久々にブログを投稿します。 というか、気づけばもう年末ですね。今年は自分が転職したこともあり色々バタバタしてしまって、あんまり個人ブログを更新できませんでした。。。 来年はもっとガシガシ小ネタなどを投稿していきたいと思っています。

さて、この記事はHoneypot Advent Calendar 2018の3日目の記事です。 実はハニーポットに関連するちょっとした小ネタがあり（といってもちょっと色々ショボくてお蔵入りとなったネタなのです…）、機会があればブログとか書きたいなーとは思っていたのですが、たまたま今年のHoneypot Advent Calendarを見かけて、丁度良いかなと思ってこのネタを書くために参加してみました！

DEFCONのアレ

もうホント今更ですが、今年の夏はBlack Hat & DEFCONに参加するためにラスベガスに行ってきました。 DEFCONの会場内ではCTFなど様々なセキュリティイベントが開催されていることは有名ですよね。 その中にWall of SheepというDEFCONの名物的なイベントがあるのですが皆さんご存知でしょうか？

https://www.wallofsheep.com/

このイベントはDEFCON会場内のフリーWi-Fiを利用して平文でクレデンシャル情報をやり取りしていた場合に、その情報をスクリーンに晒されてしまうというものです。目的としては無線LANセキュリティの啓蒙のために開催しているようです。

以前筆者の友人より、会場で意図的に平文でダミーのクレデンシャル情報をネットワークに流してみたらちゃんとスクリーンに表示されて、Tシャツをゲットしたという話を聞いており、次にDEFCONに参加する時は、面白そうだから自分もやってみようかなーと思っていたので、今回準備をしていきました。

結果としてはTwitterにも投稿しましたが無事「t.shindan」（診断太郎）という、脆弱性診断やっている人ならお馴染みのダミーアカウントのクレデンシャル情報を送信して、スクリーンに晒していただき、無事にミッションコンプリートできましたｗ

ちなみに、私が会場で見ていた感じだと、晒されていたアカウントの大部分は恐らく私と同じように面白がって参加者が意図的に流したダミーのものっぽいのが多い印象ですが、中には「あれ…これもしかしたら本物じゃね？」ってものもありました。 公衆無線を利用する場合には、こういった盗聴の危険性があるため、VPNソフトなどの利用を推奨いたします。

ここからがハニーポットネタです。

さて、実はここからが本題です。 上記のように、イベント自体は楽しんで終わった感じでなのですが、参加する前に実はこんなことを考えていました。

「ああいうイベントのフリーWi-Fiなんだからイベント運営以外にも会場でパケットを盗聴している奴とかもいそうなわけで、もしそうだったら盗聴したクレデンシャル情報使ってアクセスしに来たりするのかな？どうせだったらハニーポットでも立ててお迎えしとく？ｗ」

と、ベガスに行くちょっと前に突然閃き、そのノリで実は割と真面目に現地でハニーポットを構築して待ち構えていました。 今回はそっち側の話を書きます。 会場ではこんなことをやっていました。

上記の図のように、自分のラズパイを会場のWi-Fiスポットに接続して、そこからダミーのクレデンシャル情報を使って定期的に、インターネット側に構築したハニーポットに接続しにいくという感じです。

今回は以下三種類を用いて平文でクレデンシャル情報を送っていました。

• FTP
• HTTP(Basic認証)
• HTTP(フォーム認証)

送信したクレデンシャル情報は、8桁以上の大小英数字および記号を含むランダムなパスワードに設定しており、プロトコルごとにアカウントを分けていました。ちなみにt.shindan以外にもh.zeijyaku(脆弱花子)などのネタアカウントで送信していましたｗ 送っているパスワードは上記のように通常では推測が困難なものに設定しているため、

ハニーポットのサービスにログインが成功した＝ネットワーク盗聴していた人が盗聴したクレデンシャル情報を利用して接続したことでログインが成功した

という感じになるわけです。

ハニーポットについてはUbuntu 16.04で以下のような構成のサーバを構築しました。

ハニーポットで待ち受けていたサービス

• FTP
  vsftpdを利用して構築。ダミーアカウントはReadOnlyに制限し、ダミーコンテンツをダウンロードできるだけに設定。

• Web
  Apacheを利用して構築。 ダミーコンテンツを配置した/admin/というディレクトリ配下に、ダミーアカウントで接続できるようにBasic認証を設定。 ダミーアカウントでログイン後、ダミーコンテンツをダウンロードできるだけの簡易的なWebアプリケーションをPHPで構築。

• SSH
  CowrieにてSSHハニーポットを構築。
  GitHub - cowrie/cowrie: Cowrie SSH/Telnet Honeypot
  各ダミーアカウントでログインできるように設定。

時間もあまりなかったので上記のような簡単なものを構築しました。 Cowrieを仕掛けたのは、攻撃者がパスワードの使い回しなどを狙って、他サービスのクレデンシャル情報を利用して、SSHログインしてこないかなというのを期待した感じです。 FTPとかはLinuxアカウントでログインさせているケースとかも多いと思いますので、ワンチャンあるかなと思って仕掛けときました。 ちなみにダミーコンテンツは自動生成ジェネレーターなどを利用して割と本物っぽく作成した顧客データとか文書などを置いておきました。 ここら辺のデータを作るのが一番楽しかったですねｗ

ちなみにホントに直前に作り始めたので、DEFCON開催まで現地で睡眠時間削ってギリギリまで構築していました。 ホントにタダの悪ふざけなので、もっと前もって準備すりゃよかったと本気で後悔していました…ｗ

結果は…？

DEFCONに滞在している最中はとりあえず、ラズパイの電源をいれっぱなしにした状態で練り歩いていました。 ちなみに、HTTPにもFTPと同じ頻度でアクセスしていたのに、Wall of SheepにはなぜかFTPユーザのアカウントしか晒されなかったんですよねー。 ここら辺は謎です。

イベント直後とかにアクセス来るかなと期待して毎日ログを確認していたのですが、全然アクセスが来ませんでした。 半ばあきらめ気味でしばらく放置していたのですが、1ヶ月半以上経過した9月28日に以下のようなFTPアクセスがありました。

やったようやくアクセスしに来てくれた！！
IPアドレスは黒塗りにしていますが、カナダのプロバイダが管理しているIPのようでした。

で、結局それ以外は、全然アクセスしてくれませんでしたｗｗｗ

しかも、test.txtというドキュメント以外にもいくつかダミーコンテンツを置いていておもてなししていたのですが落としてくれませんでしたorz… これがこのネタがお蔵入りになった最大の理由です。 ちなみに既に本サーバは公開を停止しています。 まあ、一回だけアクセスしにきてくれただけでもホント良かったですけど。

ただ、もっと沢山のWi-Fiスポットで同じことをやったら、中にはファンキーな感じで遊びに来てくれる人もいるかもしれないので、もうちょっと作りこみをしてその内別の機会に日本の公衆無線とかでリトライしてみようかと思っています。 後、自分の思いつきでやったことなので、もう誰か同じようなことをとっくに研究とかでやられているんじゃないかなーと思っています（あんまり調べてません）。 というわけで、久々にハニーポットで遊んで面白かったです。 以前は良くハニーポットを運用して遊んでいたのですが、忙しくなって途中で運用辞めてしまってたんですよねー。 丁度森久さんが作成されているWOWHoneypotも試してみたいなーと思っていたので年末あたりにまたハニーポットを運用しはじめようかなと思っています。 以上、とある診断員が仕掛けたショボいハニーポットのお話でしたｗ