開発合宿行ってきましたー!!
やったこと
T-Potの解析スクリプトを作りました。
解析スクリプトは以前も作成したのですが、Cowrie限定だったので、拡張して他のハニーポットにも対応できるように修正。
あと、今までPythonの2系を使っていたのですが、3系へのアップデートを行いました。
新しい学びとしては、Python2 -> Python3への知見の方が多かった。
Keyword
Ptyhon
- スクリプト言語
- コアが小さい
- 必要な機能はimportして使用する
- AI、セキュリティ関連のライブラリが充実
- 2系と3系があって、別物として扱われる ←Point
今回は、足元での開発環境の構築からです。
Honeypot
ハニーポット (英語: Honeypot) は、コンピュータセキュリティ用語としては、不正アクセスを受けることに価値を持つシステムのことを指す。
最新、流行りの攻撃手法を観測ができる!! その中でもT-Potは様々なハニーポットが内部的に存在している。
Virus Total
成果物
Cowrie
Total: 105
ファイル名 | 取得日時 | タイプ | 検出率 |
---|---|---|---|
ae12bb54a... | 2019/01/06 09:30:23 | PE32 executable (DLL) (GUI) Intel 80386 | 59/70 |
c96b8c08a... | 2019/01/06 09:58:37 | PE32 executable (DLL) (GUI) Intel 80386 | 61/70 |
414a3594e... | 2019/01/06 09:59:14 | PE32 executable (DLL) (GUI) Intel 80386 | 59/70 |
5265fc314... | 2019/01/06 11:15:20 | PE32 executable (DLL) (GUI) Intel 80386 | 56/69 |
996c2b2ca... | 2019/01/06 16:38:22 | PE32 executable (DLL) (GUI) Intel 80386 | 58/69 |
978e1e758... | 2019/01/06 16:42:10 | PE32 executable (DLL) (GUI) Intel 80386 | 59/67 |
36642ed3f... | 2019/01/06 17:58:25 | PE32 executable (DLL) (GUI) Intel 80386 | 56/68 |
842133ddc... | 2019/01/06 20:49:10 | PE32 executable (DLL) (GUI) Intel 80386 | 53/68 |
0ab2aeda9... | 2019/01/06 21:33:50 | PE32 executable (DLL) (GUI) Intel 80386 | 60/71 |
62186bebf... | 2019/01/06 22:28:11 | PE32 executable (DLL) (GUI) Intel 80386 | 57/69 |
1bb736b97... | 2019/01/06 22:40:03 | PE32 executable (DLL) (GUI) Intel 80386 | 59/68 |
8fa0e5dd9... | 2019/01/07 01:54:46 | PE32 executable (DLL) (GUI) Intel 80386 | 58/69 |
f14afcac1... | 2019/01/07 03:12:07 | PE32 executable (DLL) (GUI) Intel 80386 | 58/68 |
a9ea052fb... | 2019/01/07 07:10:16 | PE32 executable (DLL) (GUI) Intel 80386 | 52/70 |
24899e33d... | 2019/01/07 07:32:51 | PE32 executable (DLL) (GUI) Intel 80386 | 51/68 |
a48ca7b40... | 2019/01/07 10:28:22 | PE32 executable (DLL) (GUI) Intel 80386 | 57/67 |
7e098e9c9... | 2019/01/07 10:53:16 | PE32 executable (DLL) (GUI) Intel 80386 | 57/69 |
e9d1ba0ee... | 2019/01/07 12:05:51 | PE32 executable (DLL) (GUI) Intel 80386 | 54/66 |
e5840a975... | 2019/01/07 12:26:14 | PE32 executable (DLL) (GUI) Intel 80386 | 59/68 |
9c71e19d6... | 2019/01/07 12:41:38 | PE32 executable (DLL) (GUI) Intel 80386 | - |
6e72ad805... | 2019/01/07 13:09:20 | PE32 executable (DLL) (GUI) Intel 80386 | 61/71 |
3b803b86a... | 2019/01/07 13:48:02 | PE32 executable (DLL) (GUI) Intel 80386 | 57/68 |
ef894d1c6... | 2019/01/07 14:21:32 | PE32 executable (DLL) (GUI) Intel 80386 | 59/69 |
5970cc3f5... | 2019/01/07 17:48:30 | PE32 executable (DLL) (GUI) Intel 80386 | 61/70 |
78eae7fce... | 2019/01/07 19:24:00 | PE32 executable (DLL) (GUI) Intel 80386 | 57/69 |
74e64cbac... | 2019/01/07 19:49:15 | PE32 executable (DLL) (GUI) Intel 80386 | 60/70 |
38ab7ce48... | 2019/01/07 21:05:16 | PE32 executable (DLL) (GUI) Intel 80386 | 58/68 |
8b88b25cf... | 2019/01/07 22:25:00 | PE32 executable (DLL) (GUI) Intel 80386 | 40/69 |
cbd91d483... | 2019/01/07 22:27:46 | PE32 executable (DLL) (GUI) Intel 80386 | 54/70 |
5cb0aa5c0... | 2019/01/07 22:52:26 | PE32 executable (DLL) (GUI) Intel 80386 | 60/71 |
95ae8e32e... | 2019/01/07 22:58:02 | PE32 executable (DLL) (GUI) Intel 80386 | 60/70 |
bdcaf7ef3... | 2019/01/07 23:26:44 | PE32 executable (DLL) (GUI) Intel 80386 | 60/70 |
0f2ee8f0e... | 2019/01/08 03:49:41 | PE32 executable (DLL) (GUI) Intel 80386 | 55/71 |
3695f6d31... | 2019/01/08 04:19:51 | PE32 executable (DLL) (GUI) Intel 80386 | 58/70 |
48eb7351a... | 2019/01/08 04:28:46 | PE32 executable (DLL) (GUI) Intel 80386 | 57/68 |
eaf7698b3... | 2019/01/08 05:24:46 | PE32 executable (DLL) (GUI) Intel 80386 | 55/68 |
296837a62... | 2019/01/08 06:53:40 | PE32 executable (DLL) (GUI) Intel 80386 | 58/66 |
cd99e5e4f... | 2019/01/08 06:57:35 | PE32 executable (DLL) (GUI) Intel 80386 | 60/70 |
a55b9addb... | 2019/01/08 07:49:15 | PE32 executable (DLL) (GUI) Intel 80386 | 57/70 |
5297a5b12... | 2019/01/08 10:58:32 | PE32 executable (DLL) (GUI) Intel 80386 | 60/68 |
54dd9593f... | 2019/01/08 11:30:35 | PE32 executable (DLL) (GUI) Intel 80386 | 59/70 |
5a9e809ef... | 2019/01/08 11:56:02 | PE32 executable (DLL) (GUI) Intel 80386 | 59/69 |
33d373e26... | 2019/01/08 12:10:23 | PE32 executable (DLL) (GUI) Intel 80386 | 58/67 |
aa7d98d15... | 2019/01/08 12:15:04 | PE32 executable (DLL) (GUI) Intel 80386 | 59/69 |
a9eda7cd0... | 2019/01/08 13:21:26 | PE32 executable (DLL) (GUI) Intel 80386 | 57/68 |
033f9150e... | 2019/01/08 13:55:55 | PE32 executable (DLL) (GUI) Intel 80386 | 49/61 |
4fbfa7542... | 2019/01/08 14:01:38 | PE32 executable (DLL) (GUI) Intel 80386 | 58/69 |
8e6bfea06... | 2019/01/08 14:04:30 | PE32 executable (DLL) (GUI) Intel 80386 | 59/70 |
5cb12b167... | 2019/01/08 15:13:17 | PE32 executable (DLL) (GUI) Intel 80386 | 60/69 |
9c5a404ec... | 2019/01/08 16:57:49 | PE32 executable (DLL) (GUI) Intel 80386 | 59/70 |
f1b08326a... | 2019/01/08 17:15:34 | PE32 executable (DLL) (GUI) Intel 80386 | 62/71 |
6350f8da9... | 2019/01/08 20:54:19 | PE32 executable (DLL) (GUI) Intel 80386 | 54/68 |
398c9ce41... | 2019/01/08 22:34:30 | PE32 executable (DLL) (GUI) Intel 80386 | 59/70 |
03a2f8730... | 2019/01/09 01:06:37 | PE32 executable (DLL) (GUI) Intel 80386 | 56/69 |
7c789225e... | 2019/01/09 01:43:36 | PE32 executable (DLL) (GUI) Intel 80386 | 60/69 |
628414e1d... | 2019/01/09 02:34:35 | PE32 executable (DLL) (GUI) Intel 80386 | 58/66 |
59e0d7e76... | 2019/01/09 10:58:28 | PE32 executable (DLL) (GUI) Intel 80386 | 59/70 |
2f76b88b4... | 2019/01/09 11:47:04 | PE32 executable (DLL) (GUI) Intel 80386 | 57/68 |
64416e602... | 2019/01/09 11:52:02 | PE32 executable (DLL) (GUI) Intel 80386 | 58/70 |
2cf7e6f1f... | 2019/01/09 13:44:35 | PE32 executable (DLL) (GUI) Intel 80386 | 56/67 |
0519222da... | 2019/01/09 14:02:31 | PE32 executable (DLL) (GUI) Intel 80386 | 55/66 |
0abd719d9... | 2019/01/09 14:18:37 | PE32 executable (DLL) (GUI) Intel 80386 | 61/71 |
5f4c11dd7... | 2019/01/09 15:59:11 | PE32 executable (DLL) (GUI) Intel 80386 | 47/67 |
4c009243c... | 2019/01/09 17:42:35 | PE32 executable (DLL) (GUI) Intel 80386 | 45/60 |
a6a9b0f0f... | 2019/01/09 18:13:48 | PE32 executable (DLL) (GUI) Intel 80386 | 55/65 |
a9b237d03... | 2019/01/09 18:31:40 | PE32 executable (DLL) (GUI) Intel 80386 | 52/65 |
1a4004812... | 2019/01/09 18:32:39 | PE32 executable (DLL) (GUI) Intel 80386 | 61/71 |
bb91b9e99... | 2019/01/09 19:09:56 | PE32 executable (DLL) (GUI) Intel 80386 | 57/67 |
a13567725... | 2019/01/09 21:28:43 | PE32 executable (DLL) (GUI) Intel 80386 | 60/70 |
e12d0c0ba... | 2019/01/09 22:22:39 | PE32 executable (DLL) (GUI) Intel 80386 | 59/69 |
0064e2641... | 2019/01/09 22:26:06 | PE32 executable (DLL) (GUI) Intel 80386 | 58/70 |
c2b3f5172... | 2019/01/10 00:33:02 | PE32 executable (DLL) (GUI) Intel 80386 | 55/66 |
6e1dfefa7... | 2019/01/10 01:11:08 | PE32 executable (DLL) (GUI) Intel 80386 | 58/69 |
4f53357da... | 2019/01/10 01:42:38 | PE32 executable (DLL) (GUI) Intel 80386 | 60/69 |
8d340ce81... | 2019/01/10 01:55:25 | PE32 executable (DLL) (GUI) Intel 80386 | 58/69 |
7823636f9... | 2019/01/10 02:06:54 | PE32 executable (DLL) (GUI) Intel 80386 | 57/70 |
c0f80b17a... | 2019/01/10 07:47:06 | PE32 executable (DLL) (GUI) Intel 80386 | 59/69 |
06935a6b8... | 2019/01/10 08:44:37 | PE32 executable (DLL) (GUI) Intel 80386 | 55/67 |
bcbcbed38... | 2019/01/10 09:03:15 | PE32 executable (DLL) (GUI) Intel 80386 | 58/68 |
660e3d083... | 2019/01/10 12:23:27 | PE32 executable (DLL) (GUI) Intel 80386 | 56/68 |
46a76e131... | 2019/01/10 14:08:57 | PE32 executable (DLL) (GUI) Intel 80386 | 53/67 |
1ad505068... | 2019/01/10 14:35:24 | PE32 executable (DLL) (GUI) Intel 80386 | 59/69 |
1bda83265... | 2019/01/10 16:32:12 | PE32 executable (DLL) (GUI) Intel 80386 | 57/68 |
4796afd7e... | 2019/01/10 16:49:46 | PE32 executable (DLL) (GUI) Intel 80386 | 53/66 |
ed03cfcc8... | 2019/01/10 17:17:22 | PE32 executable (DLL) (GUI) Intel 80386 | 58/69 |
dbc927f7b... | 2019/01/10 18:07:16 | PE32 executable (DLL) (GUI) Intel 80386 | 59/69 |
a4d49eaf6... | 2019/01/10 22:02:30 | PE32 executable (DLL) (GUI) Intel 80386 | 58/69 |
856e92809... | 2019/01/11 06:14:00 | PE32 executable (DLL) (GUI) Intel 80386 | 58/68 |
bc13ea69a... | 2019/01/11 08:24:28 | PE32 executable (DLL) (GUI) Intel 80386 | 55/65 |
bff0aa659... | 2019/01/11 08:40:25 | PE32 executable (DLL) (GUI) Intel 80386 | 57/68 |
fce216145... | 2019/01/11 18:51:25 | PE32 executable (DLL) (GUI) Intel 80386 | 60/69 |
6b5a9da09... | 2019/01/11 18:57:02 | PE32 executable (DLL) (GUI) Intel 80386 | 61/70 |
e223da7a8... | 2019/01/11 20:25:52 | PE32 executable (DLL) (GUI) Intel 80386 | 56/69 |
a499a5cdb... | 2019/01/11 21:34:56 | PE32 executable (DLL) (GUI) Intel 80386 | 61/70 |
e8feae1b8... | 2019/01/11 22:05:19 | PE32 executable (DLL) (GUI) Intel 80386 | 51/70 |
08f7b9282... | 2019/01/11 23:36:41 | PE32 executable (DLL) (GUI) Intel 80386 | 61/70 |
c60268099... | 2019/01/12 00:48:56 | PE32 executable (DLL) (GUI) Intel 80386 | 57/68 |
986b29f80... | 2019/01/12 01:20:01 | PE32 executable (DLL) (GUI) Intel 80386 | 60/70 |
934d80e85... | 2019/01/12 01:33:13 | PE32 executable (DLL) (GUI) Intel 80386 | 52/66 |
cf4f46336... | 2019/01/12 04:26:20 | PE32 executable (DLL) (GUI) Intel 80386 | 59/70 |
eaed8ffed... | 2019/01/12 10:43:10 | PE32 executable (DLL) (GUI) Intel 80386 | 59/68 |
a28cb83a3... | 2019/01/12 14:53:00 | PE32 executable (DLL) (GUI) Intel 80386 | 56/66 |
68c041943... | 2019/01/12 18:38:14 | PE32 executable (DLL) (GUI) Intel 80386 | 56/67 |
9ba5379aa... | 2019/01/13 00:32:48 | PE32 executable (DLL) (GUI) Intel 80386 | 60/69 |
f7b262225... | 2019/01/13 01:14:19 | PE32 executable (DLL) (GUI) Intel 80386 | 59/68 |
学んだこと
Python2 と Python3は別物
Print メソッドの挙動が違う。
# 2系 Print ‘something str’ # 3系 Print(‘something str’) # ()が必須になった
ライブラリが違う
# URL系統を用いるライブラリ # 2系 Import urilib2 # 3系 Import urllib.request Import urllib.error
これからの展望
まとめ
- Python なかなかいいんじゃないかな
- 面倒臭い作業はどんどん自動化しよう
- アンチウイルスソフトが
邪魔して働いてくれた! - マルウェア解析は足元ではなく VM で行おう
開発合宿楽しかったです。 簡単な英単語を間違うくらいには酔っ払いました。はい。