ハニーポット詰め合わせT-potをAmazon EC2上で10日間運用してかかった費用の話
経緯
突然ですが、ある日唐突にハニーポットを運用してみたくなりました。 以前IoTマルウェアの記事を書かせていただいた経緯もあり、そういったマルウェアからの攻撃を実際に受けてみたいなと思ったのが動機です。
嘘です。
森久和昭さんの「サイバー攻撃の足跡を分析するハニーポット観察記録」が会社に置いてあって、カッコイイ!とミーハーな気持ちで運用し始めました。
![サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録]](https://images-fe.ssl-images-amazon.com/images/I/41dgRVq2zXL._SL160_.jpg "サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録]")
サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録]
- 作者: 森久和昭
- 出版社/メーカー: 秀和システム
- 発売日: 2017/03/30
- メディア: Kindle版
- この商品を含むブログを見る
全くハニーポットについてなにも知らない状態だったので、調べてみたところ、ハニーポットの選定やインストール方法の記事は発見したのですが、運用にいくら位必要なのか明記しているのはあまりなかったので備忘録的に記しておきます。
あくまでも2017年5月31日時点での情報になりますが、これから運用してみようかなという方の参考になればと思います。
運用期間
運用期間は、2017年5月21日(日)17時ごろ 〜 2017年5月31日(水)10時ごろ の約10日間です。
環境
自宅にRaspberryPiが転がっていたのでそいつをハニーポット化してみようかとも思いましたが、自宅のネットワークに手を加えると同居人に鉄拳制裁を喰らうので今回はEC2を利用しました。
ホスティングサービスを利用してハニーポットを構築する前に留意しておくべきなのはサービスの利用規約ですが、AWSの日本語規約は、現時点ではハニーポット運用は明示的に許可されてもいませんし、明示的に禁止されてもいません。
今回の運用中、事業主から注意されるようなことはありませんでしたが、T-potを立てたサーバ自体が侵害されてしまった場合、事業主の判断でインスタンスを止められたり、規約違反としてサービスが利用できなくなる可能性もあります。規約は各ホスティングサービスによって異なりますので確認の上実施ください。
黒彪さんが以下の記事にて各サービスに問い合わせた結果を載せていらっしゃるので、参考にしてください。
今回EC2上に立てた環境は以下の通りです。
| 項目 | タイプ |
|---|---|
| ホスティングサービス | AWS EC2 |
| リージョン | 東京 |
| インスタンスタイプ | t2.medium |
| メモリ | 4GB |
| ディスク | SSD64GB(ボリュームタイプgp2) |
| OS | Ubuntu16.04 LTS |
| ハニーポット | T-pot 16-10 |
T-potの要求スペックが結構高い(ハニーポット+ELKで可視化して見ようと思うとメモリ最低4GB、ボリューム最低64GB)のでこんなことになっております。 別にSSDにする必要はなかったと思うのですが、いい機会なので使ってみました。
T-potのインストールについてはこちらがわかりやすかったので参考にさせていただきました。
上記記事ではElastic IPが割り当てられていますが、Elastic IPは作成すると追加料金がかかったことと(かなり微々たるものではありましたが)、割り当てられるIPが北米のものになってしまったので日本のIP帯にくる攻撃が見たかったため今回は割り当てていません。
このような感じの構成で10日間、運用してみました。
かかった費用
| 項目 | 価格 |
|---|---|
| Data Transfer / Asia Pacific (Tokyo) Region | $0.08 |
| Elastic Compute Cloud / Asia Pacific (Tokyo) Region | $17.81 |
| 消費税(日本) | $1.43 |
| 合計 | $19.32 |
| 合計(円) | ¥2,168 |
※レートはあくまでもAmazonが管理しているので為替レートを即時反映しているわけではないと思われる
このスペックならそんなもんか〜と思っていたのですが、方々から「高い」と言われるので、日常的にサーバーを運用している人にとっては多分高いんだと思います。SSDをHDDにすればもう少し抑えられそうです。
ちなみにさくらのVPSとかでも料金を見積もってみましたが、メモリ4GB以上/SSDで64GB以上…とするとこんな感じになってしまい、あまり値段的には変わらない感じでした。
ConoHaはもう少し安いようなので、移動しようかなあと検討中です。
ConoHaはハニーポット構築は不可とのことでした。
攻撃を観察してみたい人はハニーポットOKなVPSとかでぽこっとサーバを立てて1週間とか運用してみると楽しいと思います。 インストール時にトラブったんですがそれでも一時間半くらいで導入できました。
install.sh、実行する前にtpotっていうユーザーとグループを作ってたら失敗するし、削除して再度実行したら再実行のこと考えてなくってそのファイルはすでに存在してるだとかそのファイルがないだとかいっていちいち止まるし、最後まで正常実行させるのにめっちゃ時間かかった
— momonga (@nhnmomonga) 2017年5月21日
観測結果
※ポート22は2222へ、23は2223へ転送されるようになってます
23日に急に観測数が跳ね上がっていますが、これは多分Shodanで見つけられるようになったのがその頃くらいからだからなのではないかと思われます。
同じ期間の辻さんのハニーポット情報と結構違うような気がするなぁと思っていましたが、telnetやsshで試行されるユーザー名とパスワードは似た感じ、という印象です。
先週の我が家のハニーポット情報です。
— 辻 伸弘(nobuhiro tsuji) (@ntsuji) 2017年5月28日
上段、ポート別アクセス数(3時間毎)
中断、試されたIDとパスワード(週を通じCowrieとDionaea毎)
下段、攻撃元の国別件数(3時間毎)
となっております。#1人CSIRT pic.twitter.com/JcwSujno76
開けてあるポートもおそらく違うでしょうし(私は全ポート解放はしてません)、どの場所のIP帯かでも違うと思うので、環境差が出てしまった、という感じでしょうか。
その他
T-pot バージョン16-10だと、一部の検体はハニーポット(cowrie)であることを検出していて捕まえられないようです。 まだリリースはされていませんが、17.06ブランチでは修正されているようなので、近々こちらにアップデートする予定です。
