20181124 ハニーポット記録
数日間cowrieを動かしてみたので、どんな感じになったのか簡単に書いおく。
動かした期間はだいたい2018/11/15 ~ 2018/11/24(今も稼働中)。
総接続数は約30000ほどで、そのうち14675は同じIPからの通信だった。 どうもMiraiに感染されているらしいけどやたら試行が多い。
ダウンロードされたマルウェアの固体数はだいたい270前後だった。 ハッシュが一致するものはひとつとして数えていて、実際には同じマルウェアが1400回くらいダウンロードされたりしてる。 VirusTotalによるとだいたいがMirai系で、その他はxorddosがいくつかと、BashのIRCボット、PerlのIRCボットが2つくらいだった。 どれか解析したい。 一度配布してるマルウェアが変わったサーバがいた、他のやつに感染したんだろうか?
特定のネットワークアドレスのホストから何度も変なアクセスがあって、TCPフォワーディングか何かで検索クエリみたいなアドレスとかがログに残っていた。 どういうアクセスなのかまったく分からなかった。特定のアドレスではなくネットワークアドレスが一致する複数のホストからアクセスされているのも気になった。 Whoisの情報では同じ組織に割り当てられているらしいので、内部で感染拡大したのだろうか?
失敗したコマンドもログに残るようになっているが、構文エラーでダウンロードに失敗しているマルウェアもいた。 可能なものは手動でダウンロードしてきた。 先頭に#!/bin/shがあったので、スクリプトとして保存して実行するつもりだったのかもしれない。
ほとんどはパッキングされていなかったが、いくつかUPXでパックされているものや、簡単な難読化がほどこされているものもあった。 そういうマルウェアは目に見えてVirusTotalでの検知率が低かったのが印象的だった。
実際にどれくらい攻撃がくるのかとかが分かって面白かったので、他のハニポも使っていきたいなあ。