ハニーポット観察日記としての定期アウトプットです。

観察期間：2018年 11月24日 00:00:00 - 11月30日 23:59:59

CVE

CVE-2005-4050が165回もありますね。 あとは久々に新しいCVEがありました。

以前紹介したCVE記事まとめはこちら

ultrabirdtech.hatenablog.com

CVE-2015-1427

CVESCORE

7.5

概要

The Groovy scripting engine in Elasticsearch before 1.3.8 and 1.4.x before 1.4.3 allows remote attackers to bypass the sandbox protection mechanism and execute arbitrary shell commands via a crafted script.

Elasticsearchの脆弱性のようです。 shell コマンドが実行される可能性がある。

評価値

www.cvedetails.com

JVN

JVNDB-2015-001538 - JVN iPedia - 脆弱性対策情報データベース

セキュリティニュース

CVE-2015-1427 ElasticSearch Search Groovy Sandbox Bypass | Rapid7

攻撃種別

マルウェア

Total: 9

所感

集計結果を出す時間を測るの忘れた・・・・ 工数計算しなければ。

というよりは、マルウェア解析はスクリプトは大丈夫なのだが、zipファイルが想定しているものが来ない・・・ まだ調整が必要そうです。

どーも。ばぁどです。

念願だったマルウェア解析スクリプトがついに完成しました。 （ソースコード公開していますが、ファイルパスとか独自のものなので、そのままは使えないと思います！）

github.com

初めてのPython。 ほぼ、初めてのshellscript。

なんかプログラマとしてそれ以前に考慮しなきゃいけないところとかあるのですが・・・

ファイル名微妙だし、ソースコードの中身はすごい汚いし、コメントも入ってないので、これから随時リファクタリングなどを行なっていきます。

一旦、スクリプトが完成したのでその共有でした。

次回の観察日誌からマルウェアの解析結果を載せることができそうです。

開発TIPS

Virus total

今回はVirus totalのAPIを使用しました。

developers.virustotal.com

file-report以外にもエンドポイントがあるみたいなので、そちらの方が良ければ、そっち使います。

Virus totalのAPIは1分間におけるAPIの使用回数があるので、4回実行したら一度60秒以上待つ必要があります。（ソースコード中は65秒で設定）

実行結果の例(2018年11月23日19:00 現在)

# python check.py 
START SCRIPT
[LOG] Check: tmpfQnHEL
[LOG] Check: tmpe4ebw9
[LOG] Check: tmpKZEhAq
[LOG] Check: b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6
[LOG] Sleep 65 seconds.
[LOG] Check: tmpiBhhlP
[LOG] Check: tmpyl2ld4
[LOG] Check: tmpeXn97K
[LOG] Check: tmpKWk7Vv
[LOG] Sleep 65 seconds.
[LOG] Check: 872950739d98fdb6385e024e2bb3b8879e4e9387a4afc4a8a69b7f309b13279f
===================[LOG] FAILED API======================
{u'response_code': 0, u'resource': u'872950739d98fdb6385e024e2bb3b8879e4e9387a4afc4a8a69b7f309b13279f', u'verbose_msg': u'The requested resource is not among the finished, queued or pending scans'}
[LOG] Check: 2b5ce510a3d9a2ac1b3638bd32944cdc125d9c53f87c4d10ac4852f12683be05
[LOG] Check: tmpFAKOif
[LOG] Check: tmprusSbe
[LOG] Sleep 65 seconds.
[LOG] Check: tmpbTUvYJ
[LOG] Check: tmpNy7R6x
[LOG] Check: tmp84HPF3
[LOG] Check: tmpAQ0Gnf
[LOG] Sleep 65 seconds.
[LOG] Check: tmpaKo7_E
[LOG] Check: tmpfXFEXD
[LOG] Check: 79197e90329ff0c84b88e3eaa4f0ce1393bae0df74752272dea84db849798231
[LOG] Check: 9c2848962733846bf50b490fd8f6c7ce9ecade2d3f2f530f5ecbba283af87d3a
[LOG] Sleep 65 seconds.
[LOG] Check: 5685b086ce12ffede8814e303223a67eca476735dfe4e9e84b751354a5ea0232
[LOG] Check: 86fbdd7df9486a17e9c408c7e50635e26402fdf297c9e97f1a5256100401dcc5
[LOG] Check: 5c8c41253aa68adeb955e7d1c7b8e084e06537f75eff12c3f3a0f3cb30cb2152
[LOG] Check: 0ffa9e646e881568c1f65055917547b04d89a8a2150af45faa66beb2733e7427
[LOG] Sleep 65 seconds.
[LOG] Check: tmp1Q7jBF
[LOG] Check: tmp9df5pF
[LOG] Check: tmpApB9Dx
[LOG] Check: tmpC1igwO
[LOG] Sleep 65 seconds.
[LOG] Check: tmp_HKrPu
[LOG] Check: tmp0f4rsH
[LOG] Check: tmpLSkNE7
[LOG] Check: tmpE8bXAp
[LOG] Sleep 65 seconds.
[LOG] Check: f72d5721e2246d68faa22ed9fc7a2b903ff95eb2f7047fe79599cf42e772f138
[LOG] Check: tmpA3Cj85
[LOG] Check: tmp8khfH6
[LOG] Check: tmpZVtSCx
[LOG] Sleep 65 seconds.
[LOG] Check: tmpM771xe
[LOG] Check: tmpdvxYCI
[LOG] Check: tmpLZDt81
[LOG] Check: tmpJDc7Zr
[LOG] Sleep 65 seconds.
END SCRIPT

なにやら一つだけVirus totalでは解析できないものがあるなぁ。 調べるか。

解析結果

取り急ぎ、前回分までのマルウェアの解析結果。

取得日時: 11月4日 〜 11月16日分 マルウェア総数：40個

file コマンド

ついでにfileコマンドの結果。本当は上記の表に加えたい。

./0ffa9e646e881568c1f65055917547b04d89a8a2150af45faa66beb2733e7427: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
./2b5ce510a3d9a2ac1b3638bd32944cdc125d9c53f87c4d10ac4852f12683be05: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
./5685b086ce12ffede8814e303223a67eca476735dfe4e9e84b751354a5ea0232: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
./5c8c41253aa68adeb955e7d1c7b8e084e06537f75eff12c3f3a0f3cb30cb2152: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
./79197e90329ff0c84b88e3eaa4f0ce1393bae0df74752272dea84db849798231: a /usr/bin/perl script executable (binary data)
./86fbdd7df9486a17e9c408c7e50635e26402fdf297c9e97f1a5256100401dcc5: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
./872950739d98fdb6385e024e2bb3b8879e4e9387a4afc4a8a69b7f309b13279f: ASCII text
./9c2848962733846bf50b490fd8f6c7ce9ecade2d3f2f530f5ecbba283af87d3a: ELF 32-bit LSB executable, ARM, version 1 (ARM), statically linked, stripped
./b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6: Bourne-Again shell script executable (binary data)
./f72d5721e2246d68faa22ed9fc7a2b903ff95eb2f7047fe79599cf42e772f138: a /usr/bin/perl script executable (binary data)
./tmp0f4rsH:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp1Q7jBF:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp84HPF3:                                                        empty
./tmp8khfH6:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp9df5pF:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpA3Cj85:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpAQ0Gnf:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpApB9Dx:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpC1igwO:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpE8bXAp:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpFAKOif:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpJDc7Zr:                                                        empty
./tmpKWk7Vv:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpKZEhAq:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpLSkNE7:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpLZDt81:                                                        empty
./tmpM771xe:                                                        empty
./tmpNy7R6x:                                                        empty
./tmpZVtSCx:                                                        empty
./tmp_HKrPu:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpaKo7_E:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpbTUvYJ:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpdvxYCI:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpe4ebw9:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpeXn97K:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpfQnHEL:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpfXFEXD:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpiBhhlP:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmprusSbe:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpyl2ld4:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

Virus Totalでは解析できなかったやつ

ファイル名：872950739d98fdb6385e024e2bb3b8879e4e9387a4afc4a8a69b7f309b13279f

fileコマンドの結果

./872950739d98fdb6385e024e2bb3b8879e4e9387a4afc4a8a69b7f309b13279f: ASCII text

中身

※ウイルスというか単なるコマンドだったので大丈夫だよね？（問題あれば消します）

cd /tmp/
./udp25000&
/etc/init.d/iptables stop

/tmpフォルダ下に移動して、udpをどうにかしようとしているのか？（わからない）

iptablesをストップさせようとしているのはわかった。

悪い子ですね。

そりゃスクリプト記述されているだけなんだから、VirusTotalで解析できるわけがないや。

まとめ

今回はスクリプト完成のご報告。

次回からマルウェアの解析結果も掲載できます。

今は最低限の情報しか掲載していないので、今後スクリプトで情報を追加していきます。

ばぁどです。

僕が運用しているハニーポットにShell Scriptが置かれていることを観測しました。

マルウェアも観測し始めて二週間くらいなのですが、やっとなんの苦労もせずに中身の処理が読み解けるマルウェアを置いてもらえました。ありがとうございます。

shell script の勉強の意味も含めて読み解いた結果をアウトプットします。

結論

少し長くなるので、最初に私が読み解いた本shellscriptの目的です。

ラズベリーパイを狙ったshellscriptのように思えました。 理由は/home/piと言うラズベリーパイを使用する際に用いられるユーザー名が実在することを前提にした記述がいくつか見ることができたからです。

また、Bot攻撃を仕掛けるshellscript のようです。

表層解析

何はともかく、file コマンドでファイルの種類を調査。

$file shellscript.sh
shellscript.sh: Bourne-Again shell script executable (binary data)

はい、shellscript であることを確認。view でファイルの中身をのぞいてみます。

ShellScriptがやっていたこと

1. 現在のファイルパスの取得(realpath $0の実行)

まず行なっていたのは現在マルウェア自身がシステムのどこにあるかを取得しておりました。

realpathはLinux のコマンド。$0は、ShellScriptの特殊変数で、ファイル自身を指し示しています。

なのでrealpath $0で、そのファイル自身のパスがどこかを設定しているんですね。

2. 管理者権限かどうかの確認("$EUID -ne 0)

シェルスクリプトを実行しているアカウントが管理者権限かどうかをチェックしています。 shellscript内では管理者権限を持っている / 持っていないで作業が分岐するように書かれていました。

$EUIDは特殊変数。$EUIDが0であれば管理者権限と言うことを意味している。

-neは等しくない時が真なので、管理者権限でなければ、if内の処理(3a)、管理者権限であればelse句の処理(3b)に入ります。

3a. 管理者権限でなかった場合の処理

3a-1. tempファイルの作成

Linuxのmktempコマンドでtempファイル(一時ファイル)を作成する。

3a-2. /opt 下に移動

cpコマンドを利用して、3a-1で作成した一時ファイルを/opt下に移動する。

3a-3. /etc/rc.local にecho で文字列を書き込む。

/etc/rc.localファイルは「Linuxの起動時に実行する処理」を記述するファイル。 編集するにはroot権限が必要だが、sudo sh -cとしているため、ファイルは記述されるようにしている模様。

主に3a-2で/opt下に移動した一時ファイルを実行するように記述している。

3a-4. reboot!!!

sleepを挟んで、rebootしています。 rebootするのは設定ファイルを/etc/rc.localに書き込んだ設定を読み込んでroot権限で実行するためですかね。

root権限で実行されれば、次は3b に処理が進むと言うことでしょうか。

怖い・・・

3b. 管理者権限であった場合の処理

3b-1. killallの連打

killallが連打されています。

nodejsだったり、parlの処理を殺しています。

おそらくこのシェルスクリプトが動くために邪魔なプロセスを殺しているように見えます。

ここら辺止めておけば、他に変なプロセスが動いていても本shellscriptの動作に影響を出さないと言うことですかね。

3b-2. /etc/hostsの上書き

/etc/hostsファイルを上書きしています。

etc/hostsファイルはIPアドレスとドメインを内部的に紐づけるものであり、例えば127.0.0.1をgoogle.co.jpと紐づけて、ブラウザに127.0.0.1と入力すればgoogleに飛ばすこともできます。

今回は127.0.0.1をXXXX.deutschland-XXXXXXX.euに繋ごうとしていました。(マスクしています。推測してブラウザに打ち込まないでくださいね。相手に自分の居場所(IPアドレス)教えているようなものなので。）

deutschlandはドイツですね。.euと言うドメインは欧州を指しています。 もしかしたらドイツの人からの贈り物？もしくは、ドイツのサイトに誘導しようとしているみたいです。

ドイツからの贈り物ならソーセージとビールも嬉しいですね。

3b-3. .bashrc の削除

rootおよび、piユーザーの.bashrcを削除しています。

home/piはラズベリーパイのユーザーのようですね。

以上のことから、このshellscriptはラズベリーパイで動作することも考慮に入れているかもしれないと言うことがわかりますね。

3b-4 home/piのパスワードを変更

usermod -pコマンドで、ラズベリーパイのユーザーのパスワードを変更しています。

怖いですね。

3b-5 ssh key の登録

次にroot権限で、ssh できるように下準備を行なっています。

root下に、/.sshフォルダを作成し、認証キーを登録しています。

3b-6. Bot攻撃のスクリプト

このshellscriptの目的が見えてきました。

理由は、Botと言う変数名が登場したからです。

そしてその後に続く、コードがどこかをBot攻撃するような処理が記述されておりました。

3b-7. 攻撃スクリプトの権限変更

chmodを利用して、3b-6で生成した攻撃スクリプトに実行権限を与えています。

3b-8. logを消す

shellscript実行時に出る実行ログを消しています。

3b-9. 自己感染する

while句を使って繰り返し、同じようなサーバーに本shellscriptを置くようなスクリプトが書いてあります。

いわゆる、自己感染ですね。

これでファイル自体の処理は終わりです。

まとめ

本shellscriptの目的は下記なのではないかと推測できました。 * Rasberypi を狙ったもの * Rasberypiに感染して、Bot攻撃を行う * 自己感染能力を持つ

なかなか怖いことをやっていました。

所感

今回、初めてハニーポットに置かれたshellscriptを読み解くことができました。

読み解くことができるshellscriptが置かれるのは、初めての経験で少し興奮驚愕してしまいました。

わーーーーーーーーーーーーーー！！！！なんか初めてviewで観れる不正ファイル置いてもらえた！！！わーー！！shellscriptだー！お兄さん興奮してきちゃったよ。

— ばぁど (@UltraBirdTech) 2018年11月3日

shellscriptは新卒の会社の研修で少し触って以来、あまり業務でも読む機会、書く機会には恵まれませんでした。

このようなキッカケがあり、勉強しながら読み解くと言う作業を進めることができました。

また、検索してみると同じshellscriptを発見して同じようにブログにされている方もいらっしゃいました。（中にはソースコードそのまま全部載せている人がいたので少し怖いなー・・・とは思いました） 私が読み解いた結果は、それらのブログと照らし合わせて答え合わせしていこうかなと思います。

以上です。ありがとうございました。