セキュリティ担当になって、あまり技術的なことをやらずに数年。

これはイカンと思い表題のことをやってみた。

アウトプットはいいらしいのでやってみることに。

・VPS、ドメイン

お名前.comのものを利用。一緒に借りられて支払いとか楽だし、VPSの中ではコスパが良い感じだったので。

プランとしては毎月900円くらいで済むCPU2コア、メモリ1GB、HDD100GBのプラン。

https://www.onamae.com/server/vps/?btn_id=sv04

ドメインはTLDはcomがよかったので年間1200円くらい。

ハニーポットとして動かしたいので、某国が狙ってくれそうなドメインに。

paste.binに貼り付けると良いようなので、まずは無言で貼ってみる。

・ハニーポット構築

お名前.comからサクッとubuntu16.40を構築。

ハニーポッターの方が作られた簡単に動くハニーポットを見つけたので下記githubに記載のとおりにコマンドラインを打ち、簡単に構築完了。本当に簡単。

github.com

しばらく放置してみて早くも攻撃きてる。

コンテンツなんて何もない故にまともな人はくるわけがないから

怪しいログをすぐに見つけられて効率が良い。

drupalの脆弱性（CVE-2018-7600）やOracle Weblogicの脆弱性(CVE-2017-10271）が目立つ。

判断の仕方としては、明らかに今回立てたサーバにはないディレクトリ、ファイルへの接続について、特徴的な文字列をググると大抵PoCが見つかりますのでそこから判断。

最近ではPoC載せるのも最近はまずいらしい（Wizard Bibleの件）ので、控えたほうがよさそう。

ちなみに、ハニーポッターの方が書かれた「サイバー攻撃の足跡を分析するハニーポット観察記録」を以前読みました。

ハニーポットの運用に注力をおいた本かと思ったら、SOCアナリストならではのログ分析の考え方がメインという印象を受けた。

SOCアナリストの経験が無い方にとってはとても有益だと思うので、ハニーポット運用の片手にあるとよいかも。