こんとろーるしーこんとろーるぶい

週末にカチャカチャッターン!したことを貼り付けていくブログ

我が家のハニポがお客様からどう見えているのか観察してみた

子どもと同じで、手塩にかけて育てた自分のハニーポットは可愛いもの。

「我が家のアイドル(ハニポ)は、
 こんなに可愛い(主要ポートがガバガバな)のだから、
 もっとスカウト(攻撃)が来てもええやろ!」

と思いがちですが、そもそも、攻撃者を始めとする外部の人から、 我が家のハニーポットはどう見えているのか気になりました。

そこで、いくつかの方法で客観的に我が家のハニーポットが外部からどう見えるかを観察しました。

1. OSINTによる観察

我が家のハニポはドメインを割り当てていないため、IPアドレスによるアクセスのみです。
以下のサイトからIPアドレスをキーに、OSINTによる調査を行いました。

OSINT Search Tool by IntelTechniques | Open Source Intelligence

以降、上記サイトでラインナップされていたOSINTのサービスの実行結果です。

1.1. IP Location Finder

f:id:graneed:20180705000736p:plain

AWSのアジアパシフィック (東京)を使用しているため、Tokyoまでは特定されました。

1.2. Port Scan

f:id:graneed:20180705000759p:plain

T-Potを構成するハニーポットの1つであるHoneyTrap用に、AWSのセキュリティグループ(≒FW)設定で全ポート開けているので、主要ポートの公開具合はパーフェクトですね。
逆に公開しすぎていて怪しいぐらいです。

1.3. IP Whois

f:id:graneed:20180705000825p:plain

AWSであることは明らかですね。ええ。

1.4. SHODAN

f:id:graneed:20180705005338p:plain

言わずと知れたSHODAN。
CowrieがSSH(22番ポート)、Telnet(23番ポート)を受け付けていたり、WOWHoneypotがHTTPS(443番ポート)を受け付けていたりするはずなのに、特に検出されていません。法則不明です。

また、SHODANにはHoneypotかどうかを判断するサービスもあります。

https://honeyscore.shodan.io/

早速、試してみました。

f:id:graneed:20180705005647p:plain

Looks like a real system!

わぁい!

1.5. Censys

f:id:graneed:20180705000938p:plain

CensysはSHODANと類似したサービスです。IPAでも紹介されています。

IPAテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」:IPA 独立行政法人 情報処理推進機構

検出しているポート数はSHODANより少ないですが、SHODANでは出ていなかった443ポートも公開されていることがわかります。
また、3306番ポートのMySQLのバージョンが5.7.16と判定されています。 3306番ポートを受け付けているDionaeaの仕様でしょうか。

2. 脆弱性診断ツールによる観察

脆弱性診断ツールには、我が家のハニーポットはどう映るのでしょうか。

ちょうど以下の記事で、AWS環境下でも脆弱性診断があっという間にできることを知りました。

dev.classmethod.jp

通常、AWS環境への脆弱性診断は事前申請が面倒(英語での申請!)ですが、マーケットプレイスで公開されているこのサービスであれば、事前申請不要とのこと。素晴らしい。

2.1. サマリ

実行結果は以下の通りです。MEDIUMが2件、LOWが3件、検出されました。

f:id:graneed:20180705001054p:plain

なお、インスタンス立ててから診断完了まで、途中迷走しながら実施して1時間弱くらい。
後からAWSの費用見たら、10円くらいの追加請求がありました。

さて、MEDIUMの2件を見てみます。

2.2. [MEDIUM]Terminal Services Doesn't Use Network Level Authentication (NLA) Only

f:id:graneed:20180705001131p:plain

リモートデスクトップがネットワークレベル認証をしていないとのこと。 リモートデスクトップハニーポットであるRdpyを立てていますが、その仕様なのでしょう。

たしかに、リモートデスクトップ接続クライアントから、ハニーポットにつなげてみたところ、 認証無しに以下の画面が表示されました。 f:id:graneed:20180705001213p:plain

2.3. [MEDIUM]Unencrypted Telnet Server

f:id:graneed:20180705001233p:plain

TelnetハニーポットであるCowrieを立てていますからね・・・。
SSH使えや!」というSolutionも、ごもっとも。

3. まとめ

OSINTと脆弱性診断ツールの2つの方法を使ってハニーポットを観察しました。

観察前は「外部からはボロボロの環境に見えているんだろうなぁ」と思いましたが、 良くも悪くも目立った脆弱性は無いように見えているようです。ポートはガバガバですが。

また、SHODANでハニーポット判定されなかったことは意外でした。
一体、何をしたらハニーポット判定されるのでしょうか。