某セキュリティイベントに参加してきたのがきっかけで、Thugを少しいじってみたのでそれに関するメモ。

Thugについて

Webクライアント型ハニーポット。

ブラウザを模したプログラムで、Webページにアクセスすることで、その挙動について調べることができる。

インストール

docker自体のインストールについては割愛 docker.ioでdockerイメージとして配布されているのを発見したので、docker pull

docker pull honeynet/thug

コンテナの起動

docker run -itd -v {local_dir}:/logs honeynet/thug /bin/bash

{local_dir}にホストマシンのログ記録用ディレクトリを指定しておくことで、ホストマシンからもthugのログ(コンテナ内では/logs)が参照できるようになる。

thugコマンドの実行

docker attachでコンテナに接続

docker attach  {起動したコンテナID}

コンテナ内でそのまま

# thug

で実行できるかと思いきや、なぜかPATHが通っておらず

# python /opt/thug/src/thug.py

とすることでthugを実行できた。

実際にページを踏んでみる

909research.com あたりのページを参考に、

python /opt/thug/src/thug.py -FZM {URL}

を実行してみるとコンテナ内の/logs、ホストマシン上の{local_dir}に下記のようなログファイルが生成される。

{ID名}
    ├── analysis
    │   ├── graph.svg
    │   ├── json
    │   └── maec11
    ├── application
    │   ├── javascript
    │   └── x-shockwave-flash
    ├── image
    │   └── png
    └── text
        ├── css
        ├── html;\ charset=UTF-8
        ├── html;charset=UTF-8
        └── javascript

ログファイルの詳細については、今回は割愛。 analysis/graph.svgあたりの読み込みのグラフなどを見ると面白い。