Low-Interaction HoneyClient: Thugを使ってみた。
某セキュリティイベントに参加してきたのがきっかけで、Thugを少しいじってみたのでそれに関するメモ。
Thugについて
Webクライアント型ハニーポット。
ブラウザを模したプログラムで、Webページにアクセスすることで、その挙動について調べることができる。
インストール
docker自体のインストールについては割愛 docker.ioでdockerイメージとして配布されているのを発見したので、docker pull
docker pull honeynet/thug
コンテナの起動
docker run -itd -v {local_dir}:/logs honeynet/thug /bin/bash
{local_dir}にホストマシンのログ記録用ディレクトリを指定しておくことで、ホストマシンからもthugのログ(コンテナ内では/logs)が参照できるようになる。
thugコマンドの実行
docker attachでコンテナに接続
docker attach {起動したコンテナID}
コンテナ内でそのまま
# thug
で実行できるかと思いきや、なぜかPATHが通っておらず
# python /opt/thug/src/thug.py
とすることでthugを実行できた。
実際にページを踏んでみる
909research.com あたりのページを参考に、
python /opt/thug/src/thug.py -FZM {URL}
を実行してみるとコンテナ内の/logs、ホストマシン上の{local_dir}に下記のようなログファイルが生成される。
{ID名} ├── analysis │ ├── graph.svg │ ├── json │ └── maec11 ├── application │ ├── javascript │ └── x-shockwave-flash ├── image │ └── png └── text ├── css ├── html;\ charset=UTF-8 ├── html;charset=UTF-8 └── javascript
ログファイルの詳細については、今回は割愛。 analysis/graph.svgあたりの読み込みのグラフなどを見ると面白い。