読者です 読者をやめる 読者になる 読者になる

Shi0shishi0

とても眠い。

ハニーポット「Cowrie」を2ヶ月間運用してみました(まとめと所感)

セキュリティ

2月にCentOS7のサーバへハニーポット「Cowrie」を植えてみました。

ecoha0630.hatenablog.com

そこから2ヶ月間、ちまちまログを確認したりアップロードされていたファイルを確認したりしたのでその辺のまとめを書いてみます。

どのぐらい不正アクセスが来るものなの?

いっぱい来ました。

2016年2月7日~2016年4月9日までで19647件ほどの不正アクセスがありました。
Cowrieには記録したログをMariaDBに書き込む機能があるので、その機能を使って集計しました。

f:id:echoha610:20160409145301p:plain

約2ヶ月で19647件なので、60日で割る単純計算で1日300件以上アクセスがあることになります。そう考えると結構多く感じます。
不正アクセスを行なっていたIPアドレスは重複しているものが多く、重複を削除すると600件ほどでした。

これらのIPアドレスの地理情報とかWhois情報まで調べたりすると面白そうなのですが、今回は特に調べてないのでそのうち調べたいと思います。

攻撃者ってどんなユーザ名やパスワードを試してくるの?

攻撃者がSSHでサーバに侵入しようとする時、どんなユーザ名とパスワードを試すのかログを見ているとなんとなく傾向がわかりました。

入力されていたユーザ名とパスワードは単純なもの(a/aとかb/bとか)、定番の単語(admin/adminとかuser/userとか)、英単語ばかりでした。
ランダムな文字列を試行している攻撃者は殆どいなかったように思えます。(いても気付いていないだけかも)

英単語だとOSの名前、ソフトウェアの名前が多く試されているなと感じました。
ubuntucentosdebian、vyatta、oracle、pi、wordpress、git、jenkins、zabbix、postgres …などなどをユーザ名/パスワードとして入力していたり。

特定の製品やソフトウェアのデフォルトのユーザ名/パスワードがその製品名を使ったものだったりすると、危ない場合もあるかもしれないですね。
(今時そんなガタガタな初期設定のものは無いと思いたいですが…)

1月にSplashData社が出していた「Worst Passwords List」を参考に、流行りもののパスワード(StarWars関係)も無いか調べてみました。
残念ながら、流行りもののパスワードはほとんど使われていませんでした。

f:id:echoha610:20160409151913p:plain

攻撃者にマルウェアを置かれたりするの?

色々置かれていました。

侵入に成功した攻撃者がwgetコマンドを使ってマルウェアをダウンロードする場合があることがログから確認できました。
Cowrieの中にダウンロードされたファイルはダウンロードされるとすぐに「dl」というディレクトリに移動されるようになっています。
これにより、攻撃者がダウンロードしたマルウェアを確保でき、なおかつそのマルウェアの実行を防ぐことができます。

ダウンロードされていたファイルは(当然ですが)Linux向けのマルウェアばかりで、種類も似たようなものばかりでした。
ダウンロードされていたマルウェアのうち、いくつかVirusTotalで検索してみました。

Linux/Backdoor系
検出名の通り、感染すると攻撃者から遠隔操作されることになると思われます。(検出率が意外と低い)
f:id:echoha610:20160409155540p:plain

Linux.DDOS.Flood系
検出名がベンダによって若干ことなるだけで、こちらも機能は同じだろうなぁと。
感染すると攻撃者がDDoS攻撃を行う際にサーバを利用される危険性があるのだろうなと思います。
f:id:echoha610:20160409155542p:plain

こういった「感染すると遠隔操作をされる危険性がある」系のマルウェアが大量にダウンロードされていました。
検体は不要だったので適宜削除していました。

所感

約2ヶ月間Cowrieを動かしてみましたが、結構面白かったです。
不正アクセスがどのぐらい行われているのか、どんなユーザ名/パスワードが不正アクセス時に試行されるのか、攻撃者はサーバをどんなマルウェアに感染させようとしているのかをリアルに感じることができました。

ただ、もっと幅広く情報を収集するならばSSHによるアクセス以外も受け付けることができるハニーポットを利用するのが好ましいのかな、とも感じました。
アップロードされるマルウェアLinux向けのものだけなので、Windows向けのもの等はCowrieでは確認できないと思います。

次は別のハニーポットにも手を出してみて、もっと幅広く情報収集を行なってみようと思います。

参考URL

SplashData’s fifth annual “Worst Passwords List” shows people continue putting themselves at risk
http://www.prweb.com/releases/worst/passwords/prweb13170789.htm