定期アウトプットです。
観察期間:2018年 11月10日 00:00:00 - 11月16日 23:59:59
CVE
| CVE | 検知した回数 |
|---|---|
| CVE-2017-7269 | 10 |
| CVE-2003-0818 | 7 |
| CVE-2005-4050 | 6 |
| CVE-1999-0183 | 1 |
| CVE-2014-3566 | 1 |
以前紹介したCVE記事まとめはこちら
攻撃種別
| 攻撃種別 | カウント数 | % |
|---|---|---|
| known attacker | 50308 | 90.72% |
| bad reputation | 3514 | 6.34% |
| malware | 1234 | 2.23% |
| その他 | - | - |
マルウェア
現在、スクリプトを作成中です。 スクリプトがあと一歩で完成します。完成できれば時短できそう。
取得したマルウェア
これにVIrustotalの結果URLを貼り付けたい。
| 取得日時 | マルウェ名 | バイト数 |
|---|---|---|
| 11月 11 03:32 | tmp1Q7jBF | 625867 |
| 11月 11 20:10 | tmp9df5pF | 625867 |
| 11月 12 03:31 | tmpC1igwO | 625867 |
| 11月 12 19:38 | tmpApB9Dx | 625867 |
| 11月 13 03:32 | tmp_HKrPu | 625867 |
| 11月 13 20:13 | tmp0f4rsH | 625867 |
| 11月 14 03:32 | tmpLSkNE7 | 625867 |
| 11月 14 20:47 | tmpE8bXAp | 625867 |
| 11月 14 21:05 | f72d5721e2246d68faa22ed9fc7a2b903ff95eb2f7047fe79599cf42e772f138 | 34707 |
| 11月 15 03:32 | tmpA3Cj85 | 625867 |
| 11月 15 19:36 | b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6 | 4746 |
| 11月 15 13:49 | tmp8khfH6 | 625867 |
| 11月 16 03:11 | tmpZVtSCx | 0 |
| 11月 16 03:31 | tmpM771xe | 0 |
| 11月 16 03:50 | tmpdvxYCI | 625867 |
| 11月 16 06:13 | tmpLZDt81 | 0 |
| 11月 16 21:19 | tmpJDc7Zr | 0 |
file コマンド
一応、fileコマンドの結果。
./b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6: Bourne-Again shell script executable (binary data) ./f72d5721e2246d68faa22ed9fc7a2b903ff95eb2f7047fe79599cf42e772f138: a /usr/bin/perl script executable (binary data) ./tmp0f4rsH: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmp1Q7jBF: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmp8khfH6: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmp9df5pF: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpA3Cj85: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpApB9Dx: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpC1igwO: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpE8bXAp: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpJDc7Zr: empty ./tmpLSkNE7: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpLZDt81: empty ./tmpM771xe: empty ./tmpZVtSCx: empty ./tmp_HKrPu: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpdvxYCI: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
shellscriptとperlスクリプトがありますね。 shellscriptは下記記事と同じものだと言うことを確認。
perlの方は初めて置かれることを確認したやつですね。 少し覗いてみましたが、perlがわからないのでちんぷんかんぷん。
ただ、中身を見ると最初のコメントのところでDDosと書かれていたので、DDos攻撃を目的とするマルウェアのようです。
今度perlの勉強がてら再トライしてみようと思います。
所感
今回から、一週間でハニーポットなんの攻撃が多かったかの情報も載せるようにしました。 レポートまとめるなら工数15分くらいで収まる程度にしていきたい。
以上です。
