はじめに
皆さんAWS使っていますか?
どうも駆け出しエンジニアです、私もAWSに触れる機会が増えました。
そこで1つの疑問が。
「こんなにも素早くサーバーを構築可能だが、実際にインターネットに公開したサーバーはどの程度攻撃を受けるリスクがあるのだろう...?」
もしかすると中には、「検証で1時間も使わないし、とりあえず全てのトラフィック許可しておくか」と思った経験は無いでしょうか。
今回は実際にAWSのEC2に「T-Pot」をインストールしてどのくらいアクセスされているのかを調査しました。
T-Potとは
マルチハニーポットプラットフォームで、様々なツールや罠が用意されています。複雑な設定を必要としないにも関わらず様々な機能を利用できるのが特徴です。
ハニーポット(honeypot)とは、あえてシステムへの不正侵入を許して攻撃手法や何をターゲットとしているのかを分析する、「おとり」のようなシステムのことです。本来ハニーポット(honeypot)を直訳すると、「ハチミツが詰まっている壺」という意味があります。つまり、ハチミツの匂いで動物や昆虫を引き寄せるように、悪意ある不正侵入者を意図的に引き寄せる罠のような意味として、ハニーポット(honeypot)という言葉が使われているのです。
https://www.gmo.jp/security/cybersecurity/penetration-testing/blog/honeypot/
結論
1Hだけでも250件以上のアクセスを確認!
皆さんセキュリティグループやネットワークACLはもちろん、インターネットに公開するサーバーの手前にはLBを置くなどきちんとセキュリティについて考えましょう!
イ
上述している1Hは2024/10/12(土)11:48~12:58 JSTの間の結果です。
※今回実施した手順や、どのようなアクセスがあったかの中身については後述します。
構成図
※管理者は踏み台用のサーバを用意して、そこからアクセスでも良かったかも
T-Potアーキテクチャ
UbuntuなどのLinuxベースの上で動作するようになっています。
攻撃者が攻撃を行うと、そのログをELKが可視化し表示されます。
今回使用したインスタンス情報
-
AWS EC2
- インスタンスタイプ:t2.large
- OS:Ubuntu
- テンプレートAMI:ubuntu/images/hvm-ssd-gp3/ubuntu-noble-24.04-amd64-server-20240927
- ストレージ:SSD 120GB
-
セキュリティグループ
- インバウンド
T-Pot管理接続用の64295,64297ポートは管理者のIPのみを許可しています。
UDPは今回開けていないので、調査対象はTCPの0-64294ポートです。
- アウトバウンド
念のため、踏み台防止で全て許可していません。
- インバウンド
T-Potインストール手順
今回は以下を参照しました。
以下の、インストール実行ですが、筆者はtpot.confの元となるtpot.conf.distがクローンしたリポジトリになかったため、インストール時に管理接続用のユーザやパスワードを手動で設定しました。
インストール実行
./install.sh --type=auto --conf=tpot.conf
./install.sh --type=auto
完了するとrebootしろと言われるので、あとは再起動すればOKです。
64297ポートを使い、T-Potの管理GUI画面へアクセスし、設定したユーザー名とパスワードが一致すると管理画面が表示されます。
http://<your.ip>:64297
アクセス内容
Attack Map
どの国(グローバルIP)からどのサービス(Port)あてにアクセスされているかをリアルタイムで確認できます。
「今回は、2024-10-12 11:48(JST)にHTTPSにてドイツからのアクセスが一番乗りでした」
開始からしばらく眺めていましたが、想像以上にアクセスが多くびっくりしました。
Kibana(dashboard)から見る分析結果
全体的なサマリー
確認時間 2024-10-12 14:00(JST)
この時点で開始から約2時間程度で、約600件のアクセスがあったことを確認できます。
HonyTrapの項目が406件と、多いことが分かりました。
Cowrieが次に多いですね。
分類について
Honeytrap
どこかのポートをListenしているわけではなく、他のハニーポットでListenしていないPortにアクセスが来た場合、動的に動作します
Cowrie
SSHとTelnetのデフォルトポートであるTCPの22,23のポートでListenしており、アクセスしてきた攻撃者IPアドレスやユーザ名、パスワードやログイン後の動作をログとして収集しています。
国別分析
国別の割合、国別のDestPortなどが分析できます。
Attack by country
United States:28%
China:13%
Netherlands:10%
アクセス時のユーザ名とパスワード
SSHログイン時のユーザ名とパスワードもどんな値が入力されたかが、視覚的に表現されています。
ユーザ名はrootが圧倒的ですね。
パスワードはadminやpasswordがありました。
(passwordをpasswordにするのはやはり危険...!!)
同一IPからのアクセスは87[.]120[.]117[.]73がCount:45で最も多かったです。
まとめ
記事を書いている間も動かしていたので、最終的には
2024-10-12(土) 11:47 ~ 14:25 の2.5Hで合計725件のアクセスが確認できました。
今回は細かく分析しておらず、時間も数時間のため参考となる数値化は断言できません。
しかし、個人的には改めてセキュリティの重要性を実感しました。
短時間だから、検証だから、といってインターネットに公開するサーバーのトラフィックをALL Permitすることは避けましょう!
参考資料
https://tech-lab.sios.jp/archives/26325
https://zenn.dev/cybersec_plus/articles/7e319754cfe03d