honeypot
PR

ハニーポット cowrie に囚われてみた

kawa.xxx
記事内に商品プロモーションを含む場合があります

環境

  • cowrie
  • Ubuntu 16.04.3

ハニーポットに囚われるって?

ハニーポットを構築、運用、観察したことはあるけど、自分がハニーポットに入ったことはこれまでありませんでした。ハニーポットにとらわれるとはどんな感じなのか体験するためにやってみました。

cowrie に囚われて /etc/passwd を見てみた

ローカルの環境に VirtualBox で Ubuntu を入れて、その上に cowrie を構築しました。今回は実験用なので、ポート番号等はデフォルトのものから特に変更しませんでした。

まずは、 root で適当なパスワードでログインします。発行したコマンドはログが見やすいように、w コマンドと cat /etc/passwd を発行して exit でログアウトするというシンプルなもののみにしました。

f:id:kawa_xxx:20180321145308p:plain

結構いろんなユーザがあることになってますね。これは cowrie/honeyfs/etc/passwd にテキストで全く同じ内容が書いてあり、その内容が表示されるだけです。

自分の行動を自分で観察してみた

まずは cowrie.log の該当部分をみてみる。 CMD: w , Command found: w などと発行しているコマンドとそのコマンドがあったかどうかが記されているのが見て取れます。tty ログも記録したよというログが残っていますね。

f:id:kawa_xxx:20180321145323p:plain

それではお次は playlog コマンドで自身の行動をハニーポットが記録したものをみてみましょう。

f:id:kawa_xxx:20180321145329p:plain

うむ。やったことがそのまま出てますね。

おわりに

自分の行動を自分で分析してみることで、ハニーポットがどんな感じにログを出すのかの理解が進みやすくなると思うのでおすすめですね。

参考文献

ABOUT ME
kawa.xxx
都内のIT系企業に勤める会社員。自分の備忘録的なアウトプット用の場所で、ボルダリングやガシェッド、セキュリティ、カメラの話題が中心です。
記事URLをコピーしました