最近のボットはVMwareなどの仮想環境を調べて(聞いたのはVMwareのみだが)、ハニーポットを検出するらしい。
てことで、ちとばかし調べてみた。

• Vorträge und Workshops Anti-Honeypot Technology

↑とか他いくつかをさっくり読んでみたけど、つぎのような感じかな？

• • アンチsebek：カーネルモジュールのチェック。LKMのrootkitのチェックと同じ要領か
  • アンチHoneywall：snort-inlineでアウトプットの制限を安全上かけるので、そこからフィンガープリントを得るそうな。(実際に取れると思う)
  • アンチHoneypot:通信時間の遅延、仮想マシン(VMware、UMLetc)の利用の有無、あとはシステムを使い込んでるかでも分かると思う。

メモ用・WEBリンク

• Vorträge und Workshops Anti-Honeypot Technology
• http://www.securityfocus.com/infocus/1803
• http://www.securityfocus.com/infocus/1805

まだまだ、色々出てきそうだ。調べたら面白いかも。