人間ハニーポット作戦

普通のハニーポットに戻りたい〜><

ハニーポットやらかし大全

小ネタ Honeypot

小ネタとしてハニーポット作成の失敗ケースを挙げていきます。大全といっても5つしかないし少々ふざけた内容が入っていますがご笑納ください。笑えなかったらごめんね!

1. ログをコピーしようとして全消し

ログを解析しようとおもってコピーコマンドを間違える。

あ…ありのまま今起こった事を話すぜ!
「おれはcp hogehoge/* ~/hogehogeをしようと思ったらrm hogehoge/*していた」
な…何を言っているのかわからねーと思うが以下略
ばよえ〜ん

他にバックアップも無かったので詰んだ。

改善策として、ちょっとで済むこともなるべくスクリプト書くことにした(まぁ、スクリプトで同じ間違いしたら一緒だけど:P)

2. ログを取りすぎてディスクが埋まった

私はRaspberry Pi2で自宅ハニーポットを栽培しているが、microSDをケチって16GBとか使っていた。
で、一度パケットをキャプチャしようと思ってtcpdumpを適当に取ってみたら、何日後かに見たときは容量が消し飛んでいてまともにログが取れなくなっていた。

改善策としてはちゃんとフィルタかけてpcap取ろうな、ということと流石にもっと容量のあるSDカードを使えということ。ちなみに今はいい年して貰ったお年玉で64GBのmicroSDを買って使ってます、いえーい👊😃✌️

3. 採集したマルウェアをPCに移動させようとしてアンチウイルスに引っ掛かり消される

アンチウイルスを入れている状態のPCにマルウェアをそのまま持っていこうとしたりすると当然引っ掛かってアラートが上がり、削除されてしまう。

正直面倒なだけだけど、アンチウイルスをアンインストールor無効化してから持っていくか、マルウェアを暗号化圧縮して移動しアンチウイルスの働かない場所で解凍するかしかなさそう。

アンチウイルスソフトの仕事ぶりを体感したのであった。すごーい!

4. 採集したマルウェアを間違って実行する

史上最大級のやらかしである。
マルウェア保管ディレクトリで何故か ./* した(と思う、うろ覚え)。
ちなみにRaspi上で実行したので、頭で理解したらすぐに電源を引っこ抜き、SDを抜いてフォーマットした。(しかし収集したマルウェアには実行権限ついてなかった気がするから、実際は実行されてなかったかもしれない…)

頭がバグってるときにはマルウェアを下手に直接触らないようにしましょう。慣れてなければ特に。

5. user&passwordがデフォルト設定のままSSHを開ける

具体的に状況を書くと

はい、やらかした。 でもこれは結構あるあるなケースではなかろうか?あっ不注意な私だけでしたか?
raspbianはインストール時にuserを作ったりなどをする設計ではないので、デフォルトで存在しているuser piを使って新しくuserを作成するなどしてからpiを削除したりしないといけないんだけど、面倒なので後回しにしてしまった。どうせプライベート空間だと思ってた、実際はグローバルになってたけどw

ちなみに気づいた経緯としてはこんな感じ。

  1. 疲れたので設定中に放置
  2. 小一時間経ったあと突然、繋いでいたディスプレイが何かの処理の進行を示し出す。この時点ではrebootでもかかったかのように見えていたが…(勝手にrebootかかる時点でそもそもおかしい)
  3. しばらく見つめていると何かのdownloadが進行しているように見える
  4. 「そういえばグローバルIP割り振ったままだったわ!そしてuser&passwordデフォから変えてなかったわ!てへぺろ(・ω<)」
  5. 正直めちゃくちゃ動揺したので電源やLANケーブルより先にSDカード抜いた

しかし、リアルタイムに遠隔操作を目撃できたのでテンションは上がった。というか、進行状況がディスプレイに写っちゃうこともあるんだね…
ちなみにこの類のやらかしは何度もやらかしている。デフォルトuser&passwordでattackかけるのは有効だと身を以って体感するのであった。どう対策しようかな…。

やらかした感想

ぱっと思いついたのがこの5つだったけど、他にももっといっぱいやらかしていたと思う。
私の場合大体ぞんざいに扱っているからそうなる。特にログなど収集物はもう少しまともに扱えるようになりたいところ…。
これからも楽しいハニーポットライフを送って、またおもしろいやらかしを積んだらやらかし大全2を書こう。