９月の終り頃に話題になっていた最近よく利用されているといわれているexploitpackの一つCRiMEPACKに付属しているdeny listについて調べてみました。
これは何用のリストかというと、構築した攻撃サイトに対して、ハニーポットやクローラーなどを利用して調査、解析を行おうとする捜査機関、アナリスト、セキュリティ関連企業からのアクセスをブロックするために利用されるものです。
リストの中身は/32のIPアドレスの羅列です。一部のGoogle bot関連のみ/24。
このリストを下記のようなスクリプトを使って、iptablesに設定してアクセスをブロックするようです。
意外と地味です。

で、その後述ですが、
このリストを見てふと思い出したリストがあってそれとマッチングしてヒットしたものにOLDというフラグつけてます。
そのリストというのは一年以上前に、地下？コミュニティでやりとりされていた
「ハニーポットリスト」
の一つです。
ハニーポットを使ってbot/botnetをあぶり出そうぜの向こう側で、ハニーポットをあぶり出してやろうぜということが行われていました。たぶんもっと前から、そして今も。
で、そのリストの一つと今回のリストをマッチングさせた結果100%ヒットしました。
それ以外の部分については該当のリストを見つけることができなかったのですが、ハニーポットっぽくないもので目立つのが、

• セキュリティ関連会社のシステム
• クローラー
• anonymizer関連（proxy/torなど）

です。
クローラー（googleとwebsense）を気にしてますかね。
これらに関しても世界には様々なリストがあるので、そういったものをつかっていのかもしれません。また、この結果からみても、リスト上のその他のアドレスもハニーポット、クローラーで利用されていた（る）可能性が高いアドレスだと思われます。
心当たりがありますか(･o･)ﾉ？

攻撃者は騙されない？ - cNotes: Current Status Notes