Raspberry Pi2でWordPress(と、ついでにSSH)なハニーポットを作ったお話。
この記事はRaspberry Pi Advent Calendar12日目の記事です。
Raspberry Pi2にWordPressとSSHハニーポットcowrieを入れたお話。
ハニーポットとは
ハニーポットを知らない人向けに軽く説明。
わざと脆弱っぽいシステムを作り、どんな攻撃が来るか観察してニヤニヤするもの。
詳しくはWikiで。
ハニーポット - Wikipedia
なぜRaspberry Piで?
別に他の使ってもいいじゃん。Raspberry Piといえば電子工作だ!という意見。
確かに。
なぜRaspberry Piでハニーポットを作るかというと、安価だからです。そしてサーバとしても使いやすい。
そしてなにより余ってたから
まあ、最初の動機は余ってたから、なのですが、研究を続けているうちになくてはならないものになっています。
おかげさまで、誕生日にとある凄いお方からRaspberry Pi2を頂いて、「これでもっとイケてるのがつくれそう」となったのです。
今までRaspberry Pi1では性能に不安があり、SSHハニーポットが重すぎるためかまともに動いてくれませんでした。そのあたりが多分解消されるはず・・・!と。
なぜWordPress?
今まではRaspberry Pi1にDionaeaを入れて観測していました。詳細は以下リンク。
で、なぜWordPressに変えたかというと、「WordPressって脆弱性の塊だよね」という話をよく聞くからです。(実際のところはよくわかりませんが)
まぁ、Dionaeaを運用している頃からよくWordPressに対する攻撃とみられるログは見かけました。(PHPMyAdminとかと比べるとそこまで多くはなかったですが。)
真相を追及するには自分も同じ環境を立てて、ログを調べるのが一番!というわけで、WordPressを立てることにしたわけです。
それならDionaeaでもいいのでは?と思う方もいらっしゃるかもしれません。しかし、Honeypotは何より本物に近づけるのが大事なのです。
攻撃者はWordPressがあるかどうか実際にアクセスして調べて、なければ退散、という形を取ります。これではどんな攻撃をされるのかわかりませんね。
だから実際にWordPressを入れて「攻撃できそうだ」と思わせるのが重要なのです。そこから攻撃ログがたくさん採取できたらハニーポッターとしてはうはうはなのです。
使ったもの
使用機器等
- Raspberry Pi2 ModelB・・・1から世代交代しました。1と一緒に使って負荷分散とか考えたけど意味がないのでやめた。
- microSDカード16G・・・使いすぎて14Gぐらいしか使えなくなってる。
使用OS,パッケージ等
こんなもんだったかな・・・?抜けがあるかも。まあphpとかmysqlとかはwordpress立てるにあたって暗黙の了解みたいなもんか。ちなみにmysqlはcowrieでも使ったり使わなかったり。
インストールについて
インストール等は端折ります。ドキュメントが充実してるので。 cowrieについては、こちらを参考にさせていただきました。
どんなログが採れたか?
一言で言いますと、何もとれていません。
Dionaeaで運用していた時と今のところ変わってないのです。というか、WordPressを間違いなく狙ってるアクセスが1件しか来てないってのは・・・。
まぁ、最近立てたので仕方ないです。もっと待つべきでしたね。
せっかくなのでそのたった1件のアクセスがどんなものなのか、解説しておきます。
***.***.***.*** - - [**/***/****:**:**:** +0900] "GET /wp-content/plugins/revslider/ HTTP/1.1" 404 7291 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
Pluginに対する攻撃ですね。revsliderとは何でしょうか?
調べたところ、「Slider Revolution」というスライダーを作成できるプラグインに対する攻撃でした。
これで何をするのか、調べたらSlider Revolutionに関する脆弱性情報は新旧様々なものがあり、これだけではちゃんと特定できませんでした。
マルウェアへの感染、またはCSSファイルの改ざんによるなにか色々、といったところでしょうか。
参考サイト
WordPressのRevSliderプラグインを狙ったマルウェアSoakSoak - 完熟トマト
Monthly Research 「WordPressの脆弱性を狙ったWeb改ざん攻撃」│セキュリティ・リサーチのFFRI(エフエフアールアイ)
WordPressハニーポットの今後
もっとWordPressに対して攻撃してほしい・・・。
上の参考サイト、2つ目を読むと、GoogleのインデックスからWordPressの攻撃者は訪れるそうなので、まずはインデックスしてもらえるようお願いしました。
これで攻撃者がもっと訪問してくれると嬉しいのだけれど。
というわけで、12月25日のAdventCalendarも取らせていただきました。(トリで申し訳ないです。) ログの話ばかりだとRaspberry Pi関係ないので、なにか別のネタも考えておきます。(考え付かなかったら消えます。)
あと、今回来たSlider Revolutionを実際に入れて攻撃を待ってみたかったのですが、有料だったので断念しました。
おまけ(SSHハニーポットcowrieのお話)
Raspberry Pi1では重すぎてまともにログを採ってくれなかったcowrieさん。Raspberry Pi2は性能が上がったので、入れて運用してみました。
結果、1日でよくもまぁ大量にアクセスログが残っているじゃないですか。
ほぼすべての攻撃者は、ssh ユーザ名@ホスト名 コマンド
で来るためか、コマンドのinputがlog/ttyに記録されないのが困ったところですが、kippoより断然いいですね。
で、マルウェアもいくつかキャッチできました。
対象がどんなCPUを使っててもいいように、実行ファイルをARMとIntel等全種類を送ってきているのがまた面白いですね。
どんなマルウェアか、少しづつ解析をしていきたいと思っています。その結果も12月25日に報告できればいいのですが、解析技術が今ひとつなのでこちらは期待しないでください。
(あと、ELFのマニュアルアンパック技術を誰か教えてください・・・。)