Dionaea(ハエトリグサ)は、攻撃者からマルウェアのコピーを手に入れるためのマルウェア収集用ハニーポットです。
収集ポート
| プロトコル | ポート | 説明 |
|---|---|---|
| ftp | 21 | File Transfer Protocolとは、サーバーとクライアント間でファイル転送を行う通信プロトコル。 |
| WINS | 42 | Windows Internet Naming Service。Windowsネットワーク上のPC名(NetBIOS名)の名前解決。 |
| TFTP | 69/UDP | Trivial File Transfer Protocol。PC間でファイル転送をする。FTPに比べて軽量単純。認証機能なし。 |
| epmap | 135 | RPCサービス。遠隔から管理可能なプロトコル。 |
| http(s) | 443 | HTTPS通信 |
| smb | 445 | Microsoft-DSを利用し、Windows系でファイルやプリンターを共有できる。 |
| mssql | 1433 | Microsoft SQL Serverで使用。 |
| pptp | 1723 | Microsoftが開発したトンネリングプロトコル。インターネットによるリモートアクセスを実現。 |
| mqtt | 1883 | Message Queuing Telemetry Transport Protocol |
| mysql | 3306 | MySQLサーバーアクセス。 |
収集データ(/data/dionaea/)
| フォルダ | 内容 | 説明 |
|---|---|---|
| binaries | マルウェアのハッシュ値 | マルウェア自身がハッシュ値に変換されている。 |
| bistream | 攻撃通信のデータ | サーバーへの要求(in)と応答(out)のバイトデータです。攻撃を再現することができるそうです。 |
| dionaea-errors.log | エラーログ | dionaeaへのアクセスエラーログ |
| log(dionaea.json) | 通信のログ | プロトコル、送信元先IP、送信元先MAC、ログイン試行(ID,パスワード) |
| log(dionaea.sqlite) | インシデントログ? | binaryデータで格納されている |
参考文献:kyonta1022’s blog「Dionaeaによる初めての生態観察」
コメント