ハニーポット観察日記としての定期アウトプットです。
観察期間:2018年 11月17日 00:00:00 - 11月23日 23:59:59
CVE
CVE | 検知した回数 |
---|---|
CVE-2017-7269 | 9 |
CVE-2016-6563 | 1 |
今回、やたら少ないな・・・
以前紹介したCVE記事まとめはこちら
攻撃種別
攻撃種別 | カウント数 | % |
---|---|---|
known attacker | 70584 | 98.44% |
bad reputation | 1013 | 1.41% |
その他 | - | - |
今回はknown attacker
の攻撃回数がとても多かった一週間のようですね。
マルウェア
前回報告した通り、スクリプトは一応完成しました。
残りは機能改善と、リファクタリングなどです(課題は山積しています)
解析結果
(2018/11/26更新)
マルウェア総数:17個1`個
(2018/11/26更新)
file コマンド
file
コマンドの結果。
./946378b371f1b6aaefc9641b170b5b56dc1ef4f687311077808a0dd6a5b50ccc: ASCII text, with very long lines ./a5a62669414b7e87eef6bf809bae9ee65e3970017e75939e1466cbaa15a9686b: ASCII text, with very long lines ./tmp1K7g9_: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmp7PmNBN: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmp8ELU4m: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpEXP280: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpLKTOvS: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpLSkNE7: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpNeQUaB: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpZVtSCx: empty ./tmpcAaBK9: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmps_WEnz: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped ./tmpxestfb: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
むむ。今回もshellとperlがありますね。
shellに関しては新しく取得したものです。
perlは前回のものと同じでした。
解析結果が間違っていました。 取得したフォルダが間違っていたようで、なぜか17日以前の情報のみが取得されていたようです。
今回は新しいものとしてパックされたファイルがありました。 こちらも今後解析対象のファイルとして勉強材料にさせていただきます。
所感
マルウェア解析スクリプトも完成したので、少しは時短できたかなと思います。
マルウェア解析スクリプトを改善して、もっといいものにしていくのが直近の課題。
あと、マルウェア解析スクリプトで表が崩れてしまうのなんとかしたいです。
以上です。