www.morihi-soc.net

どうも。ハニーポッターの森久です。

このたび、私のブログ(morihi-soc.net)の「ハニーポット観察記録」シリーズの記事が書籍になります!

ITエンジニアのみなさんを対象として「ログ」を分析することの大切さと面白さを伝えるために書いた、ログ分析の解説書です。

 

書籍情報

■書名 サイバー攻撃の足跡を分析する ハニーポット観察記録 ■著者 森久 和昭 ■発行元 株式会社秀和システム ■発売日 2017年1月27日より順次発売開始(地域・書店様によって異なります) ■本体価格(税別) 2,200円 ■ISBN 978-4-7980-4908-3 ■判型 A5判 ■刷色 1色刷

---

私は2012年ごろから本格的にハニーポットの運用をはじめました。自分のスキルを伸ばすための個人的な趣味です。

ハニーポットの運用をしていく中で、そこで得た経験を文字にして公開する場所がこのブログです。

ブログでは①ハニーポットの構築方法と②ハニーポットで得たログ紹介を中心に記事を書いていました。今回の書籍では②のみを取り上げています。

というのも①ハニーポットの構築方法は、時間経過に伴ってすぐに古くなってしまうからです。紙の本よりも、更新が手軽でなおかつスピードの早いブログの方が向いているという判断です。

ただ書籍では、最初からログ分析に入るわけではありません。ハニーポットはニッチな技術であり、ハニーポッターはマイノリティな存在であることを(少なくとも私は)自覚しています。そのため書籍の導入部分では、セキュリティとハニーポットに関して説明しています。ハニーポットとは何かという知識を得てから、ログ分析に移ります。

ログ分析は、分析対象のログは異なっていても基本的な攻撃パターンや注目すべき点は限られています。そこでブログ記事と同様にログを提示した上で、「ログ分析のポイント」と「攻撃者の狙い」を紹介する形式で紹介しています。各節が独立し完結しているため、どこから読んでも理解できる構成になっています。

目次は次のとおりです。

はじめに 本書の対象読者 各章の内容 本書の読み進め方 ■第1章 セキュリティとハニーポット 第1節 セキュリティとインシデントとログ 第2節 ログ分析に必要なもの 第3節 ハニーポットとは 第4節 ハニーポットの運用で得られるもの 第5節 ハニーポットの分類 第6節 ログの種類と取り扱い方 第7節 ハニーポットを運用するときの注意 ■第2章 Webサーバのアクセスログ観察 第1節 外部ファイルを不正に読み込ませる攻撃 第2節 パスワードファイル閲覧攻撃 第3節 環境変数に対する調査 第4節 一時ファイルに対する調査 第5節 スキャンツールを用いた調査 第6節 SQLインジェクション攻撃 第7節 クロスサイトスクリプティング攻撃 第8節 EPGrecに対する調査 第9節 OpenFlashChartに対する調査 第10節 apach0day攻撃? ■第3章 Web型ハニーポットのログ観察 第1節 PUTメソッドによるWebサイト改ざん攻撃 第2節 Shellshock攻撃 第3節 Apache Magica攻撃 第4節 JBossのアクセス制限を回避する攻撃 第5節 Apache StrutsのredirectActionに対する攻撃 第6節 Apache StrutsのClassLoaderに対する攻撃 第7節 Tomcatの設定不備の調査 第8節 phpMyAdminを狙ったコマンド実行攻撃 第9節 Joomla!のコマンド実行攻撃 第10節 Joomla!コンテンツエディタ(JCE)に対する攻撃 第11節 Drupalに対するSQLインジェクション攻撃 第12節 不正なファイルアップロード攻撃 第13節 ネットワーク設定情報ファイルに対する調査 第14節 WebCalendarに対する調査 第15節 ルータのWeb管理画面の脆弱性を狙った攻撃 第16節 HTTP.sysの脆弱性を狙った攻撃 第17節 不正中継攻撃 ■第4章 多彩なハニーポットのログ観察 第1節 Elasticsearchに対する攻撃 第2節 NTPリフレクタ攻撃 第3節 Microsoft SQL Serverにおけるコマンド実行攻撃 第4節 Heartbleed攻撃 第5節 BINDのTKEY DoS攻撃 第6節 ルータに対するSSH不正ログイン攻撃 あとがき ■付録 付録A 不審なサイトを調査する 付録B IRCボットの解析例 付録C Webシェルの解析例 ■参考文献 ハニーポットに関する情報源 セキュリティ情報源 脆弱性や攻撃情報源 索引

 

目次を見ていただけると分かる通り、HTTP通信に関するログ分析が中心です。私のハニーポット運用の経験上、Webサーバを狙った攻撃の検知件数がもっとも多く、攻撃手法も多彩です。次の図を見てください。

ハニーポットを長期間に渡って観察していると、攻撃対象のトレンドを把握できることがあります。上図は、2013年12月から2014年2月までの期間で、低対話型サーバ側ハニーポットのDionaeaにて検知した攻撃件数をまとめたものです。

各棒グラフは、左からhttpd(HTTP)、mssqld(Microsoft SQL Server)、smbd(SMB)、ftpd(FTP)のサービスです。縦軸は攻撃件数を示しています。

図から見て取れるように、攻撃の傾向はサービスの種類や時期によって大きく異なります。この違いは、攻撃者が注目している脆弱性やボットネットの活動状況に大きく左右されます。
たとえば2013年12月下期のmssqldでは、第4章の「Microsoft SQL Server におけるコマンド実行攻撃」と類似したSQLコマンドの実行を試みる通信を多数検知していました。また2014年1月下期のhttpdでは、第2章の「外部ファイルを不正に読み込ませる攻撃」や第3章の「phpMyAdminを狙ったコマンド実行攻撃」を含め、さまざまな攻撃を検知していました。

この期間を通してみても、Webサーバを狙った攻撃の検知件数が多数を占めています。そのためログ分析する機会が多いHTTP通信のログをメインに取り上げることにしました。またHTTP通信は、プロトコルの性質上、見た目で理解しやすいことからも取り上げやすいと考えました。

そして書籍では、ハニーポットを運用する人に向けたコラムをいくつかご用意させていただきました。私のハニーポット運用の経験やログ分析をするときに知っておくと理解しやすいことなどをまとめています。

■コラム目次 ハニーポットを構築するには ハニーポットを見破る技術 ハニーポット観察を楽しむ ハニーポットを持っていないけど攻撃を見たい ファイアウォールとIDS/IPSとWAF Web サーバのログとハニーポットのログの違い 筆者とハニーポットの出会い 攻撃者との会話 攻撃者をおびき寄せるハニーポット シリアライズ化されたデータ ログのエンコードとデコード ハニーポット環境のシェルの設定 ハニーポットの設定とハニーポッターの視点① Heartbleedとパスワードの定期変更 ハニーポットの設定とハニーポッターの視点②

各コラムを通して、ハニーポッターとしての楽しみ方や視点などを真似していただけると、一層理解が深まると思います。
またハニーポッターの方は、ぜひ情報共有しましょう。

 

書籍および、ブログを今後共よろしくお願いします。

morihi-soc.net 管理人兼「サイバー攻撃の足跡を分析する ハニーポット観察記録」著者 森久和昭

 

■ハニーポットを構築したい人向けの紹介記事

Dionaea(低対話型サーバ側ハニーポット。複数のネットワークサービス対応)構築方法紹介記事
http://www.morihi-soc.net/?p=96

Glastopf(低対話型サーバ側ハニーポット。Webに特化)構築方法紹介記事
http://www.morihi-soc.net/?p=103

Kippo(低対話型サーバ側ハニーポット。SSHに特化)構築方法紹介記事
http://www.morihi-soc.net/?p=483

※これからSSHハニーポットを構築するのであれば、Kippoよりも高性能なCowrieを使うことを推奨します。なおこのブログには紹介記事がありません。

■Amazon.co.jpアソシエイト
サイバー攻撃の足跡を分析するハニーポット観察記録