こんにちは, ハニポ初心者のMsY(@py65criz)です.
サーバ型×低対話型のssh+telnetを観測するcowrieを構築して数日経つと, そこそこログが溜まるので中でも気になったものを観測したので, それの紹介をしようと思います.
SATORI
一日大体100件以上は接続要求を受けているのですが, 侵入した後,大体このSATORI
が実行されていました. (/bin/busybox SATORI
)
実はSATORIは2017年に回り出したマルウェアで, 以下にその詳細が述べられています.
ゼロデイ脆弱性を悪用してホーム ルータをボット化する、進化したIoTマルウェアが登場 - Palo Alto Networks
他にも
他にもOIWYO
, KDBWU
, CBWIG
がそれぞれ1,2件紛れていました.
こちらもSATORI
と似たような亜種だと思われます.
ただ, こちらはSATORIのようにwgetでファイルをダウンロードする挙動を示さずに帰って行ってました. おそらくハニーポットだとバレたせいだと思います.
課題点
1.ハニーポットだとバレにくいようにする
2.ログを読めるようにする.
3.検体の解析を頑張る(?
追伸(2021/04/24) 本日,ハニーポットを再開しました.また面白そうなものがあれば書こうと思います.