はじめに

大学の研究でマルウェアの分類にまつわる研究をしている。というわけでマルウェアをバンバン捕獲したいなーと思ってハニーポットを立てました

なぜLightsail？

自宅サーバや大学のサーバだと面倒

自宅サーバにする手もありましたが、ネットワーク周りの設定とかミスると甚大な被害を被るので。大学のサーバだと、ネットワーク周りの制限がかなり厳しいため試しに作成するには向かないと思い断念。*1

EC2に比べて安い

最近値下げが行われてEC2で構築するより安かったことと、設定が簡単だったことから選択しました。EC2だとセキュリティグループとかVPCとかいろいろ大変なので。*2

構築手順

AWS コンソール

リージョンはバージニア*3

インスタンスイメージはUbuntu 18.04

インスタンスプランはメモリ8GB ストレージ160GBを選択

ssh公開鍵は事前に作成していたものをアップロード

Ubuntu基礎設定

ユーザを追加し、sudo権限を追加します

初期ユーザのubuntuは安全のため、ロックをかけておきます

sudo passwd -l ubuntu

以下はこの追加したユーザで作業します

インストール

git clone https://github.com/dtag-dev-sec/tpotce
cd tpotce/iso/installer/
./install.sh --type=user

こいつを叩きます。途中でyes/noと聞かれるのでyesと答えるとグラフィカルな画面になります。

インストール構成を聞かれるのでSTANDARDを選択肢、ユーザ名とパスワードは先ほど作ったユーザにします。

kibanaを開く

https://[address]:64297

にアクセスします

最初はダメだったんですが64297のポートを開け忘れていたのが恐らく原因でした。Lightsailのポートを開け忘れるとsshも通らないので、まずは64295(ssh)と64297は開けておきましょう。

 初期だとこんなに攻撃は来てないはずですが、kibanaの画面が開けたら成功です。

ポートを開けよう

Lightsailの初期設定だと、ポートが全く開いていないのでハニーポットの意味がありません。*4

各ハニーポットの待ち受けているポートを開けてあげます。

ちなみに下の画像はかなり不十分です。T-Potにあるハニポの中には全てのポートを解放しなくてはならないものもあったりするのですが、ちょっと怖くて開けてなかったりするからです。後はT-Potの最新バージョンで追加されたハニポのポートを調べきれてなかったりするので。ポートを弄ることがあれば差し替えたいと思います。

さいごに

T-Potの中に入っているMailoneyを動かすためにMyDNSでドメインを取得したりしているのですが、長くなるのでそれは別記事で。

ハニポはやっぱり楽しいですね。みなさんもよきハニーポッターライフを。