人間ハニーポット作戦

普通のハニーポットに戻りたい〜><

Raspberry Pi2でWordPress(と、ついでにSSH)なハニーポットを作ったお話。

Honeypot WordPress

この記事はRaspberry Pi Advent Calendar12日目の記事です。

www.adventar.org

Raspberry Pi2にWordPressSSHハニーポットcowrieを入れたお話。

ハニーポットとは

ハニーポットを知らない人向けに軽く説明。
わざと脆弱っぽいシステムを作り、どんな攻撃が来るか観察してニヤニヤするもの。
詳しくはWikiで。
ハニーポット - Wikipedia

なぜRaspberry Piで?

別に他の使ってもいいじゃん。Raspberry Piといえば電子工作だ!という意見。
確かに。

なぜRaspberry Piでハニーポットを作るかというと、安価だからです。そしてサーバとしても使いやすい。
そしてなにより余ってたから

まあ、最初の動機は余ってたから、なのですが、研究を続けているうちになくてはならないものになっています。

おかげさまで、誕生日にとある凄いお方からRaspberry Pi2を頂いて、「これでもっとイケてるのがつくれそう」となったのです。

今までRaspberry Pi1では性能に不安があり、SSHハニーポットが重すぎるためかまともに動いてくれませんでした。そのあたりが多分解消されるはず・・・!と。

なぜWordPress

今まではRaspberry Pi1にDionaeaを入れて観測していました。詳細は以下リンク。

qiita.com

で、なぜWordPressに変えたかというと、「WordPressって脆弱性の塊だよね」という話をよく聞くからです。(実際のところはよくわかりませんが)

まぁ、Dionaeaを運用している頃からよくWordPressに対する攻撃とみられるログは見かけました。(PHPMyAdminとかと比べるとそこまで多くはなかったですが。)
真相を追及するには自分も同じ環境を立てて、ログを調べるのが一番!というわけで、WordPressを立てることにしたわけです。

それならDionaeaでもいいのでは?と思う方もいらっしゃるかもしれません。しかし、Honeypotは何より本物に近づけるのが大事なのです。

攻撃者はWordPressがあるかどうか実際にアクセスして調べて、なければ退散、という形を取ります。これではどんな攻撃をされるのかわかりませんね。
だから実際にWordPressを入れて「攻撃できそうだ」と思わせるのが重要なのです。そこから攻撃ログがたくさん採取できたらハニーポッターとしてはうはうはなのです。

使ったもの

使用機器等

  • Raspberry Pi2 ModelB・・・1から世代交代しました。1と一緒に使って負荷分散とか考えたけど意味がないのでやめた。
  • microSDカード16G・・・使いすぎて14Gぐらいしか使えなくなってる。

使用OS,パッケージ等

  • RASPBIAN JESSIE LITE・・・liteで十分です。
  • apache2
  • php5
  • mysql
  • wordpress
  • cowrie

こんなもんだったかな・・・?抜けがあるかも。まあphpとかmysqlとかはwordpress立てるにあたって暗黙の了解みたいなもんか。ちなみにmysqlはcowrieでも使ったり使わなかったり。

インストールについて

インストール等は端折ります。ドキュメントが充実してるので。 cowrieについては、こちらを参考にさせていただきました。

yagamikou.hateblo.jp

どんなログが採れたか?

一言で言いますと、何もとれていません。
Dionaeaで運用していた時と今のところ変わってないのです。というか、WordPressを間違いなく狙ってるアクセスが1件しか来てないってのは・・・。
まぁ、最近立てたので仕方ないです。もっと待つべきでしたね。

せっかくなのでそのたった1件のアクセスがどんなものなのか、解説しておきます。

***.***.***.*** - - [**/***/****:**:**:** +0900] "GET /wp-content/plugins/revslider/ HTTP/1.1" 404 7291 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"

Pluginに対する攻撃ですね。revsliderとは何でしょうか?
調べたところ、「Slider Revolution」というスライダーを作成できるプラグインに対する攻撃でした。
これで何をするのか、調べたらSlider Revolutionに関する脆弱性情報は新旧様々なものがあり、これだけではちゃんと特定できませんでした。
マルウェアへの感染、またはCSSファイルの改ざんによるなにか色々、といったところでしょうか。

参考サイト

WordPressのRevSliderプラグインを狙ったマルウェアSoakSoak - 完熟トマト

Monthly Research 「WordPressの脆弱性を狙ったWeb改ざん攻撃」│セキュリティ・リサーチのFFRI(エフエフアールアイ)

WordPressハニーポットの今後

もっとWordPressに対して攻撃してほしい・・・。 上の参考サイト、2つ目を読むと、GoogleのインデックスからWordPressの攻撃者は訪れるそうなので、まずはインデックスしてもらえるようお願いしました。
これで攻撃者がもっと訪問してくれると嬉しいのだけれど。

というわけで、12月25日のAdventCalendarも取らせていただきました。(トリで申し訳ないです。) ログの話ばかりだとRaspberry Pi関係ないので、なにか別のネタも考えておきます。(考え付かなかったら消えます。)

あと、今回来たSlider Revolutionを実際に入れて攻撃を待ってみたかったのですが、有料だったので断念しました。

おまけ(SSHハニーポットcowrieのお話)

Raspberry Pi1では重すぎてまともにログを採ってくれなかったcowrieさん。Raspberry Pi2は性能が上がったので、入れて運用してみました。
結果、1日でよくもまぁ大量にアクセスログが残っているじゃないですか。
ほぼすべての攻撃者は、ssh ユーザ名@ホスト名 コマンドで来るためか、コマンドのinputがlog/ttyに記録されないのが困ったところですが、kippoより断然いいですね。

で、マルウェアもいくつかキャッチできました。
対象がどんなCPUを使っててもいいように、実行ファイルをARMとIntel等全種類を送ってきているのがまた面白いですね。
どんなマルウェアか、少しづつ解析をしていきたいと思っています。その結果も12月25日に報告できればいいのですが、解析技術が今ひとつなのでこちらは期待しないでください。
(あと、ELFのマニュアルアンパック技術を誰か教えてください・・・。)