T-PotでCowrieのログを確認してみた。

事前準備

# tree  --charset=C -d L 2 /data
/data
|-- adbhoney
|   |-- downloads
|   `-- log
|-- ciscoasa
|   `-- log
|-- citrixhoneypot
|   `-- logs
|-- conpot
|   `-- log
|-- cowrie
|   |-- downloads
|   |-- keys
|   |-- log
|   |   `-- tty
|   `-- misc
|-- dicompot
|   |-- images
|   `-- log
|-- dionaea
|   |-- binaries
|   |-- bistreams
|   |-- conf
|   |-- log
|   |-- roots
|   |   |-- ftp
|   |   |-- tftp
|   |   |-- upnp
|   |   `-- www
|   `-- rtp
|-- elasticpot
|   `-- log
|-- elk
|   |-- data
|   |   `-- nodes
|   |       `-- 0
|   |           |-- indices
|   |           `-- _state
|   `-- log
|-- emobility
|   `-- log
|-- ews
|   `-- conf
|-- fatt
|   `-- log
|-- glutton
|   `-- log
|-- heralding
|   `-- log
|-- honeypy
|   `-- log
|-- honeysap
|   `-- log
|-- honeytrap
|   |-- attacks
|   |-- downloads
|   `-- log
|-- mailoney
|   `-- log
|-- medpot
|   `-- log
|-- nginx
|   |-- cert
|   |-- conf
|   |-- heimdall
|   `-- log
|-- p0f
|   `-- log
|-- rdpy
|   `-- log
|-- spiderfoot
|-- suricata
|   `-- log
`-- tanner
    |-- files
    `-- log

T-PotのCowrie(カウリ)の/dataフォルダ配下の構成は以下の通り。

①/data/cowrie/cowrie.json 
　JSON形式のトランザクションログ
②/data/cowrie/log/tty/<ハッシュ値>
　playlogユーティリティで再生可能なセッションログ
③/data/cowrie/log/downloads/<ハッシュ値>
　攻撃者からハニーポットに転送された実ファイル

回収したログの確認のため、事前にplaylogを含むCowrieのイメージをGitからダウンロードしておく。
playlogユーティリティはダウンロードしたものを利用する。

# git clone https://github.com/micheloosterhof/cowrie.git
# cd cowrie

確認結果

①cowrie.json ログ

　アクセスログがJSON形式で保存されている。

# tail -n 1 /data/cowrie/log/cowrie.json
{"eventid":"cowrie.session.closed","duration":181.31627750396729,"message":"Connection lost after 181 seconds","sensor":"c84918ce61bf","timestamp":"2021-02-13T05:28:02.101286Z","src_ip":"XXX.XXX.XXX.XXX","session":"1b2eb96f07d6"}

②ttyログ

　playlogユーティリティで再現できるttyログが保存されている。playlogは入力時間や処理時間も含めて実際の処理が確認できる。

③採取ファイル

　downloadsフォルダ配下はハニーポットに転送されたファイル(malware/emptyファイル/certファイルなど)が送付される。

# ls -al /data/cowrie/downloads
total 636
drwxrwx--- 2 tpot tpot   4096 Feb 13 05:21 .
drwxrwx--- 6 tpot tpot   4096 Feb 12 07:49 ..
-rw-r--r-- 1 tpot tpot   4766 Feb 12 19:43 39380d5e68d3f3bd4b6436e74c1687a5e06bc7c56394ed527e97312e78aa93b2
-rw------- 1 tpot tpot 625867 Feb 12 16:47 4ed261e47303fe842557fa9797de873c28bc6579f8e63486a1431d5de622ac3a
-rw-r--r-- 1 tpot tpot    673 Feb 13 01:13 545b7c5a1523277111f9722d605dd1b7cd95c1e3463e93492115a6d4edd4e72e
-rw-r--r-- 1 tpot tpot    389 Feb 12 09:59 a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2
-rw------- 1 tpot tpot      0 Feb 13 04:16 tmpcrqx1beg
-rw------- 1 tpot tpot      0 Feb 12 12:31 tmpy60y2hbc
#
# file /data/cowrie/downloads
/data/cowrie/downloads: directory
#
# file /data/cowrie/downloads/*
/data/cowrie/downloads/39380d5e68d3f3bd4b6436e74c1687a5e06bc7c56394ed527e97312e78aa93b2: data
/data/cowrie/downloads/4ed261e47303fe842557fa9797de873c28bc6579f8e63486a1431d5de622ac3a: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
/data/cowrie/downloads/545b7c5a1523277111f9722d605dd1b7cd95c1e3463e93492115a6d4edd4e72e: ASCII text
/data/cowrie/downloads/a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2: OpenSSH RSA public key
/data/cowrie/downloads/tmpcrqx1beg:                                                      empty
/data/cowrie/downloads/tmpy60y2hbc:                                                      empty

参考

• cowrieのマニュアル cowrie.readthedocs.io

今月のTopics

12/19に開催されたSECCON 2020 電脳会議に1セッションだけ参加した。

「さくらでのゼロトラスト」という、VPNによる境界型防御モデルからゼロトラストモデルへの変更事例に関する内容であった。

VPN接続では業務利用において、以下2点の課題がある。
① 認証時のセキュリティを突破されると無防備に内部情報が露呈する。
② リモートワーク推進による接続者数の増加に伴い、レイテンシーが発生する。

セキュリティ上は①が問題になるが、実業務においては②の方が深刻度が高い(と個人的に思う)。
VPN接続が重すぎてまともに仕事ができない問題が(特に週明けに)多発することが多い会社さんは多いのでないだろうか？
そういう点で非常に参考になる講演だった。

以下のサイトでは主な論点が述べられている。

knowledge.sakura.ad.jp

今月のChangelog

2020/12/28 変更

・SQlite DBの修正
・GitHub Container Registry(ghcr.io)の利用停止
・netselect-aptの削除

2020/12/10 変更

・Elastic Stackを7.10.1へEWSPosterを1.12へ変更

2020/12/02 変更

・Elastic Stackを7.10.0へアップデート

前提条件

運用日時：2020年12月1日-2020年12月31日

運用期間：31日

結果

①各ハニーポットで検知したAttack件数

• T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

• Result
  • Rdpy (Windows RDP接続の低対話型ハニーポット)のアクセス数が先月と比較して増加していた。

接続元SourceIPの上位5番目までの分布は以下の通り。

②攻撃元の国名と件数(Top 20)

• 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

• Result
  • 先月に引き続き、アイルランド(1位)、ロシア(2位)、ベトナム(3位)、中国(4位)の順位は変わらず。

③検知したCVEの脆弱性と件数

• Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

• Result
  • Ripple20の攻撃が300万件を超えていた。先月が5万件程度だったので著しい増加量である。
  • 新規の攻撃は無し。

④よく攻撃されるユーザ名

• ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。

• Result
  • 先月から変更なし
  • 年間を通してみると、昨年までのsaユーザ(Microsoft SQL Serverの管理者ユーザ)に対する攻撃が下火になった反面、root/admin/userなどクライアント接続用ユーザへの攻撃が増加した

⑤よく攻撃されるパスワード

• パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。

• Result
  • 先月から変更なし

最後に

• 昨年は1年お世話になりました。今年も1年、宜しくお願いします。
• オリンピック開催期間中を目的とした本ハニーポット観察ですが、今年も継続しますので引き続きお付き合い下さい。
• 今年はCISSPの取得を目指します。

今月のTopics

2020年10月1日の早朝に発生した東京証券取引所の株式売買システム「arrowhead」にて終日取引停止につながる大規模障害が発生した。
原因は共有ディスク装置の設定不備であり、メモリ故障による障害発生時に、自動的に系切替えする設定が有効化されていなかったとのこと。

出典：arrowhead の障害に関する原因と対策について | 日本取引所グループ

障害原因は残念なものであったが、システム停止の意思決定から報道発表、一次対応と恒久対応までの流れは円滑に行われた。
経営者層の方がシステムを十分に把握されていたことも、良い方向に働いた一因であろう。
障害発生時のリカバリ対応として参考になる事例であった。

今月のChangelog

2020/10/28

・Suricataを5.0.4, Spiderfootを3.2.1, Dionaeaを0.9.2へ, IPPHoney, Heralding, Conpotを最新バージョンへアップデート

2020/10/27

・Dicompotを最新バージョンへ, Elastic Stackを7.9.3へアップデート

2020/10/05

・Elastic Stackを7.9.2へアップデート

前提条件

運用日時：2020年10月01日-2020年10月31日

運用期間：31日

運用結果

①各ハニーポットで検知したAttack件数

• T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

• Result
  • 先月と比較して全体的にアクセス件数が増加していた。
  • Mailoneyが90万件弱増加しており、特徴的に増加している。

②攻撃元の国名と件数(Top 20)

• 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

• Result
  • アイルランド(1位)が相変わらず多い。アメリカ(2位)のアクセス件数が急増していた。
  • ロシア(3位)、ベトナム(4位)、中国(5位)はアクセス件数は前月より増えているにもかかわらず、アイルランドとアメリカの件数が多いため順位を下げていた。
  • 19位にシンガポールからのアクセスを観測していた。
  • アメリカの件数増加は156[.]96[.]56[.]25からのMailoneyに対するアクセスが978,735件に上っており、これが増加の原因だった。送信されたデータは以下の通り。F.B.I.エージェントからATMカードに600万ドルと連絡したように装った詐欺メールが来ていた。

data: "Content-Type: text/plain; charset=\"iso-8859-1\"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body
Subject: Good news
To: xxxxx@comcast.net
From: \"BARRISTER EMEKA ANI OFR\" <chiocca@gethal.com.br>
Date: Wed, 28 Oct 2020 08:51:34 -0700
Reply-To: xxxxx@gmail.com

Good news,

After our verification with (F.B.I) agents they appoint  me to contact you .


We got your contact to the paying bank which your compensation payment
is over due valued $6 Million USD, which is in your ATM card,   and i am he=
re to ask you have you abandon your fund can you inform me what is the prob=
lem so that i can know how to assist you, as a law maker i we help you to r=
eceive your fund if you cooperate with me .

BARRISTER EMEKA ANI OFR
EMEKA ANI LAW ASSOCIATES
SOLICITORS AND PUBLIC NOTARIES",

図：2020-10-28 15:52:14 に観測したメールデータより

10/20からアクセスが始まり、10/28~10/29にかけてのアクセス件数が非常に多くなっていた。

③検知したCVEの脆弱性と件数

• Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

• Result
  • 先月から変更なし

④よく攻撃されるユーザ名

• ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。

• Result
  • 先月から変更なし

⑤よく攻撃されるパスワード

• パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。

• Result
  • 先月から変更なし

最後に

• 2020年11月4日にアメリカの大統領選があるが、アメリカからのアクセス件数増加と関連があるのだろうか？
• とあるCTFで個人で4位に入賞した。個人的にはpythonの機械学習ライブラリであるTensorFlowを使用した画像認証を騙す問題があり、検証環境で実装して試してみたいと思う。