かわろぐ

技術、セキュリティ、その他もろもろ

MENU

ハニーポット cowrie に囚われてみた

環境

  • cowrie
  • Ubuntu 16.04.3

ハニーポットに囚われるって?

ハニーポットを構築、運用、観察したことはあるけど、自分がハニーポットに入ったことはこれまでありませんでした。ハニーポットにとらわれるとはどんな感じなのか体験するためにやってみました。

cowrie に囚われて /etc/passwd を見てみた

ローカルの環境に VirtualBox で Ubuntu を入れて、その上に cowrie を構築しました。今回は実験用なので、ポート番号等はデフォルトのものから特に変更しませんでした。

まずは、 root で適当なパスワードでログインします。発行したコマンドはログが見やすいように、w コマンドと cat /etc/passwd を発行して exit でログアウトするというシンプルなもののみにしました。

f:id:kawa_xxx:20180321145308p:plain

結構いろんなユーザがあることになってますね。これは cowrie/honeyfs/etc/passwd にテキストで全く同じ内容が書いてあり、その内容が表示されるだけです。

自分の行動を自分で観察してみた

まずは cowrie.log の該当部分をみてみる。 CMD: w , Command found: w などと発行しているコマンドとそのコマンドがあったかどうかが記されているのが見て取れます。tty ログも記録したよというログが残っていますね。

f:id:kawa_xxx:20180321145323p:plain

それではお次は playlog コマンドで自身の行動をハニーポットが記録したものをみてみましょう。

f:id:kawa_xxx:20180321145329p:plain

うむ。やったことがそのまま出てますね。

終わりに

自分の行動を自分で分析してみることで、ハニーポットがどんな感じにログを出すのかの理解が進みやすくなると思うのでおすすめですね。

参考文献

サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録]

サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録]