第4回 ハニーポッター技術交流会に参加しました

6月30日に東京で行われた「第4回 ハニーポッター技術交流会」に参加してきました.

ハニーポッター技術交流会はハニーポッターである @morihi_soc さんが主催するハニーポットをテーマとした勉強会です.セキュリティ技術の中でも比較的ニッチなハニーポットについて,それを運用するハニーポッター同士で発表や議論など技術的な交流を行うことで,セキュリティ業界の発展に貢献することを目的としたイベントです.

前回,2月24日に行われた「第3回 ハニーポッター技術交流会」は聴講者として参加しましたが,今回はなんと発表者として参加してきました.前回参加したときから,いつか発表者として参加することを目標にハニーポットを続けていたので,発表することができて嬉しかったです.

本記事では発表を行った感想と,他の登壇者の LT の中で個人的に印象に残っていることのまとめを行いたいと思います.

全体の感想

今回の LT のテーマは以下のとおりです.(敬称略)

  • Drupalgeddon2 をハニーポットで観察してみた @morihi_soc
  • その T-Pot 本当に必要ですか? @Security_noa
  • Welcome To Honey Pot World 〜低対話型ハニーポットについて調査してみた〜 @one_chick_sec
  • AWS+T-Pot+WOWHoneypot+ELKでWeb攻撃を観察してみよう @graneed111
  • ハニーポットのログの読み方(初級編) @Sec_S_Owl
  • 毎日見よう アクセスログ @hogehuga

第4回 ハニーポッター技術交流会 – 資料一覧

まず全体を通して感じたことが,T-Pot 大人気だな〜です(笑)
6つの発表のうち,私を含めて3人が T-Pot について触れていました.

私はハニポ運用を始める際,正直下調べをほとんどせずに始めてしまったので T-Pot の存在を知りませんでした.しかしながら,ハニポ運用開始後 T-Pot を知ったときはこれ一つで全部できるじゃん!となんとか導入できないか考えたものです(結局,要求スペックの高さに断念せざるを得ませんでしたが……).

勉強会でも感じましたが,今では T-Pot について書かれたブログも増え,ハニポ運用を始める際の第一候補となりつつあるようです.そんな中ミニマリスト的思考の私は T-Pot の機能の多さと要求スペックの高さから初心者の方には向かないと考え,今回の発表に至りました.実は正直,T-Pot ユーザの多さからこのテーマで発表しようかどうかかなり悩みました(笑)

また,アナリストの方の発表レベルの高さには感服しました.発表者の中に数名本業がアナリストの方がいたのですが,ハニーポットにおいてもログ分析のノウハウを存分に活かした発表内容だと感じました(もちろん発表内容は業務とは関係ありません).可視化環境など気にせず,観測した攻撃内容に焦点を当てた発表で,自分もいつかそんな発表ができるようになるといいな〜と思いながら資料を見返していました(笑)

発表を行った感想

今回始めて勉強会で LT を行いました.非常に緊張しましたし,どんな反響があるのかとてもドキドキしていました.結果的には T-Pot に同様の扱いづらさを感じている方が一定数いらっしゃったようで,参考になったと言っていただけることができ良かったです.これからハニポ運用・T-Pot 運用を検討している人の参考になれば嬉しいです.

※ 発表時の資料に記載していた T-Pot の要求スペックが過去のバージョンと混同していました.大変申し訳ありません.公開した発表資料は修正済みとなっております.

ちなみに今回は時間の都合上,具体的な各ハニーポットの導入方法や ELK の導入方法には触れていません.詳しい導入方法はこのブログにそれぞれ記事として残しているので,合わせてをちらも参考にしていただけると幸いです.

Cowrie の導入方法
Glastopf の導入方法
Dionaea の導入方法
WOWHoneypot の導入方法
ELK の導入方法

今後参考にしたいテクニック

他の方の発表を聞く中で,今後ハニーポットを運用する際,個人的に参考にしたいテクニックがいくつかあったのでまとめておきます.

ドメインを育てる

Web 特化型ハニーポット(WOWHoneypot や Glastopf など)を運用するにあたって,ハニーポットサーバにドメインを割り当てる.すでに一定数のアクセスがある自サイトにハニーポットへのリンクを張ることで,ハニーポットへのアクセス数(攻撃数)を増やすことができる.

Dockerfile を構築の参考にする

ハニーポットの Dockerfile が提供されている場合,その Dockerfile をホストに直接インストールする際の参考にすることができる.Dockerfile とは Docker Image をビルドする際に利用される,インフラをコード化したファイル.本来は Docker コンテナでハニーポットを運用する場合に使用する.

WOWHoneypot を SSL 対応

本来,80番ポートで待ち受ける WOWHoneypot のソースコードを変更し,HTTPS 対応して443番ポートで待ち受けることで HTTPS 通信の攻撃を観測することができる.アクセス数は80番ポートの方が多いが,特殊な攻撃を観測することができるようになるそう.

ハニーポットへの通信を IDS に入れてみる

ハニーポットへの通信ログのうちどこが攻撃コードか分からない場合,ログを IDS に入れることでシグネチャ引っかかる.攻撃者が悪用しようとしている脆弱性の CVE 番号なども分かるらしい.

ハニーポットのログサマリを Slack に送信

ハニーポットのログ分析を毎日やるのは大変.そこでログサマリを Slack に送信することで,簡易的なログ分析を日々のルーチンの一部として組み込む.メールと比較したときの Slack のメリットとしては,スレッド管理やインタラクティブなアクションが可能といったことが挙げられる.

おわりに

今回のハニーポッター技術交流会は個人的には2回目の参加でしたが,ハニーポットに関する新たな知見が得られただけでなく,LT という初めての体験を行うこともできました.次は2018年の冬頃を目処に計画されているそうなので,第5回も是非参加したいと思っています.