GCP に cowrie ハニーポットを構築してみた
kawa.xxx
kawalog
ハニーポット cowrie に囚われてみた
kawa.xxx
記事内に商品プロモーションを含む場合があります
環境
- cowrie
- Ubuntu 16.04.3
ハニーポットに囚われるって?
ハニーポットを構築、運用、観察したことはあるけど、自分がハニーポットに入ったことはこれまでありませんでした。ハニーポットにとらわれるとはどんな感じなのか体験するためにやってみました。
cowrie に囚われて /etc/passwd を見てみた
ローカルの環境に VirtualBox で Ubuntu を入れて、その上に cowrie を構築しました。今回は実験用なので、ポート番号等はデフォルトのものから特に変更しませんでした。
まずは、 root で適当なパスワードでログインします。発行したコマンドはログが見やすいように、w コマンドと cat /etc/passwd を発行して exit でログアウトするというシンプルなもののみにしました。
結構いろんなユーザがあることになってますね。これは cowrie/honeyfs/etc/passwd にテキストで全く同じ内容が書いてあり、その内容が表示されるだけです。
自分の行動を自分で観察してみた
まずは cowrie.log の該当部分をみてみる。 CMD: w , Command found: w などと発行しているコマンドとそのコマンドがあったかどうかが記されているのが見て取れます。tty ログも記録したよというログが残っていますね。
それではお次は playlog コマンドで自身の行動をハニーポットが記録したものをみてみましょう。
うむ。やったことがそのまま出てますね。
おわりに
自分の行動を自分で分析してみることで、ハニーポットがどんな感じにログを出すのかの理解が進みやすくなると思うのでおすすめですね。
参考文献
- https://github.com/cowrie/docker-cowrie
- https://ackintosh.github.io/blog/2017/07/11/cowrie-on-docker/
![サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録]](https://m.media-amazon.com/images/I/41dgRVq2zXL._SL500_.jpg "サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録]")
サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録]
- 作者:森久和昭
- 発売日: 2017/03/30
- メディア: Kindle版
ABOUT ME
都内のIT系企業に勤める会社員。自分の備忘録的なアウトプット用の場所で、ボルダリングやガシェッド、セキュリティ、カメラの話題が中心です。