setodaNote

忘れる用のメモ書き

ハニーポット

Vnclowpot のログ解析(2)

背景 定期的に大量アクセスが来る VNC アクセス。 最近、これを検知する Vnclowpot の検知件数が Cowrie よりも多くなっていた。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録されている。 前回と傾向に違いがあるか…

ハニーポット:Cowrie の tty ログを再生してみた話

背景 Cowrie が拾ったコマンドのログを確認していたところ、 人がログインして入力していると思われるログでを見つけたので少し調べてみた。 ttyログ と playlog について Cowrie はログインしてきたユーザが打ち込んだコマンドをそのまま再現するためのログ…

Cowrie に dmidecode コマンドを追加した話

背景 Cowrie が拾ったコマンドであまり見覚えのないコマンドがあったのでログを確認していたところ、 対応していないコマンドのようだった。 成功すれば寄ってくれるのではないか、ということでコマンドを追加してみた。 見覚えのないコマンドについて 今回…

ThreatWar:ハニーポットの検知状況がリアルタイムに更新されているサイト

概要 弊ハニーポットのログに記録されていたID/パスワードについて調べていた際に ThreatWar というサイトを見つけた。 ハニーポットで検知したログなどが公開されていサイトのようで、 SSH試行された ID/パスワードに加えてそれに紐づく実行コマンドや Prox…

Vnclowpot のログ解析

背景 定期的に大量アクセスが来る VNC アクセス。 これを検知する Vnclowpot にはイベント件数だけでいうと Cowrie に次ぐ数が記録されている(弊ハニーポット調べ)。 T-Pot にある Vnclowpot のログには John The Ripper 形式の VNC ハンドシェイクが記録…

検体解析:Cowrie で捕まえた検体の棚卸し(2018-08-20)

背景 ここ20日ほどの間に Cowrie で捕まえた検体の棚卸しをしたところ、 VirusTotal にあがっていない検体があったので解析してみた。 結果概要 CoinMiner (XMR) Linux 上で動作する XMR 関連のマイニングマルウェアだと思われる ファイル概要 MD5 : 0e8b868…

Mailoney にばらまきメールを誘うには

Mailoney 用にドメインを取得してはみたものの、なかなかばらまきメールが届かない。 どうすれば送ってもらえるのか。。。 ・・・ 「フィッシングサイトにメールアドレスを投げ込めば送ってくれるのでは?」 ということで、探してみたところ、 以下のようなT…

ハニーポットを Azure に設置してみた

以前から気になっていたハニーポット(T-Pot)を自分でも設置してみた。 とりあえず試行錯誤しながら5日間ほど経過した結果。 ハニーポット(T-Pot) 接続先ポート番号と施行されたパスワード 接続元IPアドレスの国別アクセス数の推移など 世界地図へのマッ…