https://qiita.com/Brutus/items/22dfd31a681b67837a74

4. 4 １　ハニーポットとは


5. ハニーポットとは（１/２）
 5 ▪ハニーポットの概要　　　
 　　　
 ▪参考情報
 ・ハニーポットとは - IT用語
 　https://e-works.jp/w/ハニーポット.html
 ・ハニーポット

   - WikiPedia
 　https://ja.wikipedia.org/wiki/ハニーポット
 　ハニーポットとは、はちみつの入った壺という意味の英 単語。情報セキュリティの分野では、わざと脆弱性があ る状態のように見せかけたサーバなどのことを指す。外 部からの攻撃に関する情報を収集するのが目的。
 高対話型：脆弱性が存在する本物のOSやアプリケー
 　　　　　　　ションを用いて構築されたもの。
 低対話型：脆弱性が存在するOSやアプリケーションの
 　　　　　　　環境や振る舞いをエミュレートする。


6. 6 ▪ハニーポットの目的　
 　　　
 ▪参考情報
 ・サイバー・デセプション（Cyber Deception）とは何か？(2016-07-28)
 　https://www.scientia-security.org/entry/2016/07/28/094709
 ・サイバー攻撃を偽のネットワークに誘いこむ「STARDUST」 NICTが開発（2017-05-31）
 　https://www.itmedia.co.jp/enterprise/articles/1705/31/news155.html


   　何らかの有益そうな情報や資源がありそうに見せかけて攻撃者の手 法や攻撃の傾向を収集・分析を目的として設置することが多い。
 
 ハニーポットとは（２/２）
 　サイバー・デセプション（Cyber Deception）とは、ハニーポットのような デコイ（囮）サーバを多数用意して、攻撃者が攻撃すべき対象を選定し たり囮サーバを攻撃している間に、攻撃を検知したり、本当に攻撃され てはいけないサーバへの対応への時間を稼ぐ技術のこと。
 例）Deceptions Everywhere (illusive networks)
 　　Attivo （Attivo Networks）、
 　　Deception GRID（TrapX Security）
 　　サイバー攻撃誘引基盤「STARDUST」（NICT）
 ▪サイバー・デセプション（おとりとしてのハニーポット）


7. 7 ２　ハニーポットに必要なもの


8. ハニーポットに必要なもの
 8 ▪ハニーポットを稼働させるサーバ
 　サーバのサイジング（CPUコア、メモリ、ディスク等）をどうするか。
 　→稼働させたいハニーポットプログラムによって要求するスペックが
 　　異なるが、Windowsが動くスペック（２コア、メモリ4〜8GB）で基本十分
 
▪通信回線
 　基本的に常時接続回線が必要。
 　自宅サーバの場合、別途、回線契約するのが無難。
 
▪OS


   　Linux推奨（Ubuntu、Debian、CentOS）、Windowsは要ライセンス
 
 
 ▪知識
 　Linuxに関する知識（稼働には設定ファイルの修正が必要）
 　ファイアウォールに関する知識
 
 【手軽にハニーポットを始めるには・・・】
 　物理サーバや通信回線の準備が不要な仮想サーバ（VPS
 　Virtual Private Server）を用意して構築することをお勧めします。


9. 9 ３　仮想サーバ（VPS）の準備


10. 仮想サーバ（VPS）の準備
 10 ▪参考情報
 ・[PDF]スクリーニングで選別可能！～会員登録済のメールアドレスはどれだ？～ - 愛知県警察（2018-12-19)
 　https://www.pref.aichi.jp/police/anzen/cyber/osirase/documents/screening.pdf
 ・パスワードリスト攻撃の事前スクリーニング、大胆なその手口 - Security

    NEXT（2018-06-22）
 　http://www.security-next.com/094772
 VPSサービス
 メモリ
 ストレージ
 月額費用（税込み）
 さくらのVPS
 512MB
 20GB
 685円
 カゴヤのVPS
 1GB
 20GB
 648円
 ServerMan
 256MB
 5GB
 350円
 ▪国内のVPSサービス
 ▪海外のVPSサービス（無料枠）
 VPSサービス
 メモリ
 ストレージ
 GCPの無料枠
 614MB
 30GB
 AWS無料利用枠
 Lambda100万リクエスト/月 AWS12ヵ月無料利用枠
 1GB
 5GB
 GCP(Google Cloud Platform)の無料枠が
 おすすめ！
 12か月の無料枠が終わって も、条件を満たせば引き続 き、無料のまま利用
 （AlwaysFree）できる。


11. GCP（Google Cloud Platform）とは
 11 ▪GCP（Google Cloud Platform)
 ▪参考情報
 ・GCEとGAE、どっち使えばいいの？という人のためのGCP運用診断（2019-04-10)
 　https://qiita.com/defunty/items/f837c9e09c8ccc6033b3


    　Googleが提供する クラウドサービス群の総称
 　　Amazon→AWS
 　　Microsoft→Azure
 
▪GCE（Google Computer Engine）
 　Googleが提供する IaaS（Infrastructure as a Service）
 　　AWS→EC2
 　　Azure→VirtualMachine
 
▪GAE（Google App Engine）
 　Googleが提供する PaaS（Platform as a Service）
 　　AWS→Elastic Beanstalk
 　　Azure→AppService
 


12. GCP/GCEを使ってみよう（１／４）
 12 「GCP 無料枠 長期トライアル」で検索！
 https://cloud.google.com/free/?hl=ja


13. GCP/GCEを使ってみよう（２／４）
 13 無料枠（Always Free）の条件は３つ
 ①アメリカusのリージョンを選択する。
 　（西海岸のus-west1が東京に近くておすすめ）
 ②f1-microというマシンタイプを選択する。
 ③ストレージは30GBのHDDを選択する。


14. GCP/GCEを使ってみよう（３／４）
 14

15. GCP/GCEを使ってみよう（４／４）
 15

16. やっておこうGCPのSSH設定（１／２）
 16 ssh-keygenコマンドで、SSHのホストキー（秘密鍵）を
 作って、その秘密鍵をコンソールに登録しておきます。


17. やっておこうGCPのSSH設定（２／２）
 17 ▪SSHのポート番号を変更（22/tcp⇒22022/tcp)
 # OpenSSH is to specify options with

    their default value where # possible, but leave them commented. Uncommented options override the # default value. #Port 22 Port 22022 ハニーポット用途なので、
 SSH（22/tcp）のほか、TELNET(23/tcp)、
 HTTP（80/tcp）などをGCPのファイアウォールで許可。


18. 18 ４　ハニーポットの選定


19. ハニーポットの選定
 19 ▪何を収集したいかによって選定するとよい
 ▪参考情報
 ・British Airwaysの情報流出、Ticketmaster事件のハッカーグループが関与か(2018-09-12)
 　https://japan.zdnet.com/article/35125475/
 ・サイバー犯罪集団「Magecart」の新しい攻撃を確認、広告配信サービスを侵害しスキミングコードを注入(2019-01-18)
 　https://blog.trendmicro.co.jp/archives/20150
 ハニーポット


    監視対象
 目的
 WOWHoneypot
 HTTP
 Webサーバへの攻撃手法の収集
 Cowrie
 SSH/Telnet
 SSH/Telnetへの攻撃の収集
 Dionaea
 HTTP、FTP、
 TFTP、SMB、
 MSSQL、VoIP
 Webサーバ、FTP/TFTPサーバ、 SMB、MSSQL、VoIPの攻撃の収集
 T-Pot
 各種詰合せ
 各種のハニーポットを同時に稼働
 ElasticSearchとKibanaを搭載
 BW-Pot
 WordPress、 Tomcat、
 phpMyAdmin
 高対話型ハニーポット
 詳細な攻撃者のログを収集可能
 【悲報】無料枠ではリソースが足りない


20. 20 ５　ハニーポットの構築


21. WOWHoneypotの構築
 21 ▪参考情報
 ・GitHub - morihisa / WOWhoneypot 
 　https://blog.kawa-xxx.jp/entry/2018/04/30/161300

    
 ・WoWHoneypotを植えてみよう - hogehogehugahuga（2018-08-04） 
 　https://qiita.com/hogehogehugahuga/items/cad931485f58ae487d53 
 ・WOWHoneypotを構築してみた - かわろぐ（2018-04-30） 
 　https://blog.kawa-xxx.jp/entry/2018/04/30/161300 
 ・WOWHoneypotをサービス化してみる - かわろぐ（2018-05-06） 
 　https://blog.kawa-xxx.jp/entry/2018/05/06/133615 
 ▪Welcome to Omotenashi Web Honeypot(WOWHoneypot)
 【ユーザwowの作成】
 # adduser wow
 # su - wow
 
 【git cloneでインストール】
 $ git clone https://github.com/morihisa/WOWHoneypot.git wowhoneypot
 
 【実行】
 $ cd ~/wowhoneypot
 $ python3 ./wowhoneypot.py
 
 詳細は、先人の方々のブログを ご参照ください！


22. cowrie、cowrie-logviewerの構築
 22 ▪参考情報
 ・Cowrie SSH/Telnet Honeypot
 　https://github.com/cowrie/cowrie 
 ・ハニーポットCowrieを設置した話（2018-01-22） 


    　https://socketo.hatenablog.jp/entry/2018/01/22/000537 
 ・SSHハニーポットのCowrieをインストールしてみた - とりあえずブログ（2018-05-29） 
 　https://saito.hatenadiary.com/entry/2018/05/29/231306 
 ・SSHハニーポット「Cowrie」を構築してみた - ITオムライス（2018-11-17） 
 　https://it-omurice.tokyo/?p=59 
 ▪cowrie、cowrie-logviewerの構築
 【ユーザwowの作成】
 # adduser cowrie
 # su -cowrie
 
 【git cloneでインストール】
 $ git clone https://github.com/cowrie/cowrie.git
 
 【実行】
 $ cd ~/cowrie/bin
 $ cowrie
 
 詳細は、先人の方々のブログを ご参照ください！


23. iptablesによるひと工夫
 23 Chain PREROUTING (policy ACCEPT) target prot opt source

    destination REDIRECT tcp -- 153.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 150.xx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 173.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 74.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 180.xx.xx.xx 0.0.0.0/0 tcp dpt:22 redir ports 22022 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 8080 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 redir ports 2222 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 redir ports 2223 DOCKER all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL 許可されたIP
 許可されない
 IP
 iptables
 PREROUTING
 
 
 
 
 
 SSH
 22022/tcp
 Cowrie
 2222/tcp
 2223/tcp
 WOWHoneypot
 8080/tcp
 HTTP
 80/tcp
 SSH
 22/tcp
 Telnet
 23/tcp
 アクセス先を制御


24. 24 ６　ハニーポッターの紹介


25. ツイッターで見かけるハニーポッターの皆様
 25 ▪ハニーポット、ちょっとできる勢 （作者）
 morihi-soc @morihi_soc WOWHoneypot graneed @graneed111 BW-pot

    ▪ハニーポット観察（#ハニーポット観察）
 sec_chick （せっくちっく） @one_chick_sec WOWHoneypot、Honeytrap 弐参 @sec2323 WoWHoneypot TK @ookura1978 T-pot SmokyJp@右座骨 神経痛療養中 @smokyjp WOWHoneypot Nick @STUSecInfo BW-pot

26. 26 ７　まとめ


27. ◆#ハニーポット観察 でつぶやこう！
 27 まとめ
 ◆GCPの無料枠を活用しよう！
 ◆Linuxとネットワークの知識は役に立つので
 　勉強しよう！


28. ご清聴ありがとうございました。
 28 フォロー待ってるニャ！
 @catnap707


29. 29