Posts

概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。 今回の主役は Wordpot（WordPressハニーポット）。Kibanaでログを眺めていたら、36,000件を超えるRDP試行の中に1件だけ、妙なアクセスが混じっていました。 送り主の正体は Palo Alto Networks の商用スキャナー でした。 1. 問題のログ honeypots全体のログを見ていたとき、protocol=wordpotのエントリが1件だけあることに気づきました。 { "src_ip": "205.210.31.87", "url": "/wp-login.php", "method": "POST", "user_agent": "Hello from Palo Alto Networks. We are mapping the internet for research and security purposes. For more information, visit https://www.paloaltonetworks.com/cortex/cortex-xpanse", "plugin": "badlogin/enumeration", "honeypot_type": "honeypots", "protocol": "wordpot" } "Hello from Palo Alto Networks." というUser-Agent。そのまんますぎて笑いました。 2. Cortex Xpanse とは Cortex Xpanse は Palo Alto Networks が提供する商用の Attack Surface Management (ASM) プラットフォームです。 ASM（アタックサーフェス管理）とは、自社のインターネット公開資産を外部から継続的にスキャンして、「攻撃者から見た自社の姿」を把握するためのセキュリティ製品です。 [企業のセキュリティ担当] ↓ "うちの公開アセットを全部洗い出したい" [Cortex Xpanse] ↓ インターネット全体を継続スキャン [対象企業のサーバ・VPS・クラウド資産を発見] ↓ レポート生成 [担当者] "あ、知らないサーバが公開されてる！" スキャンの仕様上、インターネット上のすべてのIPアドレスが対象になります。私のVPSも「誰かの企業資産かもしれない対象」として定期的にスキャンされている、ということです。 ...

概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。（2026/03/29〜30 観測データ） Cowrie（SSHハニーポット）で、クリプトマイナーマルウェア「RedTail」のサンプルを複数捕捉しました。2日間で22セッションのSSHログイン成功が確認され、各セッションで共通した侵入後の操作が観測されています。 今回は特に2点に注目します。Diicot帰属の根拠となる mdrfckr シグネチャと、バイナリに埋め込まれたXMRigをbase64のマジックバイトで抽出する手順です。 1. 攻撃の流れ ① SSH ブルートフォース → ログイン成功 攻撃者は複数のIPアドレスから root アカウントへの辞書攻撃を仕掛け、ハニーポットへのログインに成功しています。攻撃元は世界各地に分散しており、単一の攻撃者が複数の踏み台（侵害済みホストやVPS）を使い回してるっぽいです。 ② ログイン直後の操作 ログイン成功後、攻撃者は定型的な一連のコマンドを実行しました。Cowrieのログから確認できた操作を順に見ていきます。 持続化（Persistence） まず .ssh ディレクトリのイミュータブルフラグを解除したうえで、攻撃者自身のSSH公開鍵を authorized_keys に追記します。これにより、パスワードなしでいつでもSSH接続できるバックドアが設置されます。 今回植え付けられた公開鍵のコメント欄には mdrfckr という文字列がありました。ルーマニア語のスラングに由来するとされており、Diicotキャンペーンでの使用が複数報告されている既知のIoCです。 その後 echo "root:＜ランダム生成パスワード＞" | chpasswd でrootパスワードを変更します。セッションごとに異なるパスワードが使われており、自動生成されたものだと思います。 競合マルウェアの排除 他の攻撃者が置いたマイナーを名指しで停止・削除します。 攻撃者も競合社会で生きてますね。犯罪者なので同情はしませんけど。 # 競合スクリプトの停止 pkill -9 secure.sh pkill -9 auth.sh # c3pool系マイナーの無効化を試みる systemctl disable c3pool_miner systemctl stop c3pool_miner c3pool_miner はc3poolのインストーラがsystemdサービスとして登録するコンポーネントで、スクリプトはこのサービス名を名指しで停止・無効化しようとしています。対象ホストにc3poolが存在しない場合は単に無視されます。 crontabのエントリも丸ごとクリアする仕組みになっていて、wget・curl・base64 -d などの文字列を含む行を検出・削除する関数が組み込まれており、他マルウェアの再起動仕掛けを潰す設計になっています。 システム偵察（Discovery） マイナーを動かすためにホストのスペックを確認します。 uname -a cat /proc/cpuinfo | grep "model name" free -m df -h ③ RedTail 本体の展開 アーキテクチャ判定（x86_64 / i686 / arm8 / arm7）に応じたバイナリを展開します。ファイル名はランダムな文字列で保存・実行し、実行後は redtail.* のファイルを削除して痕跡を消します。 ...

概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。（2026/03/24 観測データ） 今回は2点を取り上げます。 ADBHoney が ARM ELFのコインマイナーワームをキャプチャ go-pot で CVE-2025-55182（React2Shell）を探索するスキャナーを確認 1. ADBHoney — コインマイナーワームを捕獲 ADB（Android Debug Bridge）ポートとは ADBはAndroidデバイスの開発・デバッグ用プロトコルで、TCP/5555番ポートを使います。本来は開発者向けの機能ですが、Androidデバイス（スマートフォン・テレビ・IoT機器など）がこのポートを開放したままインターネットに晒されていると、認証なしでリモートからコマンドを実行できてしまいます。 ADBHoneyはこのポートを模倣するハニーポットで、攻撃者がどんなコマンドを投げてくるかを記録します。 観測情報 中国からのIPがADB/5555番に接続してきました。 攻撃者がまずやったのはCPUアーキテクチャの確認。次に「ARMバイナリ」を /data/local/tmp に送り込み、com.ufo.miner というAPKをインストールして起動——という一連の手順を粛々と実行していきました。 uname -m 2>/dev/null || getprop ro.product.cpu.abi # CPUアーキ確認 [ARM ELF バイナリ送信] # マルウェア投下 pm path com.ufo.miner # インストール確認 am start -n com.ufo.miner/com.example.test.MainActivity # 起動 投下されたバイナリをVirusTotalで確認したところ、65エンジン中38が検知（trojan.adbminer/ienyf、ファミリー：adbminer / mirai）。 サンプルの特徴 このサンプルはADB.Miner（別名Fbot）と呼ばれる既知のコインマイナーワームです。いくつかの特徴的な動作を持っています。 自己拡散：Miraiの拡散コードを流用しており、感染した端末が次の犠牲者を探してADB/5555番をスキャンし続けます。ワームとして自律的に広がっていくタイプです。 競合排除：ps | grep で動いている他のマイナープロセスを見つけ、kill で排除します。リソースを独占するために競合するマルウェアを蹴落とします。 サンドボックス検知：detect-debug-environment タグが確認されており、解析環境を検知して動作を変える仕組みが内蔵されています。 偽装：マイニング用APKのパッケージ名はVirusTotalの検体ページで確認できます。 サンプル情報 種別 値 SHA256 71ecfb7bbc015b2b192c05f726468b6f08fcc804c093c718b950e688cc414af5 ファイルサイズ 225.78 KB アーキテクチャ ARM ELF VT 検知率 38/65（58%） 攻撃元IPの詳細情報（GreyNoise / VirusTotalで確認できます）： ...

概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録 です。(2026/03/22観測データ) DionaeaがWannaCry関連のファイルをキャプチャ Cowrieで subtitle / wordpress / here / the というユーザー名によるSSH試行が増加。発信元は台湾（TW）に集中 1. Dionaea — WannaCryサンプルを捕獲 Dionaea（SMBハニーポット）でWannaCry関連と思われるファイルがキャプチャされました。 サンプルの概要 WannaCryは2017年5月に流行した、MS17-010（SMBv1の脆弱性群）を悪用するランサムウェアです。ワーム機能を持っており、感染端末が自動で次のターゲットを探索・感染させます。キルスイッチの登録により暗号化活動は止まっていますが、自己拡散部分は今も動き続けています。 今回キャプチャしたサンプルはVirusTotalのタグに cve-2017-0147（EternalChampion）が付与されており、EternalBlue（CVE-2017-0144）と同じMS17-010ファミリの一員と考えられます。Florian Roth氏が2017年5月12日に作成したYARAルール（Identifier: WannaCry）にもマッチしており、初期アウトブレイク時のサンプルと同一またはそれに近いものと見られます。 現代のセキュリティ製品であれば問題なく検知・ブロックできると思います。ただ、2026年になっても未パッチ環境を探してインターネットを漂い続けているという点は、それはそれで興味深い観測でした。 IoC 種別 値 MD5 eca5e61b6f451e27ff95c5c7c0571d67 SHA256 5dd55be03544553363ea4236ec0eb8ccfdc00b946783ebbc3126d19f463373af ファイル種別 PE DLL（overlayあり） VT タグ pedll overlay cve-2017-0147 exploit spreader YARA マッチ WannaCry (Author: Florian Roth, 2017-05-12) VirusTotal: https://www.virustotal.com/gui/file/5dd55be03544553363ea4236ec0eb8ccfdc00b946783ebbc3126d19f463373af 対策 SMBポート（TCP/445）をインターネットに公開しない シグネチャなどupdate系を最新に保つ（これだけで十分対処可能） 2. 台湾発のSSHブルートフォース — WordPress狙いの試行 何が起きたか Cowrieのログで、普段とは異なるユーザー名によるSSHログイン試行の増加を確認しました。 subtitle / wordpress / here / the 発信元は台湾（TW）に集中しており、短時間に集中したバースト攻撃でした。 ユーザー名ごとのカウントはほぼ同数（subtitle: 115、here: 114、the: 114）で揃っており、スクリプトが固定リストを機械的に流している典型的なパターンです。 ...

概要 国内NTT網のVPSに設置したT-Potハニーポットの観測記録です。 ローカル環境のELK Stackでログを可視化・分析しています。 項目 内容 観測期間 2026年3月11日〜17日（7日間） 設置場所 国内VPS（NTT網） 分析基盤 ELK Stack（Elasticsearch + Logstash + Kibana） 攻撃元の国別分布 順位 国 イベント数 1 ブラジル 203,046 2 日本 93,602 3 中国 46,004 4 アメリカ 34,327 5 インドネシア 20,687 ブラジルが圧倒的1位。日本（国内）からの攻撃も多く、国内感染端末やレンタルサーバーが踏み台として悪用されている可能性があります。 SSH ブルートフォース（Cowrie） 全イベントの約64%をCowrie（SSHハニーポット）が占めました。 よく試行されたユーザー名 TOP3 1. root 2. 345gs5662d34 ← 特定IoTデバイスのデフォルト認証情報 3. admin よく試行されたパスワード TOP5 1. 123456 2. 345gs5662d34 3. 3245gs5662d34 4. 1234 5. 123 345gs5662d34 / 3245gs5662d34 はMirai系ボットネットのcredentialリストに含まれるIoTデバイスのデフォルト認証情報です。これを使った自動スキャンが大量に観測されました。 MITRE ATT&CK マッピング Technique ID Technique Name T1110.001 Brute Force: Password Guessing T1059.004 Command and Scripting Interpreter: Unix Shell T1082 System Information Discovery Suricata アラート傾向 最多カテゴリは Attempted Administrator Privilege Gain（45,805件）。 ...

自己紹介 自身の学習を兼ねてHoneypot運営をやっていきたいと思います。記事の内容はその時思ったこと等をメインに書いていきます。 ざっと自己紹介を。 性別: 男性 年齢: 30後半（になってしまった。。。） 職業: インフラエンジニア歴7年目。大手SIerさんからお仕事のタネをいただいています。会社員です。 前職: コックさん。まだコックさん歴のほうが長い。 環境 もろもろの事情(お金)により、複雑な構成になってますがこんな感じです。 VPS (WebARENA Indigo) T-POT　公式Service Builder(compose/customizer.py)で生成した「CUSTOM EDITION」 解析基盤 (Docker) ELK Stack T-Potとは別建て ブログ Cloudflare PagesとGithub Hugo AI (Claude code) T-Potで動いているDocker達は↓こんな感じです。近日増減予定あり (2026/03/19現在) adbhoney / ciscoasa / conpot_guardian_ast / conpot_iec104 / conpot_ipmi / conpot_kamstrup_382 cowrie / dicompot / dionaea / elasticpot / go-pot / honeypots / medpot / miniprint / sentrypeer / wordpot nginx / p0f / suricata / ewsposter / tpotinit 構成にあたって 身も蓋もないですが、重視したポイントはなにより維持費用です。T-Potはデフォルト通りやればELK Stackがもれなくついてきます。でも重いんですよね。。。 ...