ばぁど・うぉっちんぐ

セキュリティを頑張りたいプログラマ。自由と春を求めて羽ばたく渡り鳥。

ばぁどのハニーポット・うぉっちんぐ - 2018/11/17 ~ 2018/11/23 -

ハニーポット観察日記としての定期アウトプットです。

観察期間:2018年 11月17日 00:00:00 - 11月23日 23:59:59

CVE

CVE 検知した回数
CVE-2017-7269 9
CVE-2016-6563 1

今回、やたら少ないな・・・

以前紹介したCVE記事まとめはこちら

ultrabirdtech.hatenablog.com

攻撃種別

f:id:UltraBirdTech:20181124070706p:plain

攻撃種別 カウント数 %
known attacker 70584 98.44%
bad reputation 1013 1.41%
その他 - -

今回はknown attacker の攻撃回数がとても多かった一週間のようですね。

マルウェア

前回報告した通り、スクリプトは一応完成しました。

github.com

残りは機能改善と、リファクタリングなどです(課題は山積しています)

解析結果

(2018/11/26更新)

マルウェア総数:17個1`個

ファイル名 取得日時 検出率 URL
tmpNeQUaB 2018/11/17 20:03:51 40/57 https://www.virustotal.com/file/2409fb21fe377f7e12dda392f26d7c93b7715239169d362dd907fe499ab38ee9/analysis/1543126971/
tmp8ELU4m 2018/11/18 03:31:43 40/57 https://www.virustotal.com/file/2409fb21fe377f7e12dda392f26d7c93b7715239169d362dd907fe499ab38ee9/analysis/1543126971/
946378b371f1b6aaefc9641b170b5b56dc1ef4f687311077808a0dd6a5b50ccc 2018/11/18 19:01:13 - -
tmpEXP280 2018/11/19 15:49:51 37/56 https://www.virustotal.com/file/94b59b4761147519fecf662cecba7219ac2f70682ae02685081a181758cb705f/analysis/1542400627/
tmpLKTOvS 2018/11/20 02:49:55 38/56 https://www.virustotal.com/file/0636d8749ecb285c293dc533c9b7690ba17ac7902488bf39164129a12d54c1c3/analysis/1542720994/
tmpxestfb 2018/11/20 16:56:03 38/56 https://www.virustotal.com/file/0636d8749ecb285c293dc533c9b7690ba17ac7902488bf39164129a12d54c1c3/analysis/1542720994/
a5a62669414b7e87eef6bf809bae9ee65e3970017e75939e1466cbaa15a9686b 2018/11/20 16:56:09 0/57 https://www.virustotal.com/file/a5a62669414b7e87eef6bf809bae9ee65e3970017e75939e1466cbaa15a9686b/analysis/1542791498/
tmps_WEnz 2018/11/21 00:38:34 38/56 https://www.virustotal.com/file/0636d8749ecb285c293dc533c9b7690ba17ac7902488bf39164129a12d54c1c3/analysis/1542720994/
tmp7PmNBN 2018/11/21 15:14:19 40/56 https://www.virustotal.com/file/02ab39d5ef83ffd09e3774a67b783bfa345505d3cb86694c5b0f0c94980e5ae8/analysis/1542948374/
tmpcAaBK9 2018/11/22 19:51:47 39/57 https://www.virustotal.com/file/7358b6fc402681a3585d7cd69763d4b8f0c3093d746b85a35205b77e5b26e13d/analysis/1543105734/
tmp1K7g9_ 2018/11/23 00:39:45 39/57 https://www.virustotal.com/file/7358b6fc402681a3585d7cd69763d4b8f0c3093d746b85a35205b77e5b26e13d/analysis/1543105734/

(2018/11/26更新)

file コマンド

fileコマンドの結果。

./946378b371f1b6aaefc9641b170b5b56dc1ef4f687311077808a0dd6a5b50ccc: ASCII text, with very long lines
./a5a62669414b7e87eef6bf809bae9ee65e3970017e75939e1466cbaa15a9686b: ASCII text, with very long lines
./tmp1K7g9_:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp7PmNBN:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp8ELU4m:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpEXP280:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpLKTOvS:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpLSkNE7:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpNeQUaB:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpZVtSCx:                                                        empty
./tmpcAaBK9:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmps_WEnz:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpxestfb:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

むむ。今回もshellとperlがありますね。

shellに関しては新しく取得したものです。

perlは前回のものと同じでした。

解析結果が間違っていました。 取得したフォルダが間違っていたようで、なぜか17日以前の情報のみが取得されていたようです。

今回は新しいものとしてパックされたファイルがありました。 こちらも今後解析対象のファイルとして勉強材料にさせていただきます。

所感

マルウェア解析スクリプトも完成したので、少しは時短できたかなと思います。

マルウェア解析スクリプトを改善して、もっといいものにしていくのが直近の課題。

あと、マルウェア解析スクリプトで表が崩れてしまうのなんとかしたいです。

以上です。