読者です 読者をやめる 読者になる 読者になる

sonickun.log

備忘録

Dionaeaハニーポット観測記録 Part1

 ハニーポットを植えてからしばらく経ってログも溜まってきたのでそろそろ観測記録を公開しようと思う.


ハニーポットはじめました。 - sonickun.log

 環境は以下のとおり

 Dionaeaがエミュレートする主なサービスは以下の通り.

  • Server Message Block (SMB)
  • Hypertext Transfer Protocol (HTTP)
  • File Transfer Protocol (FTP)
  • Trivial File Transfer Protocol (TFTP)
  • Microsoft SQL Server (MSSQL)
  • Voice over IP (VoIP)

 ハニーポット稼働期間は2014年10月09日~2015年01月29日(ただしお手入れを怠ったせいで2014年11月24日~2014年12月10日のデータが欠損している).2015年01月29日現在も稼働中.ドメイン取得,広告活動はとくになし.


 今回はDionaeaFRというDionaeaのログの解析ツールを用いてざっくりとした統計を行う.詳細な攻撃のログに関しては別の機会に報告することにする.

基礎統計データ

 これまでの全てのログの基本的な統計データを示す.
f:id:sonickun:20150129204529p:plain
 全部で16,157名のお客様がお越しくださいました.本当にありがとうございました.
 ドメインを取得しているわけでもないのにこれだけのアクセスが来るのはハニーポット初心者にとっては驚きだった.なお,"Malware Analized"とは,ハニーポットに送られたバイナリのハッシュ値を自動でVirusTotalで検索したことを表している.ハニーポットに送られたバイナリのほとんどは既知のマルウェアであることが分かる.

 下の図はハニーポットにアクセスしてきたホストのロケーションを分析した結果である.
f:id:sonickun:20150129205259p:plain
 送信元の国を見てみると,コネクション数ではベネズエラウクライナ,台湾の順に多い.またユニークなIPアドレス数で見るとジョージア(アメリカ),エクアドルベネズエラの順に多い.コネクション数に対してIPアドレス数が多い国は攻撃ホストが比較的多く,IPアドレス数に対してコネクション数が多い国は1攻撃ホストあたりのアクセス回数が比較的多いということになる.

直近1週間のデータ

 2015年01月22日~2015年01月29日の1週間分のログの解析結果を示す.

Services

 下の図はターゲットなったサービスの分析結果である.
f:id:sonickun:20150129210221p:plain
 最も多く攻撃のターゲットとなったのはSMB(Server Message Block)であった.SMBとはネットワーク(LAN)上の複数Windowsコンピュータの間でファイル共有やプリンタ共有などを行うためのプロトコルである.SMBにはこれまで様々なエクスプロイトのバグが発見された歴史があり,ワームのターゲットとなることが非常に多い.
 

Ports

 下の図は送信先のポート番号についての分析結果である.
f:id:sonickun:20150129211548p:plain
 アクセスが最も多かった445番ポートは,Confickerというワームがスキャンを行うポートして知られている.445番ポートではMicrosoft Directory Service (SMB/CIFS)というサービスが動作するポートであり,Conficerは445番ポートへのスキャンに続いて,Microsoft Directory Service の脆弱性を突く攻撃を試みる(参考:IPA 独立行政法人 情報処理推進機構:情報セキュリティ技術動向調査(2009 年上期)).次にアクセスが多かった139番ポートはNetBiosというサービスが動作するポートだが,これもワームのターゲットとなることがある(参考:http://www.jpcert.or.jp/at/2003/at030007.txt).また,3389番ポートのリモートデスクトップのサービスは2011年に流行したMortoというワームのターゲットになることが知られている(参考:ワーム「Morto」の挙動).
 

Malware

 下の図はハニーポットに送られてきたマルウェアVirusTotalで分類した結果である.
f:id:sonickun:20150129214156p:plain
 これを見ると,ほとんどのマルウェアはConfickerの亜種であることが分かる.最も多いConficker-AはNetbiosを感染経路とし,サーバーサービスの脆弱性MS08-067(参考:マイクロソフト セキュリティ情報 MS08-067 - 緊急)への攻撃を行う.わずかではあるがトロイの木馬と思われるマルウェアも送られてきたので嬉しい.

Countries

 最後に送信元ホストのロケーションを世界地図にマッピングしたものを示す.
f:id:sonickun:20150129215325p:plain
 ぱっと見で多いのは,アメリカ,ヨーロッパ,中国,インドあたり.

余談(DionaeaFRについて)

 DionaeaFRはとっても便利.しかし,ログが収められたデータベース(logsql.sqlite)のサイズが大きくなるに連れて動作がかなり重くなる.今回解析したsqliteファイルのサイズは1.7GBだったが,1GBメモリのマシンではまったく動かなかった(ついでにDionaea本体も落ちた).そこで手元のハイスペマシンでDionaeaFRを動かしたところ,メモリの使用量は7~8GBに達していた.DionaeaFRはlogsql.sqliteさえあればDionaeaがある環境と切り離しても動作するので,ハニーポットサーバが貧弱の場合は,解析は別のマシンで行うのがおすすめ.