前々からやりたいと思っていた、ハニーポットの運用を開始しました。

普段からIPS、WAFのログを監視していますが、監視外のところではどんなものが出ているのか、気になっていたためです。

普段見ているのがweb向けの通信のため、ハニーポットの種類はhttpリクエストを分析できるものにしようと考えていました。

そこで、morihi-socさんが提供してくださっているWOWHoneypotを選択しました。

github.com

主な理由は以下です。
・http通信をしっかりと記録できること
・ハンティング機能でマルウェアの解析がしやすいこと
・日本語で簡単に解説があること

構築にあたっては、以下の記事を参考にさせていただきました。

WoWHoneypotを植えてみよう

本当に、この通りにやっただけで動きます。

DNSの取得等は行っていませんが、それでもハニーポットを植えて1日で既にアクセスがありました。

どうしてこのURLでのアクセスログがあるか不明(ハニポのアドレスと無関係)ですが…。

まだ解析環境を作っていないのでコマンドベースでの解析ですが、徐々に環境を整えて行きたいと思います。

そのうち、ハンティングログに残ったマルウェアの解析なども…。