かわろぐ

技術、セキュリティ、その他もろもろ

MENU

ハニーポット cowrie をカスタマイズしてみる

環境

  • cowrie
  • Ubuntu 16.04.3

cowrie をカスタマイズする

全てがデフォルトのハニーポットだと、攻撃者に気づかれる可能性もあると思うので何らか変化を加えておきたいですよね。ということで、ログイン後のファイルシステムをそれっぽく見せるべく、カスタマイズ方法を調べてみました。

この記事では、ファイルシステムに変更を加える方法と、ログイン可能なユーザを変更する方法をまとめます。

ファイルシステムをカスタマイズする

createfs コマンドを使ってみる

Github の README.md には honeyfs の説明に file contents for the fake filesystem - feel free to copy a real system here とあるので、この honeyfs 内にファイルを作ればそのまま見れるようになるのかと思い以下の図のように honeyfs/etc/hoge.txt を作成しましたが、そんな単純なことではありませんでした。

f:id:kawa_xxx:20180324150042p:plain

cowrie にある、ファイルシステムを作る bin/createfs コマンドを使ってみようということで、  honeyfs/etc/hoge.txt をつくって bin/createfs > data/fs.pickle して、 cowrie に ssh で繋いでみましたが、hoge.txt の存在がないどころか、バナー表示がなくなったり ls コマンドがなくなったりして何も出来ない残念なhoneypot になってしまいました。。

このコマンドは一体どう使ったらいいのだろうか…

fsctl コマンドを使ってみる

bin/fsctl data/fs.pickle で etc/ に touch で hoge.txt をつくったら上でつくった honeyfs/etc/hoge.txt の内容が見れました。 仮に膨大なファイルを追加した場合に全部 fsctl でやらなくては行けないのかな。めんどくさすぎる…

f:id:kawa_xxx:20180324150038p:plain

ログイン可能なユーザをカスタマイズする

cowrie にログインできるユーザ名とパスワードの組み合わせは、 data/userdb.txt に書かれた組み合わせで決定します。以下がデフォルトの内容です。

f:id:kawa_xxx:20180324150035p:plain

デフォルトの状態では、 root アカウントは root, 123456 以外のパスワードであればログインでき、 richard アカウントはどんなパスワードでもログインできるような設定になっています。

cowrie を動作させてログイン失敗のログに出てきたアカウント名とパスワードをここに追記してあげれば、より多様な攻撃を見ることができるようになるかもしれませんね。

参考文献

サイバー攻撃の足跡を分析するハニーポット観察記録

サイバー攻撃の足跡を分析するハニーポット観察記録