ハニーポット(WOW)の運用開始
前々からやりたいと思っていた、ハニーポットの運用を開始しました。
普段からIPS、WAFのログを監視していますが、監視外のところではどんなものが出ているのか、気になっていたためです。
普段見ているのがweb向けの通信のため、ハニーポットの種類はhttpリクエストを分析できるものにしようと考えていました。
そこで、morihi-socさんが提供してくださっているWOWHoneypotを選択しました。
主な理由は以下です。
・http通信をしっかりと記録できること
・ハンティング機能でマルウェアの解析がしやすいこと
・日本語で簡単に解説があること
構築にあたっては、以下の記事を参考にさせていただきました。
本当に、この通りにやっただけで動きます。
DNSの取得等は行っていませんが、それでもハニーポットを植えて1日で既にアクセスがありました。
どうしてこのURLでのアクセスログがあるか不明(ハニポのアドレスと無関係)ですが…。
まだ解析環境を作っていないのでコマンドベースでの解析ですが、徐々に環境を整えて行きたいと思います。
そのうち、ハンティングログに残ったマルウェアの解析なども…。