Diicot

概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。（2026/03/29〜30 観測データ） Cowrie（SSHハニーポット）で、クリプトマイナーマルウェア「RedTail」のサンプルを複数捕捉しました。2日間で22セッションのSSHログイン成功が確認され、各セッションで共通した侵入後の操作が観測されています。 今回は特に2点に注目します。Diicot帰属の根拠となる mdrfckr シグネチャと、バイナリに埋め込まれたXMRigをbase64のマジックバイトで抽出する手順です。 1. 攻撃の流れ ① SSH ブルートフォース → ログイン成功 攻撃者は複数のIPアドレスから root アカウントへの辞書攻撃を仕掛け、ハニーポットへのログインに成功しています。攻撃元は世界各地に分散しており、単一の攻撃者が複数の踏み台（侵害済みホストやVPS）を使い回してるっぽいです。 ② ログイン直後の操作 ログイン成功後、攻撃者は定型的な一連のコマンドを実行しました。Cowrieのログから確認できた操作を順に見ていきます。 持続化（Persistence） まず .ssh ディレクトリのイミュータブルフラグを解除したうえで、攻撃者自身のSSH公開鍵を authorized_keys に追記します。これにより、パスワードなしでいつでもSSH接続できるバックドアが設置されます。 今回植え付けられた公開鍵のコメント欄には mdrfckr という文字列がありました。ルーマニア語のスラングに由来するとされており、Diicotキャンペーンでの使用が複数報告されている既知のIoCです。 その後 echo "root:＜ランダム生成パスワード＞" | chpasswd でrootパスワードを変更します。セッションごとに異なるパスワードが使われており、自動生成されたものだと思います。 競合マルウェアの排除 他の攻撃者が置いたマイナーを名指しで停止・削除します。 攻撃者も競合社会で生きてますね。犯罪者なので同情はしませんけど。 # 競合スクリプトの停止 pkill -9 secure.sh pkill -9 auth.sh # c3pool系マイナーの無効化を試みる systemctl disable c3pool_miner systemctl stop c3pool_miner c3pool_miner はc3poolのインストーラがsystemdサービスとして登録するコンポーネントで、スクリプトはこのサービス名を名指しで停止・無効化しようとしています。対象ホストにc3poolが存在しない場合は単に無視されます。 crontabのエントリも丸ごとクリアする仕組みになっていて、wget・curl・base64 -d などの文字列を含む行を検出・削除する関数が組み込まれており、他マルウェアの再起動仕掛けを潰す設計になっています。 システム偵察（Discovery） マイナーを動かすためにホストのスペックを確認します。 uname -a cat /proc/cpuinfo | grep "model name" free -m df -h ③ RedTail 本体の展開 アーキテクチャ判定（x86_64 / i686 / arm8 / arm7）に応じたバイナリを展開します。ファイル名はランダムな文字列で保存・実行し、実行後は redtail.* のファイルを削除して痕跡を消します。 ...