Try   HackMD

マルウェア解析に必要な素養~解析者編~

親ページ:マルウェア解析に必要な素養

本章では、解析者の目線でマルウェア解析のトピックを扱う。

解析作業の実際

Unpacking Gootkit Malware With IDA Pro and X64dbg - Subscriber Request - YouTube

  • Deobfuscating strings with IDA Python 5:15
  • Identify anti-analysis tricks after string deobfuscation 9:03
  • Mutex trick 14:40
  • CreateFile ShareMode trick 17:33
  • Fully unpacking with x64dbg 20:25
  • Searching for PE in memory using x64dbg 23:24
  • Carving PE files from a memory dump with a hex editor 26:24
  • Final overview of the whole process 27:59

解析者のテクニック

TODO: かなりごちゃごちゃしてきた。章を立てて整理せねば。

要チェック:

公的機関からの情報を得る

JPCERT コーディネーションセンター

注意喚起、Weekly Report、脆弱性情報(JVN)、JPCERT/CCからのお知らせやイベントの新着情報をまとめて提供

警察庁セキュリティポータルサイト@police

警察庁によるセキュリティ情報提供サイト。サイバー犯罪・サイバーテロの未然防止及び被害の拡大防止を図るべく、ネットワークセキュリティに関する様々な情報を提供します。

警察庁セキュリティポータルサイト@police-インターネット定点観測
「全国の警察施設のインターネット接続点に設置されたセンサーで観測したアクセス(件数)の平均を集計」したものが表示される。

セキュリティベンダーからの情報を得る

Twitterアカウント

TODO

トレンドマイクロ

TrendLabsが情報発信して、トレンドマイクロの日本語ブログに掲載されるときは3日~1週間の遅延がある。Twitterの日本アカウントは記事掲載後の翌日にツイートするので、掲載されてからすぐに読みたい場合はRSSを使うのがおすすめ。

シマンテック

Kaspersky

ESET

Intel Security

Cisco

SOCレポートを読む

SOCは定期的にレポートを発行している。日々アップデートされる情報を追っかけていられない人には有用な情報源である。SOCごとに特色があるので読み分けると面白い。

以下に筆者おすすめのSOCレポートを紹介する。

  • ラック:JSOC INSIGHT
    • 更新頻度:2〜3ヶ月に1回
    • 既知情報のサマリーと(深い)解析がメイン。解析テクの話もあって新参には読んでておもしろい
  • NTT Security:What We Think
    • 更新頻度:不定期
    • ピンポイントなトピックを扱う。本当に解析が好きな人が書いたんだろうなって感じ
  • IBM:Tokyo SOC Report
    • 更新頻度:半年に1回
    • 他にはない毛色。データ量で殴った分析が得意って感じ

日本のSecurity Researcherからの情報を得る

???「いつまでもあると思うな二次情報」

世界のSecurity Researcherからの情報を得る

TODO

手元の走り書きメモ:

zerophazemalware
TMMalAnalyst

雑多な情報

フォレンジック

覚えておくとよいキーワード:

  • アーティファクト(Artifact)

https://twitter.com/soji256/status/1149813898112933888?s=12

@soji256
フォレンジックの解説動画。複数のアーティファクトの紐づけや、Win10 で登場/退場したアーティファクトの話などがされていて面白い。内容はすべて文字起こしされていて翻訳も楽。 / Finding Insider Threats: Digging Deeper - 2019 - Webinars | http://ForensicFocus.com
https://forensicfocus.com/c/aid=321/webinars/2019/finding-insider-threats-digging-deeper/

DFIR

TODO。フォレンジック分野での重要なキーワードの一つ。

DFIR = Digital Forensics & Incident Response

Twitterの #DFIR タグも参考になると思います。

https://github.com/meirwah/awesome-incident-response

A curated list of tools and resources for security incident response, aimed to help security analysts and DFIR teams.

SANSチートシート

アーティファクト

アーティファクトができるまで - Speaker Deck(2019/10/18)
新種のアーティファクトが自分で見つけて認知されるまでのお話

ツール

10 Free Forensic Tools I Can't Live Without (2019/11/8)

  • Arsenal Image Mounter
  • Autopsy
  • DB Browser for SQLite
  • EZ Tools/KAPE
  • ExifTool
  • FTK Imager
  • Hindsight
  • SRUM-DUMP
  • USB Detective
  • Volatility

Choose your weapon well. Calculate the impact. ~ Un minion curioso (2019/2/10)

  • DumpIT
  • Magnet RAM Capture
  • Belkasoft Live RAM Capturer
  • Memorize
  • Winpmem
  • FTK Imager Lite

トレーニング

Home : DFIR CTF - Email took my money (Exchange forensics training scenario) - Mellivora, the CTF engine (2019)

学習向けのフォレンジックデータ / Where can I get the images to learn DFIR - Speaker Deck by @soji256 (2019/08/15)

https://twitter.com/soji256/status/1153817931265896448?s=12

@soji256
HackTale:Windows のフォレンジック調査を体験できるゲーム。ちょっと試したところ Autopsy が出てきたり EventLog の見方を聞かれたりと凝った作りのよう。リンク先の「Start Playing」からブラウザでそのままさくっと楽しめます。 / Cyber Simulation | HackTale
link: https://www.hacktale.com/

情報セキュリティ技術のスキルアップ・イベント 仙台CTF 2017 (2017)
メモリーフォレンジックとタイムライン解析のハンズオンの解説資料と問題ファイル

フォレンジック学習向けのイメージデータ - setodaNote (2019/06/12)

ニュースフィード

ログ解析

各種ログから何から起きたのかを知るための解析。ログは改ざんや消去に弱い。HTTPプロキシサーバーなど別の観点から証拠を集めるのもお忘れなく。

Windowsの広義のログ:

  • Sysmon … イベントログ。レジストリ操作、RDPログイン、Active Directory認証、Powershellの起動履歴(Process Creation Events)・実行コマンド(Audit Log)など
  • レジストリ … TODO:Windowsはレジストリになにかログを残してなかったっけ?
  • Prefetch … ファイル実行形跡(Last Run Time)
  • NTFS … ファイルシステム
    • Timestamp … ファイルの作成日時、変更日時
    • Alternate data streams (ADS) … インターネットからダウンロードしたことを示すマーキングなど
  • Windows search index … Indexingのログにファイルの存在形式が残っているかも
  • ブラウザのヒストリー

Linuxのログ:

  • /var/log … 大体のアプリはこのディレクトリにログを吐いている印象

セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ) (2018/9/7)
サーバー管理をやっているログ分析入門者向け。分析のための操作を徹底して解説。攻撃検出のテクニックは少なめ。ログ解析者から見たセキュリティ事故のお話は面白かった。

セキュリティログ分析基盤の設計ポイント、アーキテクチャはどうあるべきか (1/2):セキュリティログ分析基盤活用入門(2) - @IT(2019/12/3)

今回は、ログ分析基盤の設計ポイントを、アーキテクチャの観点から紹介します。

セキュリティ業務における「ログ」の基礎知識――なぜ分析基盤が必要なのか (1/2):セキュリティログ分析基盤活用入門(1) - @IT(2019/11/14)
どのような目的を持ってログ解析するか、SIEMの限界について解説している

Windowsのイベントログ

Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06) (2018/9/6)

そこでJPCERT/CCではSysmonのログを一元管理し、ログ分析を迅速かつより正確に行うことのできるツール「SysmonSearch」を開発し、公開しました。今回は、この「SysmonSearch」について紹介します。

ログイン

LogonTracerを用いた不正ログオンの調査(2018-01-24) (2018/1/24)

Windowsのアカウントログインにおける一連のイベントとイベント番号の対応など Tweet, PDF

Lateral Movement

Detecting Lateral Movements in Windows Infrastructure (2017/2/27)
http://cert.europa.eu/static/WhitePapers/CERT-EU_SWP_17-002_Lateral_Movements.pdf

トラフィック解析

テクニック

Wireshark パケット解析講座 6: Ursnif感染の調査
Wireshark(pcap)による解析を入門者向けに易しく解説している。

Threat hunting using DNS firewalls and data enrichment | blog.redteam.pl (2019/08/15)
DNSの悪性通信を分析する観点が並んでいる。

Analysing PCAPs with Bro/Zeek - darkdefender - Medium (2019/6/13)

(トレーニング用の)実際のデータ

ツール

https://github.com/malwareinfosec/EKFiddle

A framework based on the Fiddler web debugger to study Exploit Kits, malvertising and malicious traffic in general.

インシデントレスポンス

インシデントレスポンス = インシデントに対応すること。IRと略される。
インシデントハンドラー = インデントに対応する人

[余談]丁寧なマルウェア解析はウン百万円を積めば外部機関がやってくれる。インシデントハンドラー向けの資格にGCIHがある。業務でやってる人は取ってるっぽい。

方法論

NIST SP 800-83: Guide to Malware Incident Prevention and Handling for Desktops and Laptops
本家 邦訳

NIST SP 800-61: Computer Security Incident Handling Guide
本家 (Rev. 2; 2012)
邦訳 ※ Rev. 1時点
事前準備からインシデントの処理までインシデント対応を効率化するための手引きになっている。

インシデントハンドリングマニュアル by JPCERT/CC

実際

参考)CSIRT

サイバーセキュリティにおけるインシデント対応コミュニティの発展(2019/7)

本研究はサイバーセキュリティガバナンスの数々のレジームを目的と機能と文化という3つのレンズを通して眺めれば、CSIRTは被害者救済とシステムの復旧を目的にかかげ、機能としてインシデント対応能力を持ち、互恵主義の文化を信条とする組織群のことであると主張する。

タイムライン解析(Timeline Aalaysis)

Timeline Analysis (by IIJ)

Windowsで言うと、タイムライン解析で登場する主なアーティファクトは以下の通り。

  • ファイルのAccess, Create, Modifyイベント … ドロップされたファイルなど
  • レジストリのAccess, Modify … Persistent(自動起動設定)、ミューテックスなど
  • PrefetchのLast Run … 実行形跡

NTFS timestamp

https://sans-japan.jp/sans_tokyo_autumn2018/Time_Lords.pdf

  • 意図的にタイムスタンプが操作されたとき、ミリ秒以下がゼロになっていて分かりやすいときがある→ミリ秒以下の時間も表示できる解析ソフトを使いたいところ

情報共有の強化

活動成果|ISOG-J:セキュリティ対応組織(SOC,CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」 v1.0 (2017/10/27)

ISOG-JのWG6では情報共有についての課題について議論をし、そもそも情報共有とは何を目的としたもので、最終的にどのように活用されるべきなのかという基本に立ち返り、情報共有の基礎的な概念として「サイバーセキュリティ情報共有における5W1H」という形で整理しなおしました。

STIX

脅威情報のデータフォーマット
Introduction to STIX

What is STIX?

Structured Threat Information Expression (STIX™) is a language and serialization format used to exchange cyber threat intelligence (CTI). STIX is open source and free allowing those interested to contribute and ask questions freely.

MISP

MISP - Malware Information Sharing Platform and Threat Sharing - The Open Source Threat Intelligence Platform

(使ったことがあるが、なかなか癖の強いプラットフォームだった…)

侵入痕跡調査

▼必読
インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (2017/11/9)

本報告書は、実際の攻撃に使われることが多いツールの実行時にどのようなログが残るのか、またどのような設定をすれば十分な情報を含むログを取得できるようになるのかを調査し、まとめています。
なお、ツール実行時に作成される痕跡(イベントログやフォレンジックアーキテクチャ)の詳細に関しては、「ツール分析結果シート」としてGitHubで公開しています。

ツール分析結果シート
https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/

(上の続き) https://twitter.com/jpcert/status/928451244309413888

インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書第2版を公開。調査対象の攻撃ツールを49種類に増やし、フォレンジックアーキテクチャやパケットキャプチャの調査も実施しました。^YK

Mimikatz

IIJ Technical WEEK2017 Mimikatz実行痕跡の発見手法 - 171108_02.pdf (2017/11/8)

イベントログ

Windowsの標準機能

training_material_sample_for_eventlog_analysis.pdf (2018/5)
続きはIIJ Security Diary: Black Hat USA 2018 でのトレーニング提供

分析者用ツール

FAME
https://certsocietegenerale.github.io/fame/

FAME Automates Malware Evaluation

Meet the open-source malware analysis framework and its user-friendly > web interface. Made by and for incident responders.

マルウェアのクラスタリング

マルウェアをファミリー/亜種で分類する話。

クラスタリングに役立つ情報:

  • コンパイル日時
  • ビットマップの特徴(ファイルのエントロピー)
  • n-gram上の特徴
  • APIコールトレース

クラスタリングツールと使用例:

名前をつける

攻撃者グループ名をつけてみよう! by Akira Miyata(seraph)
https://speakerdeck.com/seraph/gong-ji-zhe-gurupuming-wotuketemiyou

AVTOKYO2016での講演資料です。
攻撃者に迫るために、どう言った分析を行っているのか、攻撃者グループ名やキャンペーン名を名付けるまでの過程をマルウェア解析等で得た特徴の具体例を交えて紹介します。
http://ja.avtokyo.org/avtokyo2016/speakers#seraph

OSINT

OSINT = Open Source Inteligence

OSINT 2019 Guide | translation (原文2019/1/5;邦訳2019/10?)
OSINTについての全体概要

OSINTの活用

IIJ内製調査システム CHAGE のご紹介 | IIJ Engineers Blog(2019/09/27)

ドメイン、IPアドレスのトラッキング

Passive Total

https://www.passivetotal.org/

登録が必要。無料アカウント(Community Edition)でも利用可。 Company Mail Addressはgmail.comでも通る。

機能と分かること:

  • OSINT: あるドメインから特定ドメインへの参照(ブログエントリーからのreferlal linkとか)
  • Resolusions: 特定のIPアドレスに紐付いていたドメイン
  • WHOIS: whois情報
  • Subdomains: サブドメイン
  • タグ検索:
    • System Tag(e.g. Blacklist)は検索できない?

Community Edision のクォーター設定:

  • Web Searches: 200 ←連続1時間も使えない厳しめの設定
  • API Searches: 15
  • Public Projects: 1000
  • Private Projects: 1

URL Reputation / Web Reputation

VirusTotal

先の説明通り。

Malicious/PhishingなURLはユーザーのコメントを収集すると集められる。マルウェアが降ってくることが多かったのでおすすめ。

urlquery

https://urlquery.net/

Reputationと言うほどではないが、関連として。デマ情報が多い?公開APIは無い?

BASIC認証が必要なはずのURLをcompromised siteと報告する怪しさもある。(もしかしてクラックした?)

zone-h

http://www.zone-h.org

URL検査/サイト検査

urlscan

https://urlscan.io/

機能:

  • サイトのスクリーンショット
  • Server Locations(サーバーの地理的位置)
  • HTTPリクエストの一覧
  • Outgoing Ling(発リンク)
  • ブラウザークッキー
    • 広告を検査するのに便利?

Recent scans(https://urlscan.io/result/)を眺めるのも面白い。

[ネタ提供]悪性サイトへの短縮URLに関する調査(n週遅れ)

ドメイン調査

whois

ドメインを誰が持っているのかを確認する。過去に遡って調査するには次節を参照されたし。

[余談]誰も所有していないなら自分たちで買って、飛んでくるトラフィックを見てみるのも面白い。

プロキシ系

C2サーバーにアクセスすることは、攻撃者に解析者の存在を教えることになることに留意せよ。

aguse(アグス)

https://www.aguse.jp/

あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。

機能:

  • 対象のWebページをスクリーンショット(画像)で見られる
  • マルウェアの検出情報(カスペルスキーを使用)
  • whois情報とサーバーの位置情報
  • サーバー証明書の内容を表形式で表示

トリアージツール

データ保全ツール。インシデントハンドラー向けのツール。

フォレンジックアーティファクト収集ツール / Forensic Artifacts Collecting Tools - Speaker Deck(2019/11/4)
CDIR Collector, CyLR, Live Response Collection で取得できる情報、生成されたファイルの比較

初動対応用データ保全ツール CDIR Collector

https://github.com/CyberDefenseInstitute/CDIR

特徴:

  • 国産のフリーソフト(国産OSS)
  • 揮発しやすい(書き換わりやすい)データを素早く保全することを目的とする。そのためディスクのフルコピー機能は提供しない
  • 専門的なツールと英語に疎い日本人でも簡便に扱える ようなツールを提供
  • 保全されていることを保証するために、ファイルのハッシュ値も残す

参考:

KAPE

Zimmerman ToolsのKAPEを試してみた - ごちゃごちゃしたIT勉強記録 (2019/4/29)

デジタルフォレンジックの分野で色々ツールを作ってくださるEric Zimmerman先生が、KAPEという便利ツールを作ってくださったので、どんな感じかを簡単にまとめてみる。

メモリフォレンジック

Volatility

TODO: Volatilityとその使い方を紹介し、「周辺領域」にあるVolatilityの項を消す

メモリフォレンジックツールは色々あるが、Volatilityが情報が多いのでまずVolatilityから触り始めるといいかもしれない。

既知のマルウエアをメモリイメージから簡易に検知できるツールを開発 ~impfuzzy for Volatility~(2016-11-01)

Volatility Labs: Announcing the Volatility 3 Public Beta! (2019/10/29)
Volatility 3 が出るそうです

Comae Stardust

Comae Stardustで、ゼロから学ぶメモリフォレンジック - セキュリティごった煮ブログ|ネットエージェント

Redline

Redline | FireEye

Rekall

Web Site: http://www.rekall-forensic.com/
GitHub: https://github.com/google/rekall

DNS偽装

TODO:何を書こうとしたっけ?

C2通信の観測

感染端末の通信で使っていたドメインのうち、失効したドメインを買って(←そう書いてないけど)通信を観測するテクニック。

過去の実施例:

パケットのキャプチャー

Wirehsark, tcpdumpなどを利用する。

可視化

イベントログを可視化して不正使用されたアカウントを調査 ~LogonTracer~(2017-11-28)
Active Directoryネタ

アンチ解析

anti-VM, anti-sandbox

独自暗号

独自S-Box

Himawariの異常な暗号 または私は如何にして心配するのを止めて暗号を解読するようになったか
(2018/1/25)

https://www.jpcert.or.jp/magazine/acreport-jsac2018report1.html
APT10で使用されたHimawariの暗号化機能について詳細な解説が行われました。Himawariの設定と通信データの暗号化に利用される暗号化アルゴリズムは、FindCryptスクリプトを使ってDESであることが分かるものの標準のDESでは正しく復号できないものになっています。中津留氏の分析の結果、この暗号化方式は標準と異なる「異常なDES」となっており、一般的な値とは異なる値がSBox1, SBox8で使われること、また、処理途中でSubkeyをリセットするため8バイト目以降は入力した暗号鍵が使用されないことが明らかになりました。

Server-side Anti-Analysis

解析環境での自動解析を阻止するテクニック。攻撃者のサーバーで解析環境の検知を行いつつ、動的にマルウェアのモジュールを配信する。

流行マルウェア「EMOTET」の内部構造を紐解く | MBSD Blog(2018/12/25)

解析の結果、EMOTETは以下の動作を持つことがわかりました。

  • 自身が古いEMOTETの場合:最新のEMOTETをダウンロードしてアップデート
  • 自身が最新のEMOTETの場合:主な目的となる機能を持った部品(モジュール)をダウンロード
    • ダウンロードしたその部品をファイルとして保存せず、メモリ上で利用するファイルレスな仕組みを取り入れている

これらの特徴は、攻撃者側に以下のようなメリットをもたらします。

  • 目立った不正コードを本体に持たないため、ウイルス対策製品に検知されづらい
  • モジュールがファイルとして保存されないため、セキュリティ調査者から解析されづらい
  • 主な不正機能を常に最新の内容に置き換えることができる

Anti Forensics

Attempts to negatively affect the existence, amount and/or quality of evidence from a crime scene, or make the analysis and examination of evidence difficult or impossible to conduct
Rogers, D. M. (2005). Anti-Forensic Presentation given to Lockheed Martin. San Diego.
https://en.wikipedia.org/wiki/Anti-computer_forensics

すること:

  • セキュリティログの消去

例:

  • PETYA (2017年)

Anti-forensic and File-less Malware - Malware - 0x00sec - The Home of the Hacker(2018/12/6)

  • Disabling Event Logging
    • Suspending Event Logging Threads
    • Patching the Event Logging Module
  • Forensic Analysis Prevention
    • Uninstalling Persistence
    • Wiping Event Logs
    • Removing Memory Artefacts

解析環境

デジタル・フォレンジック、インシデントレスポンス向け

マルウェアデータベースの構築

※注意※:関係法律の解釈次第では単純所持であっても違法になりうるため、運用には細心の注意を払うこと(データベースサーバーが外部にマルウェアを放流しているなんて状況は、リサーチャーとして以ての外)

やらかし その1:
ニュース - ウイルス保管容疑でセキュリティ企業ディアイティの社員逮捕、同社は反論:ITpro (2017/11/1)

京都府警サイバー犯罪対策課などは2017年10月31日、ファイル共有ソフト「Share」の利用者から情報を流出させるウイルスを業務用PCに保管したとして、セキュリティ企業ディアイティの社員を不正指令電磁的記録(ウイルス)保管容疑で逮捕した。容疑者は顧客の依頼を受けてShareに情報が流出していないかを監視するサービスの担当者だった。

事件に対するプレス

2017.11.01
お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について

当社ではP2Pネットワークの監視サービスを行なっております。

この業務の中で、不正プログラムを取得することがあり、取得した不正プログラムは内部のサーバに保管するシステムになっております。
この度の警察の嫌疑は不正プログラムの保管です。

当社としては、この取得と保管はファイル流出監視サービスを行うという正当な理由に基づくもので、取得・保管したファイルを他人のコンピュータにおいて実行の用に供する目的はありません。
したがいまして、不正指令電磁的記録(ウイルス)保管では無いと考えておりますが、警察と協力して事実関係を明らかにしてまいります。

株式会社ディアイティ
代表取締役社長 三橋 薫
http://www.dit.co.jp/

(魚拓:https://archive.is/BSNde)

ウイルスで情報流出被害…社員逮捕の会社 : 地域 : 読売新聞(YOMIURI ONLINE) (2017/11/16)

府警の調べでは、同社は専用ソフトなどを使って外部と遮断する措置を取っていなかった。

収集方法は、大きく分けて3つある。

金で解決する

企業向けの解決策。非常にお高い。

誰かに期待する

マルウェアは有志により以下のサイトで収集&保管されている。ここでは利用方法の説明は一切せず、紹介に留める。

ほか:

hashes

https://virusshare.com/hashes/

自分で集める

オンラインサンドボックスの添付ファイルを収集する

手動・半自動でちまちま集めることをいとわない場合は、オンラインサンドボックスの結果に添付されている検体を集めるのも方法の一つである。

特定のファミリーの検体を集めたい場合は、アンチウイルスベンダーのインテリジェンスブログのエントリーの下部に記載されているIOC(Indicator of Compromise)をもとに当該検体を検索エンジンで見つけられるときがある。

ハニーポットを使う

サーバーが国内にある場合は、平成23年度時点では 過失 により他者へのマルウェア感染を引き起こした場合は罪(168条の2)に問われないが、最新の動向に注意すること。

おとりのやられサーバーのこと。
TODO:概要(以降はよく知らなくもないが、調べながらまとめることになり時間がかかるので後回し)。個人だけででなく、ハニーポットを運用している企業もある。

[閑話休題]ハニーポットを運用している人は自らを「ハニーポッター」と名乗るため見つけやすい。ハニーポットの略称はハニポ。

実際はサービス運用中のサーバーのログでも攻撃を見れるので、ハニポを立ててない人は気張らずにそれをログ解析してみるといいかもしれない。

ハニーポットの情報源:

ハニーポット運用に必要なもの:

  • どんな攻撃を集めたいのかという目的
    • そもそもハニーポットを立てる必要があるのか?
      • サービス提供目的で立ててあるApacheにも攻撃が来てるので、まずはそれを解析してみても良いのでは?
    • ハニーポットによって集められる攻撃の種類が異なる
    • 攻撃者になった気持ちでShodanやCensysを眺めて、今後きそうなネタを探すのもいいかも(絶対ポート叩くなよ)
    • 以下ヒント
      • 筆者注目:ELKスタック(Elastic Search, Logstash, Kibana), S3バケット
        • 2015か2016年頃から世界的な空前のログ可視化ブームが来ている。セキュリティ設定はあまり言及されていない(ように見える)
      • 周回遅れ:Wordpress*, Joomla!*, Drupal*, Apache Struts 2**, SCADA***, SMB(今からやる人はこの辺がいいかも。成果報告待ってるよ)
        • * CMS御三家で、The脆弱性の塊。Wordpressは個人ブログでもよく使われ、Drupalは政府機関も使っているという感じ。攻撃の影響が残るので、Dockerなどの仮想化により破棄&初期化が容易な環境が望ましい
          • [PR] 筆者のvuln-wordpressようにDockerizeするのが1つの方法
        • ** StrutsはSIerが使いがち。PoCが公開されると攻撃が来るみたい
        • *** トレンドマイクロがやってる
      • n周遅れ:SSH, Telnet(この辺の攻撃情報はみんな集めてるから、発表したところで面白くない)
        • ありふれているので情報が多く、立てやすい点ではおすすめ
  • グローバルIPアドレス
    • VPSやクラウドサービスだとIPアドレスから契約先の事業者とローケーションが分かる
    • 1つのグローバルアドレスに公開ポートがたくさんぶら下がっているのは怪しいですよ。数も要検討
  • OS
    • Windows Server + Active Directoryハニポも面白そう
    • 任意コード実行脆弱性に備えて、セキュリティパッチを必ず当てよう!
  • 自宅サーバー/VPS/クラウドサーバー
  • DMZまたはVLAN ※家の中に設置する場合
  • ドメイン(※できれば)
    • 最近失効した有名なドメインが狙い目?
  • Pastebinなどの不特定多数のアクセスが期待できる情報公開サービス(※あるとよい)
  • 既存の脆弱性の知識
    • 低インタラクティブのハニポでは設置時に必要ない知識かも?
    • Webアプリ系のハニポでは必須。ログ解析でも大いに役立つ
  • ログと解析能力
    • ハニポを動かす前にログが取れているのかをちゃんと確認
    • ログを保存するストレージの空き容量は大丈夫?
      • 特にEC2インスタンスとラズパイ
    • クラウドに立てているときはダウンロード容量に注意
      • 静的データをS3バケットなどに移動させるなどの対策も考えよう。S3は速度の面でも有利!
    • フォレンジックの知識の出番か~?

IoT機器をターゲットにした攻撃をログするための「IoTPOT」が横浜国立大の情報・物理セキュリティ研究拠点で開発され、論文化している。読んでみたが、試みとして面白い(筆者は、Telnetを想定していることと環境再現方法にさらなる検討の余地があると感じた)。

IoTPOT: Analysing the Rise of IoT Compromises (USENIX, WOOT'15)

※注意※ 利用規約により、ハニーポットなどの脆弱なサーバーをVPS、クラウドサービスで運用することを禁止されている場合があるため、外部サービスでの運用を考えている場合はよく確認し、不明ならば問い合わせること。また、学内のサーバーで運用する場合も、特別な申請が必要な場合があるため識者に相談すること。

  • Amazon Web Services (AWS):ハニポOK
    • [3] 「AWSの適正利用規約及びカスタマーアグリーメントの範囲内における利用であればハニーポットの運用は問題ない。」
    • ※許可のないペネトレーションテストは明示的に禁止されているので注意→侵入テスト - AWS クラウドセキュリティ | AWS
  • Microsoft Azure:ハニポOK
    • [3] 「特定のアプリケーションやサービスに対して個別に許諾や禁止はしていない。 」等。他項目は引用元を参照されたし
  • Google Cloud Computing
    • TODO
  • DigitalOcean:ハニポOK
  • このは(ConoHa):ハニポNG
  • さくらインターネット:ハニポOK
    • [2] 「利用規約や制限事項には該当しないので問題ない。他のお客様に迷惑がかかる状況(大量のトラフィックが発生する、利用しているサーバが原因で外部の不正サーバのリストに登録される、等)があれば、個別に制限を実施す場合がある。」
    • 基本約款

あとサーバーを日本国内・国外のどちらに立てるのかという問題がある。法的な問題を起こした場合、サーバーが設置された国の法律にもとづいて判断される。お気をつけいただきたい。

参照:

[1] あなたは、ハニーポットがお好きですか?! // Speaker Deck (2017/8/9)
[2] ハニーポットの運用が規約違反でないか調べてみた (2018/8/10)
[3] くろひょうのぶろぐ - ハニーポットの運用が規約違反でないか調べてみた#2 (2017/10/30, 2017/11/9)

ハニポ構築参考情報

ハニポ分析お役立ち情報

https://github.com/nict-csl/exist
NICT製攻撃分析フレームワーク。攻撃の分析に便利そう

Threat Hunting

Finding drive-by rookies using an automated active observation platform - VB2019-KoikeChubachi.pdf

資格

【12/13】SANS GIAC 試験合格の秘訣 by NTT Security Japan

Last changed by 
友利奈緒ちゃん
0
21022
Published on HackMD