T-Potにて1か月運用した結果を記載する。

前提条件

運用日時：2020年1月2日-2020年2月2日

運用期間：30日

結果

①各ハニーポットで検知したAttack件数

• T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

• Result
  • DionaeaとCowrieへの攻撃が大半を占めている。
  • 2月途中に試験的にInstallタイプをNetGenに設定したため「CitrixHoneypot」「Glutton」などのログが追加された。 　　(CitrixHoneypotはmasscanの検出以外は/vpn/../vpns/cfg/smb.confへのアクセスなどの目ぼしい攻撃は検知できず...)

②攻撃元の国名と件数(Top 20)

• 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

• Result
  • ロシア(1位)は相変わらず多い。アイルランド(4位)、ブラジル(7位)を除くとアジア圏(ベトナム/インド/台湾)がTop10以内を占める。

③検知したCVEの脆弱性と件数

• Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

• Result
  • No1の「Wind River VxWorks におけるバッファエラーの脆弱性」とNo2の「リモート デスクトップ サービスのリモートでコードが実行される脆弱性(BlueKeep)」は前月と同じ傾向があった。
  • No3の「Land IP denial of service」は送信元IPアドレスと送信先IPアドレスを同一に偽装したパケットを送り付けるDoS攻撃。 　　SYNパケットの送信元／送信先IPを標的IPに指定することで標的IPに対する応答パケットが再帰的に送信され、無限ループ状態に陥いた結果、カーネルハングアップを引き起こすことになる。

https://www.ipa.go.jp/security/vuln/documents/vuln_TCPIP.pdf

最後に

• 2か月分のログ容量がたまってきた結果、やはりメモリ容量が足りなくなった。症状としてはKibanaでコンソールを表示する際にタイムアウトが頻発してまともに表示できない状況になる。
• 色々メンテする中で、Kibana server is not ready yetのメッセージが出力されKibanaにアクセスできなくなった。さらに色々調べてメンテを進めたところKibanaのIndexの内消してはいけないものを消したようで、最終的にKibanaのコンソールにアクセス不可になった。復旧に時間がかかりそうなのでT-Potを再インストールした。
• 再インストールに合わせてスケールアップを実施し、メモリ量を4GB→8GBに変更した。環境は快適になったが、毎月のVPS利用料が6400円にアップして家計は火の車です。
• 会社活動で発表した結果、意外と好評だったのでオリンピック期間は頑張って続ける予定。
• 個人的な感想になるが東京オリンピックのセキュリティに関係する仕事をしてみたかった。そして、もう夢は叶いそうにない。しかしそれでも諦めずにオリンピック期間の攻撃を観測して、援護射撃の形で日本のセキュリティを支援するぜ！！