第3回 ハニーポッター技術交流会に参加しました

2018年4月15日

2月24日に東京で行われた「第3回 ハニーポッター技術交流会」に参加してきました.

ハニーポッター技術交流会はハニーポッターである@morihi_socさんが主催する,ハニーポットの技術交流を通じてセキュリティ業界の発展に貢献することを目的としたイベントです.

今回は@morihi_socさんを含めた4名の方がLTを行ってくださいました.本記事では技術交流会で個人的に気になった技術をまとめておきたいと思います.

LTで感じたこと

今回のLTのテーマは以下のとおりです.(敬称略)

  • WebLogicの脆弱性(CVE-2017-10271)を狙う攻撃者たちの手法 @morihi_soc
  • cowrieに来てる通信をパケットキャプチャしてmirai亜種からのスキャン活動を可視化してみた @nhnmomonga
  • Modern Honey Networkを使ったハニーポットの管理 @blackle0pard_
  • クライアントハニーポットStarCを用いた悪性トラフィックの観測 @nao_sec (kkrnt)

今回初めてハニーポットに関するイベントに参加し,ハニーポットの運用を行っている方と直接会話をしたのですが,最も印象に残ったことは,一口にハニーポットの運用といってもその人の目的によって様々な構成があり,それぞれの悩みがあるというところでした.

@morihi_socさんや@nao_secさんは自分の目的に合わせてハニーポットを自作していますし,@nhnmomongaさんや@blackle0pard_さんは自分の目的に合わせてハニーポットのログ可視化に焦点を当てた構築を行っていました.

私にも普段ハニーポットの運用を行っている中で悩んでいることがあります.それはログ分析の頻度と,ログ分析結果の可視化です.私は日夜行われているサイバー攻撃を動向と,流行の攻撃手法を調査することを目的にハニーポットの運用を始めました.もともとサーバ技術に興味がありLinuxに触れた経験があったため,ハニーポットの構築は楽しく行っていました.

しかしあくまで趣味でハニーポットの運用を行っているため,毎日ログ分析を行うことはできずログが溜まってしまいます.数日溜めてしまうだけでもログはかなりの量になり圧倒されてしまいます.その結果収集だけして分析を疎かにしてしまっている期間が多々存在します.

またログ分析結果をわかりやすく自動的に可視化することができれば,Webブラウザから毎日可視化用のサーバにアクセスするだけで攻撃元となっている国や攻撃対象のポートを知ることができると思うのですが,T-POTなどの高級なハニーポットをVPSやクラウド上で動かすだけの資金は残念ながらありません.

今後使ってみたいと思った技術

LTや,他のハニーポッターの方の話を聞く中で,上記の悩みを解決できるかもしれないいくつかの技術やコツを教えていただいたのでメモしておきます.

Modern Honey Network

MHNはハニーポットの管理・可視化を行うソフトウェアのようです.日本語のドキュメントはほぼ無いらしいですが,少ないリソースでログの可視化を行うことができそうなのでもっと詳しく調べてみようと思います.

攻撃ログのハッシュ化による未知な攻撃の検出

攻撃ログは一度分析し知識として得ることができれば,同様のログを分析する意味は少なくなります.そこで一度分析したログのハッシュ値と異なるハッシュ値の攻撃ログを優先して分析することで,効率的にログの分析を行うことができるというわけです.この技術は私の一番の悩みであった,ログの量が多すぎて手がつかない問題を解決してくれそうな気がするのですぐに実践してみたいです.

その他気になった技術

StarC

StarCは低対話型クライアント側ハニーポットで,Drive-by Download攻撃の分析に特化しているそうです.クライアント側のハニーポットについては触ったことが無いので,今後時間を見つけて触ってみたいと思います.

おわりに

今回のハニーポッター技術交流会を通じて,ハニーポットに対する新しいアプローチや、知らなかった技術を知ることが出来てとてもいい刺激を受けました.次回は2018年夏頃予定しているそうなので,都合が合えばまた参加したいと思っています.

いつか発表者側で参加できたらいいなぁと思いつつ,ログ分析力の向上を目指して頑張ります.