ハニーポット(T-Pot:Dionaea)Honeypot

PC
ブログ

Dionaea(ハエトリグサ)は、攻撃者からマルウェアのコピーを手に入れるためのマルウェア収集用ハニーポットです。

収集ポート

プロトコルポート説明
ftp21File Transfer Protocolとは、サーバーとクライアント間でファイル転送を行う通信プロトコル。
WINS42Windows Internet Naming Service。Windowsネットワーク上のPC名(NetBIOS名)の名前解決。
TFTP69/UDPTrivial File Transfer Protocol。PC間でファイル転送をする。FTPに比べて軽量単純。認証機能なし。
epmap135RPCサービス。遠隔から管理可能なプロトコル。
http(s)443HTTPS通信
smb445Microsoft-DSを利用し、Windows系でファイルやプリンターを共有できる。
mssql1433Microsoft SQL Serverで使用。
pptp1723Microsoftが開発したトンネリングプロトコル。インターネットによるリモートアクセスを実現。
mqtt1883Message Queuing Telemetry Transport Protocol
mysql3306MySQLサーバーアクセス。

収集データ(/data/dionaea/)

フォルダ内容説明
binariesマルウェアのハッシュ値マルウェア自身がハッシュ値に変換されている。
bistream攻撃通信のデータサーバーへの要求(in)と応答(out)のバイトデータです。攻撃を再現することができるそうです。
dionaea-errors.logエラーログdionaeaへのアクセスエラーログ
log(dionaea.json)通信のログプロトコル、送信元先IP、送信元先MAC、ログイン試行(ID,パスワード)
log(dionaea.sqlite)インシデントログ?binaryデータで格納されている

参考文献:kyonta1022’s blog「Dionaeaによる初めての生態観察

コメント