どーも。ばぁどです。

念願だったマルウェア解析スクリプトがついに完成しました。 （ソースコード公開していますが、ファイルパスとか独自のものなので、そのままは使えないと思います！）

github.com

初めてのPython。 ほぼ、初めてのshellscript。

なんかプログラマとしてそれ以前に考慮しなきゃいけないところとかあるのですが・・・

ファイル名微妙だし、ソースコードの中身はすごい汚いし、コメントも入ってないので、これから随時リファクタリングなどを行なっていきます。

一旦、スクリプトが完成したのでその共有でした。

次回の観察日誌からマルウェアの解析結果を載せることができそうです。

開発TIPS

Virus total

今回はVirus totalのAPIを使用しました。

developers.virustotal.com

file-report以外にもエンドポイントがあるみたいなので、そちらの方が良ければ、そっち使います。

Virus totalのAPIは1分間におけるAPIの使用回数があるので、4回実行したら一度60秒以上待つ必要があります。（ソースコード中は65秒で設定）

実行結果の例(2018年11月23日19:00 現在)

# python check.py 
START SCRIPT
[LOG] Check: tmpfQnHEL
[LOG] Check: tmpe4ebw9
[LOG] Check: tmpKZEhAq
[LOG] Check: b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6
[LOG] Sleep 65 seconds.
[LOG] Check: tmpiBhhlP
[LOG] Check: tmpyl2ld4
[LOG] Check: tmpeXn97K
[LOG] Check: tmpKWk7Vv
[LOG] Sleep 65 seconds.
[LOG] Check: 872950739d98fdb6385e024e2bb3b8879e4e9387a4afc4a8a69b7f309b13279f
===================[LOG] FAILED API======================
{u'response_code': 0, u'resource': u'872950739d98fdb6385e024e2bb3b8879e4e9387a4afc4a8a69b7f309b13279f', u'verbose_msg': u'The requested resource is not among the finished, queued or pending scans'}
[LOG] Check: 2b5ce510a3d9a2ac1b3638bd32944cdc125d9c53f87c4d10ac4852f12683be05
[LOG] Check: tmpFAKOif
[LOG] Check: tmprusSbe
[LOG] Sleep 65 seconds.
[LOG] Check: tmpbTUvYJ
[LOG] Check: tmpNy7R6x
[LOG] Check: tmp84HPF3
[LOG] Check: tmpAQ0Gnf
[LOG] Sleep 65 seconds.
[LOG] Check: tmpaKo7_E
[LOG] Check: tmpfXFEXD
[LOG] Check: 79197e90329ff0c84b88e3eaa4f0ce1393bae0df74752272dea84db849798231
[LOG] Check: 9c2848962733846bf50b490fd8f6c7ce9ecade2d3f2f530f5ecbba283af87d3a
[LOG] Sleep 65 seconds.
[LOG] Check: 5685b086ce12ffede8814e303223a67eca476735dfe4e9e84b751354a5ea0232
[LOG] Check: 86fbdd7df9486a17e9c408c7e50635e26402fdf297c9e97f1a5256100401dcc5
[LOG] Check: 5c8c41253aa68adeb955e7d1c7b8e084e06537f75eff12c3f3a0f3cb30cb2152
[LOG] Check: 0ffa9e646e881568c1f65055917547b04d89a8a2150af45faa66beb2733e7427
[LOG] Sleep 65 seconds.
[LOG] Check: tmp1Q7jBF
[LOG] Check: tmp9df5pF
[LOG] Check: tmpApB9Dx
[LOG] Check: tmpC1igwO
[LOG] Sleep 65 seconds.
[LOG] Check: tmp_HKrPu
[LOG] Check: tmp0f4rsH
[LOG] Check: tmpLSkNE7
[LOG] Check: tmpE8bXAp
[LOG] Sleep 65 seconds.
[LOG] Check: f72d5721e2246d68faa22ed9fc7a2b903ff95eb2f7047fe79599cf42e772f138
[LOG] Check: tmpA3Cj85
[LOG] Check: tmp8khfH6
[LOG] Check: tmpZVtSCx
[LOG] Sleep 65 seconds.
[LOG] Check: tmpM771xe
[LOG] Check: tmpdvxYCI
[LOG] Check: tmpLZDt81
[LOG] Check: tmpJDc7Zr
[LOG] Sleep 65 seconds.
END SCRIPT

なにやら一つだけVirus totalでは解析できないものがあるなぁ。 調べるか。

解析結果

取り急ぎ、前回分までのマルウェアの解析結果。

取得日時: 11月4日 〜 11月16日分 マルウェア総数：40個

file コマンド

ついでにfileコマンドの結果。本当は上記の表に加えたい。

./0ffa9e646e881568c1f65055917547b04d89a8a2150af45faa66beb2733e7427: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
./2b5ce510a3d9a2ac1b3638bd32944cdc125d9c53f87c4d10ac4852f12683be05: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
./5685b086ce12ffede8814e303223a67eca476735dfe4e9e84b751354a5ea0232: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
./5c8c41253aa68adeb955e7d1c7b8e084e06537f75eff12c3f3a0f3cb30cb2152: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
./79197e90329ff0c84b88e3eaa4f0ce1393bae0df74752272dea84db849798231: a /usr/bin/perl script executable (binary data)
./86fbdd7df9486a17e9c408c7e50635e26402fdf297c9e97f1a5256100401dcc5: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
./872950739d98fdb6385e024e2bb3b8879e4e9387a4afc4a8a69b7f309b13279f: ASCII text
./9c2848962733846bf50b490fd8f6c7ce9ecade2d3f2f530f5ecbba283af87d3a: ELF 32-bit LSB executable, ARM, version 1 (ARM), statically linked, stripped
./b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6: Bourne-Again shell script executable (binary data)
./f72d5721e2246d68faa22ed9fc7a2b903ff95eb2f7047fe79599cf42e772f138: a /usr/bin/perl script executable (binary data)
./tmp0f4rsH:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp1Q7jBF:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp84HPF3:                                                        empty
./tmp8khfH6:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp9df5pF:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpA3Cj85:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpAQ0Gnf:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpApB9Dx:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpC1igwO:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpE8bXAp:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpFAKOif:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpJDc7Zr:                                                        empty
./tmpKWk7Vv:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpKZEhAq:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpLSkNE7:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpLZDt81:                                                        empty
./tmpM771xe:                                                        empty
./tmpNy7R6x:                                                        empty
./tmpZVtSCx:                                                        empty
./tmp_HKrPu:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpaKo7_E:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpbTUvYJ:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpdvxYCI:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpe4ebw9:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpeXn97K:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpfQnHEL:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpfXFEXD:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpiBhhlP:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmprusSbe:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpyl2ld4:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

Virus Totalでは解析できなかったやつ

ファイル名：872950739d98fdb6385e024e2bb3b8879e4e9387a4afc4a8a69b7f309b13279f

fileコマンドの結果

./872950739d98fdb6385e024e2bb3b8879e4e9387a4afc4a8a69b7f309b13279f: ASCII text

中身

※ウイルスというか単なるコマンドだったので大丈夫だよね？（問題あれば消します）

cd /tmp/
./udp25000&
/etc/init.d/iptables stop

/tmpフォルダ下に移動して、udpをどうにかしようとしているのか？（わからない）

iptablesをストップさせようとしているのはわかった。

悪い子ですね。

そりゃスクリプト記述されているだけなんだから、VirusTotalで解析できるわけがないや。

まとめ

今回はスクリプト完成のご報告。

次回からマルウェアの解析結果も掲載できます。

今は最低限の情報しか掲載していないので、今後スクリプトで情報を追加していきます。

ばぁどです。

僕が運用しているハニーポットにShell Scriptが置かれていることを観測しました。

マルウェアも観測し始めて二週間くらいなのですが、やっとなんの苦労もせずに中身の処理が読み解けるマルウェアを置いてもらえました。ありがとうございます。

shell script の勉強の意味も含めて読み解いた結果をアウトプットします。

結論

少し長くなるので、最初に私が読み解いた本shellscriptの目的です。

ラズベリーパイを狙ったshellscriptのように思えました。 理由は/home/piと言うラズベリーパイを使用する際に用いられるユーザー名が実在することを前提にした記述がいくつか見ることができたからです。

また、Bot攻撃を仕掛けるshellscript のようです。

表層解析

何はともかく、file コマンドでファイルの種類を調査。

$file shellscript.sh
shellscript.sh: Bourne-Again shell script executable (binary data)

はい、shellscript であることを確認。view でファイルの中身をのぞいてみます。

ShellScriptがやっていたこと

1. 現在のファイルパスの取得(realpath $0の実行)

まず行なっていたのは現在マルウェア自身がシステムのどこにあるかを取得しておりました。

realpathはLinux のコマンド。$0は、ShellScriptの特殊変数で、ファイル自身を指し示しています。

なのでrealpath $0で、そのファイル自身のパスがどこかを設定しているんですね。

2. 管理者権限かどうかの確認("$EUID -ne 0)

シェルスクリプトを実行しているアカウントが管理者権限かどうかをチェックしています。 shellscript内では管理者権限を持っている / 持っていないで作業が分岐するように書かれていました。

$EUIDは特殊変数。$EUIDが0であれば管理者権限と言うことを意味している。

-neは等しくない時が真なので、管理者権限でなければ、if内の処理(3a)、管理者権限であればelse句の処理(3b)に入ります。

3a. 管理者権限でなかった場合の処理

3a-1. tempファイルの作成

Linuxのmktempコマンドでtempファイル(一時ファイル)を作成する。

3a-2. /opt 下に移動

cpコマンドを利用して、3a-1で作成した一時ファイルを/opt下に移動する。

3a-3. /etc/rc.local にecho で文字列を書き込む。

/etc/rc.localファイルは「Linuxの起動時に実行する処理」を記述するファイル。 編集するにはroot権限が必要だが、sudo sh -cとしているため、ファイルは記述されるようにしている模様。

主に3a-2で/opt下に移動した一時ファイルを実行するように記述している。

3a-4. reboot!!!

sleepを挟んで、rebootしています。 rebootするのは設定ファイルを/etc/rc.localに書き込んだ設定を読み込んでroot権限で実行するためですかね。

root権限で実行されれば、次は3b に処理が進むと言うことでしょうか。

怖い・・・

3b. 管理者権限であった場合の処理

3b-1. killallの連打

killallが連打されています。

nodejsだったり、parlの処理を殺しています。

おそらくこのシェルスクリプトが動くために邪魔なプロセスを殺しているように見えます。

ここら辺止めておけば、他に変なプロセスが動いていても本shellscriptの動作に影響を出さないと言うことですかね。

3b-2. /etc/hostsの上書き

/etc/hostsファイルを上書きしています。

etc/hostsファイルはIPアドレスとドメインを内部的に紐づけるものであり、例えば127.0.0.1をgoogle.co.jpと紐づけて、ブラウザに127.0.0.1と入力すればgoogleに飛ばすこともできます。

今回は127.0.0.1をXXXX.deutschland-XXXXXXX.euに繋ごうとしていました。(マスクしています。推測してブラウザに打ち込まないでくださいね。相手に自分の居場所(IPアドレス)教えているようなものなので。）

deutschlandはドイツですね。.euと言うドメインは欧州を指しています。 もしかしたらドイツの人からの贈り物？もしくは、ドイツのサイトに誘導しようとしているみたいです。

ドイツからの贈り物ならソーセージとビールも嬉しいですね。

3b-3. .bashrc の削除

rootおよび、piユーザーの.bashrcを削除しています。

home/piはラズベリーパイのユーザーのようですね。

以上のことから、このshellscriptはラズベリーパイで動作することも考慮に入れているかもしれないと言うことがわかりますね。

3b-4 home/piのパスワードを変更

usermod -pコマンドで、ラズベリーパイのユーザーのパスワードを変更しています。

怖いですね。

3b-5 ssh key の登録

次にroot権限で、ssh できるように下準備を行なっています。

root下に、/.sshフォルダを作成し、認証キーを登録しています。

3b-6. Bot攻撃のスクリプト

このshellscriptの目的が見えてきました。

理由は、Botと言う変数名が登場したからです。

そしてその後に続く、コードがどこかをBot攻撃するような処理が記述されておりました。

3b-7. 攻撃スクリプトの権限変更

chmodを利用して、3b-6で生成した攻撃スクリプトに実行権限を与えています。

3b-8. logを消す

shellscript実行時に出る実行ログを消しています。

3b-9. 自己感染する

while句を使って繰り返し、同じようなサーバーに本shellscriptを置くようなスクリプトが書いてあります。

いわゆる、自己感染ですね。

これでファイル自体の処理は終わりです。

まとめ

本shellscriptの目的は下記なのではないかと推測できました。 * Rasberypi を狙ったもの * Rasberypiに感染して、Bot攻撃を行う * 自己感染能力を持つ

なかなか怖いことをやっていました。

所感

今回、初めてハニーポットに置かれたshellscriptを読み解くことができました。

読み解くことができるshellscriptが置かれるのは、初めての経験で少し興奮驚愕してしまいました。

わーーーーーーーーーーーーーー！！！！なんか初めてviewで観れる不正ファイル置いてもらえた！！！わーー！！shellscriptだー！お兄さん興奮してきちゃったよ。

— ばぁど (@UltraBirdTech) 2018年11月3日

shellscriptは新卒の会社の研修で少し触って以来、あまり業務でも読む機会、書く機会には恵まれませんでした。

このようなキッカケがあり、勉強しながら読み解くと言う作業を進めることができました。

また、検索してみると同じshellscriptを発見して同じようにブログにされている方もいらっしゃいました。（中にはソースコードそのまま全部載せている人がいたので少し怖いなー・・・とは思いました） 私が読み解いた結果は、それらのブログと照らし合わせて答え合わせしていこうかなと思います。

以上です。ありがとうございました。

どーも。ばぁどです。

諸事情ありまして、10月の1ヶ月はニートしておりました。 驚愕の33連休でした。 明日から社会復帰（仕事）です。

今回は1ヶ月ニートしてみて、感じたことをつらつらとまとめて行きます。

感じたこと

収益がない

収入がありません（当たり前） 日々不安に煽られます。いつも以上に銀行の通帳を確認しますね。

お金が入らないという不安を抱え、これがいつまで続くのだろうという不安に感じつつ、遊び呆ける一ヶ月でした。

堕落する

はい。堕落します。

学生時代を考えれば分かるのですが、講義もバイトもない日は、いつ起きてもいいやといういい加減な感じになります。

それを打破するために、朝6:00に英会話入れて、そのあとジムに行くなど悪あがき的なことはしていたのですが、あまり実行はできなかったですね（アハハ

もっとストイックに生きたい。

挑戦してみたこと・やってみたこと

遊び呆けました

平日休みの友達に片っ端から連絡をして、遊びに行きました。 横浜、鎌倉、秩父など日帰りですが、充実した平日を過ごすことができました。

平日ってどこも空いているんですね。本当に空いててストレスフリーでした。

また、会社終わりや休日に飲みに付き合ってくれた友人もおりました。 しゃべることで軽減されるストレスもありますね。 すごい助かりました。ありがとうございました。

勉強もしました

主にセキュリティを中心に勉強しました。 上旬は技術書典にサークル参加してみました。 中旬はハニーポットでの攻撃調査、下旬はマルウェア解析などを行なっていました。

もう少し一日引きこもって勉強する日があってもよかったなーと少し反省。

海外旅行

これが一番の挑戦点です。 人生、二度目、三度目の海外旅行をしました。 行き先は、香港とシンガポール。

香港は、香港ディズニーが目的。

シンガポールは英会話を一年半続けた自分へのご褒美と自分の英語力を図るためです。（シンガポールは治安がいいというのが一番の理由ですが笑）

あと海外旅行というのは少しこだわりがあって、大学時代にあまり行けなかったからというのもあります。

大学時代は夏と春に長期休暇があったのですが、当時あまり海外に興味を持っておらず大学3年の夏にインドに行っただけでした。 もっと学生時代に色々と世界中を見ていたら今の価値観とか変わっていたのかなーと少し思っております。

今回の海外旅行で学んだことは下記2点。

• 海外旅行はハードル高くない
• 海外旅行程度の英語力はあった

これらが学びとして落とし込めただけで花丸ですね。

もう少し英語頑張って、海外移住とかも選択肢として入るレベルまで頑張りたいです。

とても有意義な海外旅行でした。 次はオーストラリア、カナダ行ってみたい。

まとめ

色々とやりたいことをやった1ヶ月でした。 まだやり足りないことばかりなのが少し後悔。

まぁ人生、やりたいことをやったほうがいいですね。 幸い今の自分は背負っているものがないし、結婚なども全く予定にないので、まだしばらく自由に羽ばたこうと思います。

やりたいことをやろう。

「私は好きにした、君らも好きにしろ。」

さて明日から仕事だ。頑張ろう。