Dionaeaハニーポット観測記録 Part1

　ハニーポットを植えてからしばらく経ってログも溜まってきたのでそろそろ観測記録を公開しようと思う．

<a href="http://sonickun.hatenablog.com/entry/2014/10/03/152249">ハニーポットはじめました。 - sonickun.log</a>
ハニーポットはじめました。 - sonickun.log

　環境は以下のとおり

サーバ：Amazon EC2サーバ
CPU：1コア
メモリ：1GB
OS：Red Hat Enterprise Linux Server release 6.5 (Santiago)
ハニーポットツール：Dionaea

　Dionaeaがエミュレートする主なサービスは以下の通り．

Server Message Block (SMB)
Hypertext Transfer Protocol (HTTP)
File Transfer Protocol (FTP)
Trivial File Transfer Protocol (TFTP)
Microsoft SQL Server (MSSQL)
Voice over IP (VoIP)

　ハニーポットの稼働期間は2014年10月09日～2015年01月29日（ただしお手入れを怠ったせいで2014年11月24日～2014年12月10日のデータが欠損している）．2015年01月29日現在も稼働中．ドメイン取得，広告活動はとくになし．

　今回はDionaeaFRというDionaeaのログの解析ツールを用いてざっくりとした統計を行う．詳細な攻撃のログに関しては別の機会に報告することにする．

DionaeaFR - Catches bugs

基礎統計データ

　これまでの全てのログの基本的な統計データを示す．
f:id:sonickun:20150129204529p:plain
　全部で16,157名のお客様がお越しくださいました．本当にありがとうございました．
　ドメインを取得しているわけでもないのにこれだけのアクセスが来るのはハニーポット初心者にとっては驚きだった．なお，"Malware Analized"とは，ハニーポットに送られたバイナリのハッシュ値を自動でVirusTotalで検索したことを表している．ハニーポットに送られたバイナリのほとんどは既知のマルウェアであることが分かる．

　下の図はハニーポットにアクセスしてきたホストのロケーションを分析した結果である．
f:id:sonickun:20150129205259p:plain
　送信元の国を見てみると，コネクション数ではベネズエラ，ウクライナ，台湾の順に多い．またユニークなIPアドレス数で見るとジョージア(アメリカ)，エクアドル，ベネズエラの順に多い．コネクション数に対してIPアドレス数が多い国は攻撃ホストが比較的多く，IPアドレス数に対してコネクション数が多い国は1攻撃ホストあたりのアクセス回数が比較的多いということになる．

直近1週間のデータ

　2015年01月22日～2015年01月29日の1週間分のログの解析結果を示す．

Services

　下の図はターゲットなったサービスの分析結果である．
f:id:sonickun:20150129210221p:plain
　最も多く攻撃のターゲットとなったのはSMB(Server Message Block)であった．SMBとはネットワーク(LAN)上の複数のWindowsコンピュータの間でファイル共有やプリンタ共有などを行うためのプロトコルである．SMBにはこれまで様々なエクスプロイトのバグが発見された歴史があり，ワームのターゲットとなることが非常に多い．
　

Ports

　下の図は送信先のポート番号についての分析結果である．
f:id:sonickun:20150129211548p:plain
　アクセスが最も多かった445番ポートは，Confickerというワームがスキャンを行うポートして知られている．445番ポートではMicrosoft Directory Service (SMB/CIFS)というサービスが動作するポートであり，Conficerは445番ポートへのスキャンに続いて，Microsoft Directory Service の脆弱性を突く攻撃を試みる(参考：IPA 独立行政法人情報処理推進機構：情報セキュリティ技術動向調査（2009 年上期）)．次にアクセスが多かった139番ポートはNetBiosというサービスが動作するポートだが，これもワームのターゲットとなることがある(参考：http://www.jpcert.or.jp/at/2003/at030007.txt)．また，3389番ポートのリモートデスクトップのサービスは2011年に流行したMortoというワームのターゲットになることが知られている(参考：ワーム「Morto」の挙動)．
　

Malware

　下の図はハニーポットに送られてきたマルウェアをVirusTotalで分類した結果である．
f:id:sonickun:20150129214156p:plain
　これを見ると，ほとんどのマルウェアはConfickerの亜種であることが分かる．最も多いConficker-AはNetbiosを感染経路とし，サーバーサービスの脆弱性 MS08-067(参考：マイクロソフトセキュリティ情報 MS08-067 - 緊急)への攻撃を行う．わずかではあるがトロイの木馬と思われるマルウェアも送られてきたので嬉しい．

Countries

　最後に送信元ホストのロケーションを世界地図にマッピングしたものを示す．
f:id:sonickun:20150129215325p:plain
　ぱっと見で多いのは，アメリカ，ヨーロッパ，中国，インドあたり．

余談(DionaeaFRについて)

　DionaeaFRはとっても便利．しかし，ログが収められたデータベース(logsql.sqlite)のサイズが大きくなるに連れて動作がかなり重くなる．今回解析したsqliteファイルのサイズは1.7GBだったが，1GBメモリのマシンではまったく動かなかった(ついでにDionaea本体も落ちた)．そこで手元のハイスペマシンでDionaeaFRを動かしたところ，メモリの使用量は7～8GBに達していた．DionaeaFRはlogsql.sqliteさえあればDionaeaがある環境と切り離しても動作するので，ハニーポットサーバが貧弱の場合は，解析は別のマシンで行うのがおすすめ．