Upgrade to Pro — share decks privately, control downloads, hide ads and more …

honeypot

sec-chick
January 25, 2020
860

 honeypot

sec-chick

January 25, 2020
Tweet

Transcript

  1. Who Am I • Name: sec chick(せっくちっく) • Job: プライベートSOCアナリスト

    • Hobby: ダンボー撮影 撮影中の周りの目は痛いですが、 私は元気です! Q. ハニポ何台持っている? A. 3台持っています! Q. ハニポの種類は? A. 以下の低対話型ハニーポット WOWHoneypot、Cowrie、 CitrixHoneypot、 Honeytrap
  2. フローチャート 1.Docker再起動および ハニーポットの ログログローテート 2.Honeytrapの マルウェアチェック 3.ログをcsv出力 4.Honeytrapの集計および Slack連携 5.WOWHoneypotの集計および

    Slack連携 1.日時でログローテートし、 Docker を起動 2.Honeytrapのログを確認し マルウェアのダウンロードを狙っ た通信がないかチェック 存在する場合、検知を取得 また、Virustotalへログ連携 3.日時でログローテートされた ファイルをcsvへ変換 4.Honeytrapのログをポート、 IP、マルウェアダウンロード先 で集計し、Slackへ連携 5.WOWHoneypotのログをIP、 URIで集計し、Slackへ連携 URIにはどの製品へのアクセスを 狙ったものかを追記 6.ブログ更新 マルウェアチェックや csv化はpythonで実装
  3. Docker再起動、ログローテート • Dockerの再起動 イメージをリフレッシュするため Dockerを定期的に再起動 docker-compose -f /home/ubuntu/docker/ docker-compose.yml restart

    • ログローテート 1日1回のログローテート logrotateで実行 /home/ubuntu/docker/log/honeytrap/l og/attackers.json { ifempty #ログファイルが空でもローテーション dateext #末尾に日付(YYYYMMDD) dateformat _%Y%m%d #日付のフォーマット missingok #ログファイルが存在しなくても エラーを出さずに処理を続行 daily #日次で実行 }
  4. マルウェア自動分析フローチャート • Honeytrapのログからマルウェアの ペイロードがないか確認 • マルウェアのペイロードが含まれて いるかつ調査済み出ない場合に マルウェアを取得 <正規表現例> .*?wget.+?(https?[\/\w\:\.\-\%]+?)([

    ^\/\w\:\.\-\%]|\.\.) .*?wget[\s\+]+([[\/\w\.\-\:\%^(\-g)] {6,}?)([^\/\w\:\.\-\%]|\.\.) .*?curl.+?(https?[\/\w\:\.\-\%]+?)([ ^\/\w\:\.\-\%]|\.\.) Honeytrapの ログをオープン ペイロードに マルウェアURLがな いか確認 マルウェア URL 調査済み マルウェア取得 調査済みリストへ登 録 終了
  5. フローチャート • それぞれのハニーポットの CSVファイルを 読み込み • WOWHoneypot系のログはURLの情報に ターゲット情報を追加 • 各情報を集計し、Slackへ連携

    <URLのターゲット情報> wow_path_research,target,CVE,reference,Date .env ,env,-,-,2020/1/18 .txt,text,-,-,2020/1/18 /admin/config.php,PHP,-,-,2020/1/18 Honeytrapの csvをオープン IP、ポート、 マルウェアURLを集 計 Slackへ連携 WOWHoneypotの csvをオープン URLにターゲット情 報を追加 IP,URLを集計 Slackへ連携
  6. 現状のステータス • CPU 仮想1Core、メモリ 512MB、SSD 25GB でも動いていることを確認 → Honeyttrap、WOWHoneypot(HTTPSでも稼働) •

    新たな攻撃を見つけるために新規パスを検知できるようにしている →正規表現のパターンファイルで紐づけているので、定期的に 配布できたらと考え中 • マルウェアダウンロードがshellスクリプトであった場合、 検知できないケースがある
  7. 終わりに • ハニーポットの自動化について発表 • 自動化することによって自分の好きなことに打ち込める時間が増える (現在のブログ更新時間:何もなければ 5分ぐらいで作成可能) • 現在、プログラムは鋭意作成中 (Pythonは初めて)

    - 追加機能をどんどん追加したくなる (どれをオンオフするかは設定できるように調整 ) → 何かこんな機能もあったら、分析に役立つなどあれば、教えてください - 私のプログラム、汚すぎ問題  → コメントアウトはしっかり書こう・・・ - プログラムをあげるタイミングはいつにしよう? → どこまでテストしたらアップロードする? • 3月末までに公開したい・・・・・