$30 off During Our Annual Pro Sale. View Details »

Honeypot on GCE (Google Compute Engine)

hiro
August 28, 2019

Honeypot on GCE (Google Compute Engine)

hiro

August 28, 2019
Tweet

More Decks by hiro

Other Decks in Technology

Transcript

  1. ハニーポット 0円生活

    ~GCPの無料枠を活用しよう!~

    第30回ゼロから始めるセキュリティ入門 勉強会

    2019/08/28

    hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)


    View Slide

  2. 自己紹介

    hiro(Twitter:@ctrl_z3r0)
    ※勉強会用アカウント

    ねこさん⚡Иow or Иever(ΦωΦ)
     @catnap707 ばらまきメールウォッチャー


    View Slide

  3. アジェンダ

    1 ハニーポットとは

    2 ハニーポットに必要なもの

    3 仮想サーバ(VPS)の準備

    4 GCP/GPEを使ってみよう

    5 ハニーポットの選定

    6 ハニーポットの設置

    7 ハニーポッターの紹介

    8 まとめ

    ■参考情報

    ・これから始めるGCP(GCE)安全に無料枠を使い倒せ(2019-05-23)

     https://qiita.com/Brutus/items/22dfd31a681b67837a74

    View Slide

  4. 4
    1 ハニーポットとは


    View Slide

  5. ハニーポットとは(1/2)

    5
    ■ハニーポットの概要   

       

    ■参考情報

    ・ハニーポットとは - IT用語

     https://e-works.jp/w/ハニーポット.html

    ・ハニーポット - WikiPedia

     https://ja.wikipedia.org/wiki/ハニーポット

     ハニーポットとは、はちみつの入った壺という意味の英
    単語。情報セキュリティの分野では、わざと脆弱性があ
    る状態のように見せかけたサーバなどのことを指す。外
    部からの攻撃に関する情報を収集するのが目的。

    高対話型:脆弱性が存在する本物のOSやアプリケー

           ションを用いて構築されたもの。

    低対話型:脆弱性が存在するOSやアプリケーションの

           環境や振る舞いをエミュレートする。


    View Slide

  6. 6
    ■ハニーポットの目的 

       

    ■参考情報

    ・サイバー・デセプション(Cyber Deception)とは何か?(2016-07-28)

     https://www.scientia-security.org/entry/2016/07/28/094709

    ・サイバー攻撃を偽のネットワークに誘いこむ「STARDUST」 NICTが開発(2017-05-31)

     https://www.itmedia.co.jp/enterprise/articles/1705/31/news155.html

     何らかの有益そうな情報や資源がありそうに見せかけて攻撃者の手
    法や攻撃の傾向を収集・分析を目的として設置することが多い。


    ハニーポットとは(2/2)

     サイバー・デセプション(Cyber Deception)とは、ハニーポットのような
    デコイ(囮)サーバを多数用意して、攻撃者が攻撃すべき対象を選定し
    たり囮サーバを攻撃している間に、攻撃を検知したり、本当に攻撃され
    てはいけないサーバへの対応への時間を稼ぐ技術のこと。

    例)Deceptions Everywhere (illusive networks)

      Attivo (Attivo Networks)、

      Deception GRID(TrapX Security)

      サイバー攻撃誘引基盤「STARDUST」(NICT)

    ■サイバー・デセプション(おとりとしてのハニーポット)


    View Slide

  7. 7
    2 ハニーポットに必要なもの


    View Slide

  8. ハニーポットに必要なもの

    8
    ■ハニーポットを稼働させるサーバ

     サーバのサイジング(CPUコア、メモリ、ディスク等)をどうするか。

     →稼働させたいハニーポットプログラムによって要求するスペックが

      異なるが、Windowsが動くスペック(2コア、メモリ4〜8GB)で基本十分

    
■通信回線

     基本的に常時接続回線が必要。

     自宅サーバの場合、別途、回線契約するのが無難。

    
■OS

     Linux推奨(Ubuntu、Debian、CentOS)、Windowsは要ライセンス



    ■知識

     Linuxに関する知識(稼働には設定ファイルの修正が必要)

     ファイアウォールに関する知識


    【手軽にハニーポットを始めるには・・・】

     物理サーバや通信回線の準備が不要な仮想サーバ(VPS

     Virtual Private Server)を用意して構築することをお勧めします。


    View Slide

  9. 9
    3 仮想サーバ(VPS)の準備


    View Slide

  10. 仮想サーバ(VPS)の準備

    10
    ■参考情報

    ・[PDF]スクリーニングで選別可能!~会員登録済のメールアドレスはどれだ?~ - 愛知県警察(2018-12-19)

     https://www.pref.aichi.jp/police/anzen/cyber/osirase/documents/screening.pdf

    ・パスワードリスト攻撃の事前スクリーニング、大胆なその手口 - Security NEXT(2018-06-22)

     http://www.security-next.com/094772

    VPSサービス
 メモリ
 ストレージ
 月額費用(税込み)

    さくらのVPS
 512MB
 20GB
 685円

    カゴヤのVPS
 1GB
 20GB
 648円

    ServerMan
 256MB
 5GB
 350円

    ■国内のVPSサービス

    ■海外のVPSサービス(無料枠)

    VPSサービス
 メモリ
 ストレージ

    GCPの無料枠
 614MB
 30GB

    AWS無料利用枠
 Lambda100万リクエスト/月
    AWS12ヵ月無料利用枠
 1GB
 5GB

    GCP(Google Cloud
    Platform)の無料枠が

    おすすめ!

    12か月の無料枠が終わって
    も、条件を満たせば引き続
    き、無料のまま利用

    (AlwaysFree)できる。


    View Slide

  11. GCP(Google Cloud Platform)とは

    11
    ■GCP(Google Cloud Platform)

    ■参考情報

    ・GCEとGAE、どっち使えばいいの?という人のためのGCP運用診断(2019-04-10)

     https://qiita.com/defunty/items/f837c9e09c8ccc6033b3

     Googleが提供する クラウドサービス群の総称

      Amazon→AWS

      Microsoft→Azure

    
■GCE(Google Computer Engine)

     Googleが提供する IaaS(Infrastructure as a Service)

      AWS→EC2

      Azure→VirtualMachine

    
■GAE(Google App Engine)

     Googleが提供する PaaS(Platform as a Service)

      AWS→Elastic Beanstalk

      Azure→AppService


    View Slide

  12. GCP/GCEを使ってみよう(1/4)

    12
    「GCP 無料枠 長期トライアル」で検索!

    https://cloud.google.com/free/?hl=ja


    View Slide

  13. GCP/GCEを使ってみよう(2/4)

    13
    無料枠(Always Free)の条件は3つ

    ①アメリカusのリージョンを選択する。

     (西海岸のus-west1が東京に近くておすすめ)

    ②f1-microというマシンタイプを選択する。

    ③ストレージは30GBのHDDを選択する。


    View Slide

  14. GCP/GCEを使ってみよう(3/4)

    14

    View Slide

  15. GCP/GCEを使ってみよう(4/4)

    15

    View Slide

  16. やっておこうGCPのSSH設定(1/2)

    16
    ssh-keygenコマンドで、SSHのホストキー(秘密鍵)を

    作って、その秘密鍵をコンソールに登録しておきます。


    View Slide

  17. やっておこうGCPのSSH設定(2/2)

    17
    ■SSHのポート番号を変更(22/tcp⇒22022/tcp)

    # OpenSSH is to specify options with their default value where
    # possible, but leave them commented. Uncommented options
    override the
    # default value.
    #Port 22
    Port 22022
    ハニーポット用途なので、

    SSH(22/tcp)のほか、TELNET(23/tcp)、

    HTTP(80/tcp)などをGCPのファイアウォールで許可。


    View Slide

  18. 18
    4 ハニーポットの選定


    View Slide

  19. ハニーポットの選定

    19
    ■何を収集したいかによって選定するとよい

    ■参考情報

    ・British Airwaysの情報流出、Ticketmaster事件のハッカーグループが関与か(2018-09-12)

     https://japan.zdnet.com/article/35125475/

    ・サイバー犯罪集団「Magecart」の新しい攻撃を確認、広告配信サービスを侵害しスキミングコードを注入(2019-01-18)

     https://blog.trendmicro.co.jp/archives/20150

    ハニーポット
 監視対象
 目的

    WOWHoneypot
 HTTP
 Webサーバへの攻撃手法の収集

    Cowrie
 SSH/Telnet
 SSH/Telnetへの攻撃の収集

    Dionaea

    HTTP、FTP、

    TFTP、SMB、

    MSSQL、VoIP

    Webサーバ、FTP/TFTPサーバ、
    SMB、MSSQL、VoIPの攻撃の収集

    T-Pot
 各種詰合せ

    各種のハニーポットを同時に稼働

    ElasticSearchとKibanaを搭載

    BW-Pot

    WordPress、
    Tomcat、

    phpMyAdmin

    高対話型ハニーポット

    詳細な攻撃者のログを収集可能

    【悲報】無料枠ではリソースが足りない


    View Slide

  20. 20
    5 ハニーポットの構築


    View Slide

  21. WOWHoneypotの構築

    21
    ■参考情報

    ・GitHub - morihisa / WOWhoneypot 

     https://blog.kawa-xxx.jp/entry/2018/04/30/161300

    ・WoWHoneypotを植えてみよう - hogehogehugahuga(2018-08-04)

     https://qiita.com/hogehogehugahuga/items/cad931485f58ae487d53

    ・WOWHoneypotを構築してみた - かわろぐ(2018-04-30)

     https://blog.kawa-xxx.jp/entry/2018/04/30/161300

    ・WOWHoneypotをサービス化してみる - かわろぐ(2018-05-06)

     https://blog.kawa-xxx.jp/entry/2018/05/06/133615

    ■Welcome to Omotenashi Web Honeypot(WOWHoneypot)

    【ユーザwowの作成】

    # adduser wow

    # su - wow


    【git cloneでインストール】

    $ git clone https://github.com/morihisa/WOWHoneypot.git wowhoneypot


    【実行】

    $ cd ~/wowhoneypot

    $ python3 ./wowhoneypot.py


    詳細は、先人の方々のブログを
    ご参照ください!


    View Slide

  22. cowrie、cowrie-logviewerの構築

    22
    ■参考情報

    ・Cowrie SSH/Telnet Honeypot

     https://github.com/cowrie/cowrie

    ・ハニーポットCowrieを設置した話(2018-01-22)

     https://socketo.hatenablog.jp/entry/2018/01/22/000537

    ・SSHハニーポットのCowrieをインストールしてみた - とりあえずブログ(2018-05-29)

     https://saito.hatenadiary.com/entry/2018/05/29/231306

    ・SSHハニーポット「Cowrie」を構築してみた - ITオムライス(2018-11-17)

     https://it-omurice.tokyo/?p=59

    ■cowrie、cowrie-logviewerの構築

    【ユーザwowの作成】

    # adduser cowrie

    # su -cowrie


    【git cloneでインストール】

    $ git clone https://github.com/cowrie/cowrie.git


    【実行】

    $ cd ~/cowrie/bin

    $ cowrie


    詳細は、先人の方々のブログを
    ご参照ください!


    View Slide

  23. iptablesによるひと工夫

    23
    Chain PREROUTING (policy ACCEPT)
    target prot opt source destination
    REDIRECT tcp -- 153.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022
    REDIRECT tcp -- 150.xx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022
    REDIRECT tcp -- 173.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022
    REDIRECT tcp -- 74.xxx.xx.0/24 0.0.0.0/0 tcp dpt:22 redir ports 22022
    REDIRECT tcp -- 180.xx.xx.xx 0.0.0.0/0 tcp dpt:22 redir ports 22022
    REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 8080
    REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 redir ports 2222
    REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 redir ports 2223
    DOCKER all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL
    許可されたIP

    許可されない

    IP

    iptables

    PREROUTING






    SSH

    22022/tcp

    Cowrie

    2222/tcp

    2223/tcp

    WOWHoneypot

    8080/tcp

    HTTP

    80/tcp

    SSH

    22/tcp

    Telnet

    23/tcp

    アクセス先を制御


    View Slide

  24. 24
    6 ハニーポッターの紹介


    View Slide

  25. ツイッターで見かけるハニーポッターの皆様

    25
    ■ハニーポット、ちょっとできる勢 (作者)

    morihi-soc @morihi_soc WOWHoneypot
    graneed @graneed111 BW-pot
    ■ハニーポット観察(#ハニーポット観察)

    sec_chick
    (せっくちっく)
    @one_chick_sec WOWHoneypot、Honeytrap
    弐参 @sec2323 WoWHoneypot
    TK @ookura1978 T-pot
    SmokyJp@右座骨
    神経痛療養中
    @smokyjp WOWHoneypot
    Nick @STUSecInfo BW-pot

    View Slide

  26. 26
    7 まとめ


    View Slide

  27. ◆#ハニーポット観察 でつぶやこう!

    27
    まとめ

    ◆GCPの無料枠を活用しよう!

    ◆Linuxとネットワークの知識は役に立つので

     勉強しよう!


    View Slide

  28. ご清聴ありがとうございました。

    28
    フォロー待ってるニャ!

    @catnap707


    View Slide

  29. 29

    View Slide