Cowrieのログ分析 (2019/02/23 - 2019/03/05)
Cowrieのログを見てみた。
今回はloginして後、お客様(攻撃者)がよく打つコマンドを見てみようと思う。
よく入力されるコマンドTOP3は
順位 | コマンド |
---|---|
1位 | cat /proc/cpuinfo | grep name | wc -l |
2位 | uname -n -s -r -v |
3位 | uname -a ; lscpu |
1位のコマンドは何がしたいのでしょうか
cat /proc/cpouinfo
CPUの情報を見たい(まあわかる)
cat /proc/cpuinfo | grep name
CPUに何を使っているか調査(まあわかる)
cat /proc/cpuinfo | grep name | wc -l
wc!? CPUの数が知りたい?数を知ってどうするんだ?(なるほどわからん)
まあ、環境情報が欲しいのだと思うのですが…
そして私のcowrieではwcコマンドがなく、1位のコマンドは実行できていないようです。
もしかして、HoneyPotかどうか判断しているのかな?
また、lessコマンドもないみたいなので、どこかでできれば導入したいですね
(どうやってcowrieにコマンドを追加するのであろう?)
2位、3位はunameとlscpuコマンドでした。
とりあえず、お客様はログインできたらまず、
マシンの情報を調査するようです。
また、いくつかファイルがダウンロードされていたので、
どこかで分析しようと思います。