blackle0pard.net

ハニーポットと見破られないための努力#1
2018-12-24 23:23

2日遅れとなってしまいましたが、Honeypot Advent Calendar 2018 の22日目の記事になります。特に書くネタがなくてどうしようかと考えていたんですが、小ネタということで最近試してみたツールの紹介を書きます。

checkpot: Checkpot Honeypot Checker

対象のサーバーがハニーポットかどうかを判定するサービスとして、Honeypot Or Not? が有名(?)ですが、似たような内容でcheckpotというツールが紹介されていました。

Checkpot is a honeypot checker: a tool meant to detect mistakes in the configuration of honeypots. It is aimed at security researchers who wish to check that their honeypots are properly set up, so they can be as hard to detect as possible and attract high-quality traffic. According to recent studies, honeypots using default or incorrect settings are surprisingly wide spread all over the internet so we consider Checkpot to be very relevant.

via checkpot/README.md at master · vladalexgit/checkpot · GitHub

checkpotは、ハニーポットを正しく設定するための確認ツールだそうです。「最近の調査では、デフォルト設定のままや、誤った設定のハニーポットが多い」とのこと。
ソースコード を見れば分かりますが、何をしているかというと、例えばtelnet接続した際に表示されるバナーが既知のハニーポットと一致しているかどうかを判定しています。telnet以外にもHTTP,FTP, IMAPなどいくつかのサービスが確認対象となっています。

免責事項

As this software is PROVIDED WITH ABSOLUTELY NO WARRANTY OF ANY KIND, YOU USE THIS SOFTWARE AT YOUR OWN RISK! By using this tool YOU TAKE FULL LEGAL RESPONSIBILITY FOR ANY POSSIBLE OUTCOME!

via checkpot/README.md at master · vladalexgit/checkpot

インストールする前に免責事項を読んで理解したうえで使ってください、と書かれているので、もしcheckpotを使う場合はちゃんとDisclaimer を読みましょう。インストール手順は、README に書いてある通りに設定すれば特に問題ないと思います(手順に書いていないですが、事前にnmapのインストールは必要です)。

使い方

ハニーポットではないwebサーバーに対して実行してみました。

$ sudo python checkpot.py -t <IPアドレス> -l 3
Checkpot - Honeypot Checker, Copyright (C) 2018  Vlad Florea
This program comes with ABSOLUTELY NO WARRANTY; for details
run `python checkpot.py --show w`.
This is free software, and you are welcome to redistribute it
under certain conditions; run `python checkpot.py --show c` for details.

Running scan on xxx.xxx.xxx.xxx
Scanning ports ...

NMAP scan started at 14:33:25
command:  nmap -oX - xxx.xxx.xxx.xxx -sV -n --stats-every 1s

SYN Stealth Scan: 100%|████████████████████████████████████████████████████████████████████████████████████████████| 100/100 [00:15<00:00,  5.68it/s]Service scan: 100%|███████████████████████████████████████████████████████████████████████████████████████████████| 100/100 [00:00<00:00, 577.65it/s]

NMAP scan finished at 14:33:42
Elapsed time = 0:00:17.338235

--------------------------------------------------------------------------------
Test Name:                                 Test Result:            KP:

Direct Fingerprint Test                        [OK]             +100

> No service was fingerprinted directly as a honeypot by nmap


Default Service Combination Test               [OK]              +50

> Target port configuration is below 70 percent similar to all known popular honeypots


Duplicate Services Check                    [WARNING]            -30

> The following services run on multiple ports: http->[80, 443]
>>> For further details please refer to:
         http://checkpot.readthedocs.io/en/master/test_manuals/duplicate_services.html


Default FTP Banner Test                  [NOT APPLICABLE]         +0

> No open ports found!


HTTP Test                                      [OK]              +60

> HTTP implemented


Default Website Test                     [NOT APPLICABLE]         +0

> No website found


Default Glastopf Website Content Test    [NOT APPLICABLE]         +0

> No website found


Default Website Stylesheet Test          [NOT APPLICABLE]         +0

> No stylesheet found


Certificate Validation Test                 [WARNING]            -20

> Certificate invalid for xxx.xxx.xxx.xxx : 443
>>> For further details please refer to:
         http://checkpot.readthedocs.io/en/master/test_manuals/invalid_certificate.html


Default IMAP Banner Test                 [NOT APPLICABLE]         +0

> No open ports found!


Default SMTP Banner Test                 [NOT APPLICABLE]         +0

> No open ports found!


SMTP Test                                [NOT APPLICABLE]         +0

> Service not present


Default Telnet Banner Test               [NOT APPLICABLE]         +0

> No open ports found!


Kippo Error Message Bug Test             [NOT APPLICABLE]         +0

> No open ports found!


Default Template File Test               [NOT APPLICABLE]         +0

> iso-tsap / s7-comm service not present in scan results



Stats:   OK -> 3
         WARNING -> 2
         UNKNOWN -> 0

Total Karma Points -> 160

()  

まとめ

とりあえず紹介されていたツールをインストールしてみました、というレベルです。自分がハニーポットを植える時は既存のツールをそのまま使っていることが殆どです。今回みたいなツールを使われると直ぐにバレてしまう、というのは前から分かっていたんですが、あまり改善していなかったので、これを機に少しずつ修正していこうかなと思います。

Advent Calendar Arch Linux Honeypot