NTTCom の 攻撃分析ハッカソン 行ってきました!
先週に引き続き、2週連続でNTTコミュニケーションズ行ってきました!
1/27に「攻撃分析ハッカソン 〜いま、何が起きている?〜」
というインターンシップに参加してきましたのでご報告いたします!
目次
内容としましては、ハニーポットのデータやパケットキャプチャを分析して、攻撃を検知するための仕組み作りや攻撃の分析を行いました。
今回は、ハッカソン形式でした!
今回も前回同様6時に起きて向かう予定だったのですが、電車が止まったり色々とあり、10時の集合に大幅に遅れ、結局14時頃に到着しました、、4時間遅れ、、(汗)
ハッカソンより着くまでの方が大変だった、、笑
講義
そんなこんなで午前中に予定されていた講義は全く聞けませんでした、、泣
お話を聞くと、CTFハンズオンという感じで実践で使えるCTFの技術を実践形式で解説を行っていたらしいです。聞きたかった。。
講義の代わりに開催場所の説明でも、、笑
場所
でっかい建物ですね!
田町駅はこのインターンシップでしか訪れたことがなかったです。
ただ、駅からタワーが近いので何も周りは見てません。探検してみたい!通勤には便利そう。
ハンズオン
今回のワークショップのお題は
「ハニーポットアクセスデータの分析」
です。
ハニーポットとは
インターネット上の悪性活動(偵察、不正ログインや脆弱性を突いた乗っ取りなど)を監視するシステムのことです。
今回は、VPSサービスを使った観測に関するデータを扱いました。
観測データ
今回扱ったデータは、
- 国内某所にあるハニポ観測データ(11月分)
- アメリカ某所にあるハニポ観測データ(11月分)
でした。JSON形式でフォーマットとしては
こんな感じでした。
まず難関だったのがPythonにJSONを食わせるところでした。
JSON Lines 形式といって渡されたものが実際には違ったためデコード出来ないという難しさがありました。(現場でもよくある模様。色々と形式変更するのも勉強。)
また、一つのファイルもすごい量のデータが入っているという。全部で1.5GBぐらいありました。私の MacBook Air が悲鳴をあげてました。(結構年数も立っているので何回も固まりました。。)
私の方針としてはKibanaでの可視化で進めていましたが、途中でつまずきました。ただでさえ遅刻していたので、時間がなく、アウトプットが何もない!!という事になってしまってはアレなので、方針チェンジ!
宛先ポート番号だけに着目し、日本とアメリカ全部足して攻撃頻度の集計を行いました。(集計とっただけ、、)
順位 Port:総数
- 22:3249908
- 23:44836
- 80:28748
- 443:18398
- 445:10396
- 1433:10304
- 8080:9633
- 2323:4056
- 3389:3260
- 8545:2078
こんな感じでした。
Apache Tomcat や Mirai 、Ethereum 関連がWELL KNOWN PORT以外でちょっと目立ち、攻撃には流行りがあるんだなと思いました。
感想
どの情報を使うかの着眼点は人それぞれ違い、全員の発表が面白く聞けました。
アメリカと日本の情報を比較したり、日付で比べたりと。
ほぼ生の観測データなので、実際のニュースなどと結び付けてる方もいました。
それにしてもやっぱり可視化は強いなという印象を受けました。一瞬で分かるので!
全員で投票を行い、1位と2位の方には景品がありましたが、お二人共可視化でした。(私が投票した2人でした笑)
結構いい景品がもらえるようですので、(やることはたぶん毎回ほぼ一緒なので)全力で準備をしてから挑戦するべきだと思います。
今回の景品は360度カメラのようです。(定価3万円以上だとか、、ちょっと欲しかった。)
私は遅刻をしないようにしたいです。。
終わりに
2週連続で参加させていただきありがとうございました。
遅刻したにもかかわらず、電話越しでも「ゆっくりおいで」とおっしゃってくれたり、個別で流れから説明まで、手厚くフォローしていただき、本当に感謝しています。
生に近いデータはそのまま持って帰ってこれたので、また色々と分析してみたいと思います!
今回は、懇談会と発表会を同時進行といった感じでした。
とっても楽しかったです( ^ω^ )