Cowrieとは
Cowrieとは、SSHとTelnetによるブルートフォース攻撃とそのやり取りをログに記録するハニーポットです。SSHとTelnetのプロキシとして機能し、攻撃者の行動を観察できます。そして、「wget」や「curl」でダウンローダされたファイルや「sftp」や「scp」によってアップロードされたファイルを保持します。
| telnet | 23/tcp | Telnetとは、ネットワークを通じて、他のコンピュータ等を遠隔操作ができる通信プロトコル。ログインを試みると、アカウントとパスワードを求められ、有効であればログインができる。ただし通信の暗号化がない。 |
| ssh | 22/tcp | ssh(Secure shell)とは、Linuxなどで使用される、ネットワークを通じて、他のコンピュータ等を遠隔操作ができる通信プロトコル。パスワード認証及び公開鍵認証が使用でき、通信の暗号化が可能。 |
dataの中身(/data/cowrie)
cowrie/downloads
攻撃者からハニーポットに転送されたファイルやwgetなどでダウンロードされたファイルがハッシュ値で保存されます。
そのうちの一番上をVirusTotalで検索してみると、
このような感じでマルウェアと検出されました。検出されたのは「Hajime」で、攻撃の機能は持たないようですが、果たして善なのか?
cowrie/keys
ここには、ssh用の鍵が保管されています。
cowrie/misc
ここには何もありません。????さて何なんでしょう?
cowrie/log/cowrie.json
json形式のトランザクション出力が保存されています。
ログイン試行の「ID」「Password」が見られます。
cowrie/log/tty
再生可能なセッションログ。攻撃者(マルウェア)のコマンド実行記録。
コメント