Cowrie

概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。（2026/03/29〜30 観測データ） Cowrie（SSHハニーポット）で、クリプトマイナーマルウェア「RedTail」のサンプルを複数捕捉しました。2日間で22セッションのSSHログイン成功が確認され、各セッションで共通した侵入後の操作が観測されています。 今回は特に2点に注目します。Diicot帰属の根拠となる mdrfckr シグネチャと、バイナリに埋め込まれたXMRigをbase64のマジックバイトで抽出する手順です。 1. 攻撃の流れ ① SSH ブルートフォース → ログイン成功 攻撃者は複数のIPアドレスから root アカウントへの辞書攻撃を仕掛け、ハニーポットへのログインに成功しています。攻撃元は世界各地に分散しており、単一の攻撃者が複数の踏み台（侵害済みホストやVPS）を使い回してるっぽいです。 ② ログイン直後の操作 ログイン成功後、攻撃者は定型的な一連のコマンドを実行しました。Cowrieのログから確認できた操作を順に見ていきます。 持続化（Persistence） まず .ssh ディレクトリのイミュータブルフラグを解除したうえで、攻撃者自身のSSH公開鍵を authorized_keys に追記します。これにより、パスワードなしでいつでもSSH接続できるバックドアが設置されます。 今回植え付けられた公開鍵のコメント欄には mdrfckr という文字列がありました。ルーマニア語のスラングに由来するとされており、Diicotキャンペーンでの使用が複数報告されている既知のIoCです。 その後 echo "root:＜ランダム生成パスワード＞" | chpasswd でrootパスワードを変更します。セッションごとに異なるパスワードが使われており、自動生成されたものだと思います。 競合マルウェアの排除 他の攻撃者が置いたマイナーを名指しで停止・削除します。 攻撃者も競合社会で生きてますね。犯罪者なので同情はしませんけど。 # 競合スクリプトの停止 pkill -9 secure.sh pkill -9 auth.sh # c3pool系マイナーの無効化を試みる systemctl disable c3pool_miner systemctl stop c3pool_miner c3pool_miner はc3poolのインストーラがsystemdサービスとして登録するコンポーネントで、スクリプトはこのサービス名を名指しで停止・無効化しようとしています。対象ホストにc3poolが存在しない場合は単に無視されます。 crontabのエントリも丸ごとクリアする仕組みになっていて、wget・curl・base64 -d などの文字列を含む行を検出・削除する関数が組み込まれており、他マルウェアの再起動仕掛けを潰す設計になっています。 システム偵察（Discovery） マイナーを動かすためにホストのスペックを確認します。 uname -a cat /proc/cpuinfo | grep "model name" free -m df -h ③ RedTail 本体の展開 アーキテクチャ判定（x86_64 / i686 / arm8 / arm7）に応じたバイナリを展開します。ファイル名はランダムな文字列で保存・実行し、実行後は redtail.* のファイルを削除して痕跡を消します。 ...

概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録 です。(2026/03/22観測データ) DionaeaがWannaCry関連のファイルをキャプチャ Cowrieで subtitle / wordpress / here / the というユーザー名によるSSH試行が増加。発信元は台湾（TW）に集中 1. Dionaea — WannaCryサンプルを捕獲 Dionaea（SMBハニーポット）でWannaCry関連と思われるファイルがキャプチャされました。 サンプルの概要 WannaCryは2017年5月に流行した、MS17-010（SMBv1の脆弱性群）を悪用するランサムウェアです。ワーム機能を持っており、感染端末が自動で次のターゲットを探索・感染させます。キルスイッチの登録により暗号化活動は止まっていますが、自己拡散部分は今も動き続けています。 今回キャプチャしたサンプルはVirusTotalのタグに cve-2017-0147（EternalChampion）が付与されており、EternalBlue（CVE-2017-0144）と同じMS17-010ファミリの一員と考えられます。Florian Roth氏が2017年5月12日に作成したYARAルール（Identifier: WannaCry）にもマッチしており、初期アウトブレイク時のサンプルと同一またはそれに近いものと見られます。 現代のセキュリティ製品であれば問題なく検知・ブロックできると思います。ただ、2026年になっても未パッチ環境を探してインターネットを漂い続けているという点は、それはそれで興味深い観測でした。 IoC 種別 値 MD5 eca5e61b6f451e27ff95c5c7c0571d67 SHA256 5dd55be03544553363ea4236ec0eb8ccfdc00b946783ebbc3126d19f463373af ファイル種別 PE DLL（overlayあり） VT タグ pedll overlay cve-2017-0147 exploit spreader YARA マッチ WannaCry (Author: Florian Roth, 2017-05-12) VirusTotal: https://www.virustotal.com/gui/file/5dd55be03544553363ea4236ec0eb8ccfdc00b946783ebbc3126d19f463373af 対策 SMBポート（TCP/445）をインターネットに公開しない シグネチャなどupdate系を最新に保つ（これだけで十分対処可能） 2. 台湾発のSSHブルートフォース — WordPress狙いの試行 何が起きたか Cowrieのログで、普段とは異なるユーザー名によるSSHログイン試行の増加を確認しました。 subtitle / wordpress / here / the 発信元は台湾（TW）に集中しており、短時間に集中したバースト攻撃でした。 ユーザー名ごとのカウントはほぼ同数（subtitle: 115、here: 114、the: 114）で揃っており、スクリプトが固定リストを機械的に流している典型的なパターンです。 ...

概要 国内NTT網のVPSに設置したT-Potハニーポットの観測記録です。 ローカル環境のELK Stackでログを可視化・分析しています。 項目 内容 観測期間 2026年3月11日〜17日（7日間） 設置場所 国内VPS（NTT網） 分析基盤 ELK Stack（Elasticsearch + Logstash + Kibana） 攻撃元の国別分布 順位 国 イベント数 1 ブラジル 203,046 2 日本 93,602 3 中国 46,004 4 アメリカ 34,327 5 インドネシア 20,687 ブラジルが圧倒的1位。日本（国内）からの攻撃も多く、国内感染端末やレンタルサーバーが踏み台として悪用されている可能性があります。 SSH ブルートフォース（Cowrie） 全イベントの約64%をCowrie（SSHハニーポット）が占めました。 よく試行されたユーザー名 TOP3 1. root 2. 345gs5662d34 ← 特定IoTデバイスのデフォルト認証情報 3. admin よく試行されたパスワード TOP5 1. 123456 2. 345gs5662d34 3. 3245gs5662d34 4. 1234 5. 123 345gs5662d34 / 3245gs5662d34 はMirai系ボットネットのcredentialリストに含まれるIoTデバイスのデフォルト認証情報です。これを使った自動スキャンが大量に観測されました。 MITRE ATT&CK マッピング Technique ID Technique Name T1110.001 Brute Force: Password Guessing T1059.004 Command and Scripting Interpreter: Unix Shell T1082 System Information Discovery Suricata アラート傾向 最多カテゴリは Attempted Administrator Privilege Gain（45,805件）。 ...