この記事はRaspberry Pi Advent Calendar12日目の記事です。

www.adventar.org

Raspberry Pi2にWordPressとSSHハニーポットcowrieを入れたお話。

ハニーポットとは

ハニーポットを知らない人向けに軽く説明。

わざと脆弱っぽいシステムを作り、どんな攻撃が来るか観察してニヤニヤするもの。

詳しくはWikiで。

ハニーポット - Wikipedia

なぜRaspberry Piで？

別に他の使ってもいいじゃん。Raspberry Piといえば電子工作だ！という意見。

確かに。

なぜRaspberry Piでハニーポットを作るかというと、安価だからです。そしてサーバとしても使いやすい。

そしてなにより余ってたから

まあ、最初の動機は余ってたから、なのですが、研究を続けているうちになくてはならないものになっています。

おかげさまで、誕生日にとある凄いお方からRaspberry Pi2を頂いて、「これでもっとイケてるのがつくれそう」となったのです。

今までRaspberry Pi1では性能に不安があり、SSHハニーポットが重すぎるためかまともに動いてくれませんでした。そのあたりが多分解消されるはず・・・！と。

なぜWordPress？

今まではRaspberry Pi1にDionaeaを入れて観測していました。詳細は以下リンク。

qiita.com

で、なぜWordPressに変えたかというと、「WordPressって脆弱性の塊だよね」という話をよく聞くからです。(実際のところはよくわかりませんが)

まぁ、Dionaeaを運用している頃からよくWordPressに対する攻撃とみられるログは見かけました。(PHPMyAdminとかと比べるとそこまで多くはなかったですが。)

真相を追及するには自分も同じ環境を立てて、ログを調べるのが一番！というわけで、WordPressを立てることにしたわけです。

それならDionaeaでもいいのでは？と思う方もいらっしゃるかもしれません。しかし、Honeypotは何より本物に近づけるのが大事なのです。

攻撃者はWordPressがあるかどうか実際にアクセスして調べて、なければ退散、という形を取ります。これではどんな攻撃をされるのかわかりませんね。

だから実際にWordPressを入れて「攻撃できそうだ」と思わせるのが重要なのです。そこから攻撃ログがたくさん採取できたらハニーポッターとしてはうはうはなのです。

使ったもの

使用機器等

Raspberry Pi2 ModelB・・・1から世代交代しました。1と一緒に使って負荷分散とか考えたけど意味がないのでやめた。

microSDカード16G・・・使いすぎて14Gぐらいしか使えなくなってる。

使用OS,パッケージ等

RASPBIAN JESSIE LITE・・・liteで十分です。

apache2

php5

mysql

wordpress

cowrie

こんなもんだったかな・・・？抜けがあるかも。まあphpとかmysqlとかはwordpress立てるにあたって暗黙の了解みたいなもんか。ちなみにmysqlはcowrieでも使ったり使わなかったり。

インストールについて

インストール等は端折ります。ドキュメントが充実してるので。 cowrieについては、こちらを参考にさせていただきました。

yagamikou.hateblo.jp

どんなログが採れたか？

一言で言いますと、何もとれていません。

Dionaeaで運用していた時と今のところ変わってないのです。というか、WordPressを間違いなく狙ってるアクセスが1件しか来てないってのは・・・。

まぁ、最近立てたので仕方ないです。もっと待つべきでしたね。

せっかくなのでそのたった1件のアクセスがどんなものなのか、解説しておきます。

***.***.***.*** - - [**/***/****:**:**:** +0900] "GET /wp-content/plugins/revslider/ HTTP/1.1" 404 7291 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"

Pluginに対する攻撃ですね。revsliderとは何でしょうか？

調べたところ、「Slider Revolution」というスライダーを作成できるプラグインに対する攻撃でした。

これで何をするのか、調べたらSlider Revolutionに関する脆弱性情報は新旧様々なものがあり、これだけではちゃんと特定できませんでした。

マルウェアへの感染、またはCSSファイルの改ざんによるなにか色々、といったところでしょうか。

参考サイト

WordPressのRevSliderプラグインを狙ったマルウェアSoakSoak - 完熟トマト

Monthly Research 「WordPressの脆弱性を狙ったWeb改ざん攻撃」│セキュリティ・リサーチのFFRI（エフエフアールアイ）

WordPressハニーポットの今後

もっとWordPressに対して攻撃してほしい・・・。 上の参考サイト、2つ目を読むと、GoogleのインデックスからWordPressの攻撃者は訪れるそうなので、まずはインデックスしてもらえるようお願いしました。

これで攻撃者がもっと訪問してくれると嬉しいのだけれど。

というわけで、12月25日のAdventCalendarも取らせていただきました。(トリで申し訳ないです。) ログの話ばかりだとRaspberry Pi関係ないので、なにか別のネタも考えておきます。(考え付かなかったら消えます。)

あと、今回来たSlider Revolutionを実際に入れて攻撃を待ってみたかったのですが、有料だったので断念しました。

Raspberry Pi1では重すぎてまともにログを採ってくれなかったcowrieさん。Raspberry Pi2は性能が上がったので、入れて運用してみました。

結果、1日でよくもまぁ大量にアクセスログが残っているじゃないですか。

ほぼすべての攻撃者は、 ssh ユーザ名@ホスト名 コマンド で来るためか、コマンドのinputがlog/ttyに記録されないのが困ったところですが、kippoより断然いいですね。

で、マルウェアもいくつかキャッチできました。

対象がどんなCPUを使っててもいいように、実行ファイルをARMとIntel等全種類を送ってきているのがまた面白いですね。

どんなマルウェアか、少しづつ解析をしていきたいと思っています。その結果も12月25日に報告できればいいのですが、解析技術が今ひとつなのでこちらは期待しないでください。

(あと、ELFのマニュアルアンパック技術を誰か教えてください・・・。)