setodaNote

忘れる用のメモ書き

ThreatWar:ハニーポットなどの検知状況がリアルタイムに更新されていて検体DLもできるサイト

概要

ハニーポットのログに記録されていたID/パスワードについて調べていた際に ThreatWar というサイトを見つけた。 ハニーポットで検知したログなどが公開されていサイトのようで、 SSH試行された ID/パスワードに加えてそれに紐づく実行コマンドや Proxy リクエスト、検体などの情報がリアルタイムに更新されていた。

 

TreatWar ( https://threatwar.com )

f:id:soji256:20180828172250p:plain

 

検体については攻撃者がハニーポット上で wget したものなどを集めているようで、VirusTotal にあがっていないものもいくつかあった。 概要ページのURLが SHA256 になっているのであるかないかの確認くらいなら容易にできそう。 また、ログインすることでダウンロードができる模様。

ThreatWar について

サイトにある About によれば、セキュリティに関する研究プロジェクトということのようだが、 タイトルで調べても運営者の情報はまったく出てこず、どんな背景のあるサイトなのかは不明だった。

ThreatWar is a security research project focused on honeypot data and malicious activity on the internet.

サイトで取得しているのは以下の情報。

  • SSH Attacks
  • SSH Proxy requests
  • Linux Malware
  • ElasticSearch honeypot requests
  • FTP honeypot requests
  • Generic web server honeypot requests

ThreatWar に類似のサイト

「ThreatWar」で検索してもサイトに記載されている以外の情報は見つけられなかったが、 少し調べ方を変えると、同じようなディレクトリ構造をしているサイトが見つかった。(個人のサイトにつながるので詳細は割愛。)

その時点で既にアクセスできない状態になっていたが、タイトルから作成者と思われる個人サイトが分かった。 個人サイトの説明によると、作者はセキュリティに感心のある開発者でハニーポットサイトは Go と Rails で作られているとのこと。 github には関連すると思われるソースコードもあげられていた。

ただ、ThreatWar についての記載は見つけられず関連は不明。

出自が不明なのでご利用は慎重に

検索機能はないものの、ハニーポットのログがリアルタイムに更新されているのは利用方法によっては楽しそう。 ログインについては出自が不明なサイトなのでご利用は慎重に。