🍯T-potをVultrで建ててみた
はじめに
お久しぶりです。よもぎです。全然ブログ書けてないですね……
今回はマルチプラットフォームハニーポットであるT-potを動かしてみたので、そのあたりを記事にしていければなと思います。
このT-potを運用するサーバーとして、VPS*1を提供しているVultrを利用しました
以前にも一度AWSのEC2を利用してT-potを運用したことがあったのですが、
なかなか時間を取れずにせっかく取ったログを分析する余裕を持てず、ただ利用料金が取られていくだけだったので割とすぐに止めてしまいました。*2 今はアルバイトで割と安定して収入があり、ログ分析の時間の余裕も持てるんじゃないかなぁと、またやってみました。
Honeypotってなに?
Honeypot とは、 わざと攻撃されやすい環境を用意することで、 つられてやってきた実際の攻撃者の行動ログだったりマルウェアだったりを収集するもの で、 コンピュータ上での”おとり捜査におけるおとりの役割”みたいなものです。
さっき貼った2年前の記事にいろいろ書いたので、ここでは簡単に済ませたいと思います。
Vultrでサーバーを立ててみる
たぶんついったーを見ていたときにVPSとしてVultrがあることを知りました。 最安値で月$2.50から用意されているので、気軽に利用できそうですね。最安値構成でも10GB SSD、1CPU、512MB mem、0.50TB Bandwidthという構成なので用途によっては十分動きそうです*3。
とりあえず、建ててみました。
2年前と比べてT-potを運用するための要件が結構変わりました。前回は4GB mem & 64GB SSDだったのに、今となっては8GB mem & 128GB SSDがminimumです。要求が高い。 あとホストOSがUbuntuからDebianになっていました。Debianほとんど何もわからない。
ということでこんなプランで借りてみました。このスペック*4で24時間稼働し続けるサーバーを借りられるので月$40はまともな値段なんじゃないでしょうか。 あ、なんか日本だと消費税で+10%とられちゃいます。 サーバーの物理的な所在地はなんかおしゃれそうだしロサンゼルスにしています。
1年くらい前の記事ですが、こちらの方が調べた結果としてはVultrで借りたVPSでのHoneypotの運用は大丈夫そうでした。
いんすとーーーる
Debian上で動くというので、Vultrでサーバー建てるときにOSをDebianで選択したのだけれども、もしかしたら必要なかったかもしれない?
インストールにはBuild済みのISOイメージを利用しました。 Vultrの管理画面でGitHubのReleaseにあるisoイメージのリンクを渡してあげるだけで、そのリンクからVultr側でisoをダウンロードしてVPSサーバーが利用できるような形にしてくれます。
これでAttach ISO and Rebootをクリックすると勝手に再起動してインストールが始まります。
まずDebianのインストールが始まります。よくあるOSのインストールみたいな感じです。ネットワーク設定は自動で完了したし、特に詰まることはありませんでした。
Debianがインストールし終わると、もう一度再起動します。このタイミングで先程管理画面でattachしたISOイメージをdetachします。 そうしないと、T-potのインストールに移れず、延々とDebianを再インストールします。実際、5回位Debianインストールして、あれれ~?おっかしいぞー?になってました。 やる気が下がった。賢さが5下がった。
T-potのインストールでは、Standard・Sensor・Industrial・Collector・NextGen・Medicalからインストール種別を選択してインストールできます。特にSensorはELKを省いているのでシステム要件が一気に緩和されます*5。Standardを選びました。その後は管理用アカウントやWeb管理画面アクセス用のアカウントを、インストーラーの案内に従って設定しました。
インストール完了しました。バージョンは20.06です。
うごいた
Web UIにアクセスするとこんな感じ。Cybershefもあるんだね。
動かして2分くらい経ったときのKibanaのDashboardはこんな感じ。
Suricataにアラートが上がっていて、SSHへのログイン試行が行われているようです。
15分近く経過するとだんだんバラエティ豊かになっていきます。
1日が経過すると色々と来ていることがわかります。
攻撃元の所在地でいうと1位アメリカ、2位ロシア、3位インド。他にもシンガポールや韓国といったアジアやオランダやドイツ、スロバキアといったヨーロッパからも来ています。
攻撃先ポートでいうと、3351や3388、23、81が多めなようです。23はTelnetで81はオニオンルーティングに用いられているそう(Wiki調べ)。3351や3388はわからないなぁ。3351はBTRIEVEで3388はCBServerという情報があるけれども、そのあたりの製品の脆弱性なのかな?
パスワード攻撃のときに raspberryraspberry993311 , 7ujMko0admin , xc3511 , Win1doW$, xmhdipc あたりが試されているようです。どこかのメーカーのデフォルト値だったりするのかな。
165.142.125.128 だとか 45.146.165.113 だとかのIPからのアクセスが多いので調べてみると、Censysからのスキャン活動らしく、嫌だったらOpt-Outしてねって言われてる。
FWを設定したりして弾くべきなのかもだけど、ちょっと面倒で今してません……無駄にログを増やしてしまうからなんとかしたほうが良いんだろうけど。
一週間、動かしてみて。
費用的には$10くらいです。1年動かすと税込み$550くらいかなといった感じでしょうか
終わりに
今回はちょいちょい見て、分析して経験値増やしていきたいですね。せっかくお金払っているので。
支払い方式にクレジットカードを登録せずPaypalからデポジットしているので、忘れず追加課金しないといけない。
一応既に2日分くらいは分析のストックあるので近いうちにまた記事を書きたいです。
追伸:いつもの布教・大空スバル
記事を書いているときは97.6万人登録者数で、もうすぐ100万登録者数いきそうです! 新衣装かわいいです。
あとHEY YA!という洋楽に合わせたアニメが結構バズって350万再生されているし、
ミーム化してKFCのスペイン公式のツイートに出てきたり
hoy se come kfc 😎 pic.twitter.com/BrQ9JQj9GL
— KFC (@KFC_ES) 2021年5月21日
帽子をかぶったアヒルのダンスgifがバズっているようです。Redditでも関係ないSubredditで出てきたり。
次のTwitterのやつは 音量注意
— Out of Context Virtual Youtubers (@OutofVTubers) 2021年6月17日
いつも元気溌剌の配信で元気もらってます。
