akiranetの日々淡々と頑張っていこう

akiranetのコンピューターと遊ぶ

ハニーポットを構築しました

Ak1raです!

マルウェア解析をしてみたい!

マルウェアどこにあるの??

ハニーポットで集めてみよう!

ということで構築しました。

ハニーポット

ハニーポットとは、セキュリティ的に脆弱性を持つサーバやネットワークを、あえてネットワークにさらす。
そしてそれを監視・調査することで、攻撃者の手法や挙動を分析できるものです。

ハニーポットの種類

  • 低対話型
    • 特定のOSやアプリケーションをエミュレートし監視を⾏う
  • 高対話型

  • クライアント型

    • 自分から悪性サイトを回って感染の有無で攻撃を検出
  • サーバ型
    • 攻撃を待ち受ける

ハニーポット構築

  • Dionaea
  • cowrie

構築方法はたくさんの参考になるところがあるので…

Dionaea

自分はDionaea公式ドキュメントを参考にしました⬇

Welcome to dionaea’s documentation! — dionaea 0.6.0 documentation

参考は⬇ sonickun.hatenablog.com

takahoyo.hatenablog.com

www.morihi-soc.net

http://enog.jp/wp-content/uploads/2015/07/ENOG33_honypot.pdf

http://www.ipa.go.jp/files/000025088.pdf

Cowrie

github.com

ecoha0630.hatenablog.com

上記ふたつを主に参考にしました。

トラフィック収集

ハニーポットがどのようなトラフィックを流したり受け入れているのか知りたかったので、tsharkを用いて回収しています。

tshark -i 1 -b duptation: 86400 -w ~/capture/test.pcap`
  • 1日毎にeth0から~/capture/test_0001_xxxxxxx.pcapに保存
    • xxxxxxは、年月日時間が書かれてる
    • 000Xが1日ごとに増えていく

今後

可視化したいので、DionaeaFRをまず構築したいと思っています!
次には、Elasticsearch, Fluentd, Kibana -> EFKの環境をDockerで構築してみたいと思います!