こんにちは, ハニポ初心者のMsY(@py65criz)です.

サーバ型×低対話型のssh+telnetを観測するcowrieを構築して数日経つと, そこそこログが溜まるので中でも気になったものを観測したので, それの紹介をしようと思います.

SATORI

一日大体100件以上は接続要求を受けているのですが, 侵入した後,大体このSATORIが実行されていました. (/bin/busybox SATORI)

実はSATORIは2017年に回り出したマルウェアで, 以下にその詳細が述べられています.

ゼロデイ脆弱性を悪用してホーム ルータをボット化する、進化したIoTマルウェアが登場 - Palo Alto Networks

他にも

他にもOIWYO, KDBWU, CBWIGがそれぞれ1,2件紛れていました.

こちらもSATORI と似たような亜種だと思われます.

ただ, こちらはSATORIのようにwgetでファイルをダウンロードする挙動を示さずに帰って行ってました. おそらくハニーポットだとバレたせいだと思います.

課題点

1.ハニーポットだとバレにくいようにする
2.ログを読めるようにする.
3.検体の解析を頑張る(?

追伸(2021/04/24) 本日，ハニーポットを再開しました．また面白そうなものがあれば書こうと思います．