setodaNote

忘れる用のメモ書き for Cybersecurity

検体解析:Cowrie で捕まえた検体の棚卸し(2018-08-20)

背景

ここ20日ほどの間に Cowrie で捕まえた検体の棚卸しをしたところ、 VirusTotal にあがっていない検体があったので解析してみた。

結果概要

  • CoinMiner (XMR)
  • Linux 上で動作する XMR 関連のマイニングマルウェアだと思われる

ファイル概要

MD5    : 0e8b8688fe2a7efd9f0206ec3a91d84c
SHA1   : 412d03c27bff37a289be4fd6d3eeba2ee2b6d980
SHA256 : 89051ece0ac34774d2ea1ff947df0a23e79765b82c2447312d703df3a3ab33dd
SSDEEP : 49152:s5j4Z02z6Hygg3anTroNhNdTQwlcrLcupSyXCx:s5BQ9TQJtpS

File command:
 ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, 
 interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, 
 BuildID[sha1]=dec9a2cd71a56589f9e1713561f6cce0c0d498f9, stripped

TrID: 
 50.1% (.) ELF Executable and Linkable format (Linux) (4025/14)
 49.8% (.O) ELF Executable and Linkable format (generic) (4000/1)

PEiD: 
 Not a valid PE file 

File Size                       : 1,959,912 byte
File Type                       : ELF executable
File Type Extension             : 
MIME Type                       : application/octet-stream
CPU Architecture                : 64 bit
CPU Byte Order                  : Little endian
Object File Type                : Executable file
CPU Type                        : AMD x86-64

UPX 3.94w:
  NotPackedException: not packed by UPX

解析概要

Strings の結果に以下が含まれていた。

 -B -o stratum+tcp://pool.supportxmr[.]com:3333 -u xxxxxxxxxxxx -p x -k --max-cpu-usage=75

少し調べてみると接続先はXMRのマイニング関係のサイトだった。伏せ字(xxxxxxxxxxxx )部分にはウォレットと思われる文字列が入っており、どうやら CoinMiner の模様。

また、ウォレットの文字列で検索するとハッシュ値ベースで1件のマルウェア解析結果がヒットした。 こちらの検体は VirusTotal にあげられており、コメント欄には #coinminer #miner の文字列があった。やはり CoinMiner の模様。 VirusTotal での検知数は(1/60)となっており、こちらもあまり有名なものではなさそう。

検知されていた検体の VirusTotal 履歴は以下の通り。(2010-11-20 に出現?)

First Seen In The Wild   2010-11-20 23:29:33
First Submission         2018-06-06 12:24:37
Last Submission          2018-07-30 15:22:34
Last Analysis            2018-07-30 15:22:34

ほぼ CoinMiner だということで興味が薄れつつあったものの、 一応、Linux 上で動かしてみると、gdb で動かしたときには途中で動作を停止したが、 一般ユーザ権限で通常実行したところ何もリアクションなく起動し続けていた。 デバッガ検知機構があるのかもしれない。

Strings で抽出した文字列からはCPU使用率が75%ほどに設定されているようだったが、 LANは無効にした状態で動作させたためか、CPU使用率は高くても10%ほどとあまり使用されていなかった。

関連情報

  • ウォレット文字列から見つけた関連検体
    • 9c3b289741c14e9e74a54d3cedc2157d2450c45730890caae4cbe143adc24efe