ハニーポット cowrie をカスタマイズしてみる
kawa.xxx
kawalog
ハニーポットを構築、運用、観察したことはあるけど、自分がハニーポットに入ったことはこれまでありませんでした。ハニーポットにとらわれるとはどんな感じなのか体験するためにやってみました。
ローカルの環境に VirtualBox で Ubuntu を入れて、その上に cowrie を構築しました。今回は実験用なので、ポート番号等はデフォルトのものから特に変更しませんでした。
まずは、 root で適当なパスワードでログインします。発行したコマンドはログが見やすいように、w コマンドと cat /etc/passwd を発行して exit でログアウトするというシンプルなもののみにしました。
結構いろんなユーザがあることになってますね。これは cowrie/honeyfs/etc/passwd
にテキストで全く同じ内容が書いてあり、その内容が表示されるだけです。
まずは cowrie.log の該当部分をみてみる。 CMD: w , Command found: w などと発行しているコマンドとそのコマンドがあったかどうかが記されているのが見て取れます。tty ログも記録したよというログが残っていますね。
それではお次は playlog コマンドで自身の行動をハニーポットが記録したものをみてみましょう。
うむ。やったことがそのまま出てますね。
自分の行動を自分で分析してみることで、ハニーポットがどんな感じにログを出すのかの理解が進みやすくなると思うのでおすすめですね。
サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録]