www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(6)

今回,使用しているハニーポットについて,軽く説明しようかと思います.なお今回,動かしているハニーポットは次の5種類です.

  • Amun →低対話型ハニーポット

  • Nepenthes →低対話型ハニーポット

  • Dionaea →低対話型ハニーポット(Nepenthes の後継)

  • Glastopf → Web ハニーポット

  • Kippo → SSH ハニーポット

 

Amun

公式サイト:http://amunhoney.sourceforge.net/

Amun はマルウェアの収集を目的として,様々な脆弱性(MS08-067とか)をエミュレーションするように実装されているハニーポットです.現在は開発が止まっているようです.また Amun が依存している psyco も開発が終了しています.そのため Amun を使うためには,環境としていくつか古いバージョンを準備する必要があります.この環境を用意してまで,使用しなくてもいいかなというのが個人の感想です.

Nepenthes

公式サイト:http://nepenthes.carnivore.it/

Nepenthes はご存知の方も多いと思いますが,たくさんのネットワークサービスを模倣しています.各ネットワークサービスに接続し,流れるデータの中からマルウェアを収集します.現在はでは開発が終了しており,後継の Dionaea を使用することが推奨されています.わざわざ Nepenthes を使用する理由はあまりないと思います.

Dionaea

公式サイト:http://dionaea.carnivore.it/

Nepenthes の後継でマルウェアを収集することを目的として作成されたハニーポットです.完成度が高く,マルウェア収集目的であればコレだけ設置すればいいかもしれません.また収集したマルウェアを外部 API を使用して解析するなど,連携機能も実装されています.ただ Nepenthes の後継ではありますが,エミュレーションされるネットワークサービスの数は Nepenthes より少ないです.環境構築は apt でインストールできるため簡単でオススメです.

 

Glastopf

公式サイト:http://glastopf.org/

Web アプリケーションに対する攻撃を検出することを目的として作成された Web ハニーポットです.PHP のコマンド実行サンドボックスや SQL インジェクションの検出など,作りこみが凄いです.

Kippo

公式サイト:http://code.google.com/p/kippo/

SSH のハニーポットです.ユーザ名とパスワードを設定しておき,そのアカウントで SSH ログインできる環境を提供します.攻撃者による不正ログイン後のコマンド入力は,すべてログファイルに記録されます.このログファイルには入力タイミングや typo など忠実に再現することが可能です.攻撃者の人間らしいところが見えたりします.

==================================================

また今回は使わなかったハニーポットについて一部紹介します.

Honeyd

公式サイト:http://www.honeyd.org/

ハニーポットといえば Honeyd だろ jk という人も多いかと思います.様々な OS やネットワークサービスを組み合わせて,仮想端末を作りハニーポットにすることができます.

 

KFsensor

公式サイト:http://keyfocus.net/kfsensor/

動作環境の OS が Windows という珍しいハニーポットです.GUI で管理ツールを動かすことができ,ネットワークサービスの状態確認やログを確認したりすることができます.

 

Tiny Honeypot

公式サイト(?):http://freecode.com/projects/thp

いくつかのネットワークサービスをエミュレーションするハニーポットらしいです.しかし公式サイト(?)からソースがダウンロードできないので,未検証.開発も終了しているようです.

 

GHH(Google Hack Honeypot)

公式サイト:http://ghh.sourceforge.net/

Google ハッキングを検出する目的で作られた Web ハニーポットです.今回は Glastopf を使ったのでこちらは別の機会にでも.

 

OpenHoney

公式サイト:http://openhoney.org/

Glastopf をインストールした OpenBSD ベースの OS です.これをインストールすると自動的に Glastopf も動きます.しかし特別なセッティングやチューニングがあるわけではなさそうなので,Glastopf を普通にインストールした方が楽かもしれません.

 

以上です.環境的に全部のハニーポットを動かすことはできません.また上記以外にもたくさんのハニーポットがあります.そのため,また別の機会にでも動かせたらいいなぁと思ってます.

 

Written by morihisa

10月 14th, 2013 at 9:33 pm