T-POTでハニーポットを構築してみて
ハニーポットのT-POTを建ててみました。
ハニーポットとは、ワザと脆弱なつくりにしたシステムで攻撃者を引き付けて攻撃者の挙動を観測することが出来るおとりサーバーになります。
今回使用したハニーポットはT-POTと呼ばれる、あらかじめ罠やツールがたくさん集まったマルチハニーポットです。
インストール手順などは、下記githubに記載されています。
T-POTはインストールが簡単で罠もたくさんあるので、ハニーポットを建てたことがない方は、一番構築しやすいと思いました。
その分、要求スペックが高くメモリが16GBないサーバーだと正常に建てられない恐れがあります。
今回はVPSサーバをレンタルして構築しています。
OS: Debian 12
CPU: 4 AMD vCPUs
メモリ: 16GB
ストレージ: 200GB
構築したらサーバーを建てたIPアドレスの64297ポートに接続するとダッシュボード画面にアクセスすることが出来ます。ファイヤーウォールの設定はポート50022と64297に対して、自分以外はアクセス出来ないように設定しています。
Attack Mapではリアルタイムで、どこからアクセスされているのかを見ることが出来ます。
KIbanaで観測したデータの一覧を表示することが出来ます。観測は約1か月間行い、約300万件近く攻撃を受けていました。
また攻撃に試行されたユーザー名とパスワードを表示することが出来ます。特に多かったのが下記ユーザー名とパスワードです。
ユーザー名
・root
・admin
パスワード
・123456
・(empty)
またどちらにも「345gs5662d34」という謎のユーザー名もあがっていました。パスワードでも同様に「3245gs5662d34」という文字がありました。この文字は、Polycom CX600 IP電話のデフォルト認証情報の可能性があるとのことです。
SSHやTELNETで接続した後、どのようなコマンドが実行されたかを確認することが出来ます。
TannerはWebアプリのハニーポットで、どのファイルにアクセスしているかを表示することが出来ます。
Webに対してそこまでアクセスが来なかったのは少し不思議でした。SSHやTELNETに対してのアクセスが一番多かったです。個人的にWebは結構来ると思っていました。445ポートにもかなりきていました。
国別ポートアクセス数は下記のようになっています。
終わりに
Kibanaではより詳細にログを確認することが出来ないので、詳細に確認したい方はダッシュボードからではなく、sshでサーバーにアクセスしてログを確認することをオススメします。
他にもT-POTには多くの機能がありますが、今回はここまでにしたいと思います。
ではまた・・・