Mirai

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC（IPアドレス・ドメイン）はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 2026 年 5 月の同じ週に、こんな組み合わせを見た。 The Hacker News の xlabs_v1 ボットネット記事 → ELK で確認したら、まったく同じサブネットから 11,000 件超の攻撃を観測済みだった Copy.Fail と Dirty Flag という Linux kernel のローカル特権昇格脆弱性が立て続けに公開 後者にはまだ CVE 番号すら付いていない リモートからの侵入観測と、侵入後の権限昇格対策は、本来なら別々の話に見える。けれど自分のように VPS にハニーポットを置いている側からすると、入口（攻撃の流入）と出口（侵入されたら何が起きるか）は地続きに見える。 今回は 「公式パッチを待つ間に kernel LPE を modprobe blacklist で塞ぐ」 というシンプルな手順のメモを書く。ついでに、その動機になった xlabs_v1 の話も軽くだけ触れる。 1. 入口の話：xlabs_v1 を ELK で照合してみた 5/7、The Hacker News が xlabs_v1 という Mirai 派生ボットネットの記事を出した。ADB（Android Debug Bridge、5555/tcp）経由で IoT デバイスを乗っ取り、DDoS-for-hire（Minecraft 等のゲームサーバを標的にした 21 種のフラッド変種を備える）として運用されるやつだ。 C2 は 176.65.139[.]44（AS51396 Pfcloud, ルクセンブルク）。 ...

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC（IPアドレス・ドメイン）はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。（2026/03/24 観測データ） 今回は2点を取り上げます。 ADBHoney が ARM ELFのコインマイナーワームをキャプチャ go-pot で CVE-2025-55182（React2Shell）を探索するスキャナーを確認 1. ADBHoney — コインマイナーワームを捕獲 ADB（Android Debug Bridge）ポートとは ADBはAndroidデバイスの開発・デバッグ用プロトコルで、TCP/5555番ポートを使います。本来は開発者向けの機能ですが、Androidデバイス（スマートフォン・テレビ・IoT機器など）がこのポートを開放したままインターネットに晒されていると、認証なしでリモートからコマンドを実行できてしまいます。 ADBHoneyはこのポートを模倣するハニーポットで、攻撃者がどんなコマンドを投げてくるかを記録します。 観測情報 中国からのIPがADB/5555番に接続してきました。 攻撃者がまずやったのはCPUアーキテクチャの確認。次に「ARMバイナリ」を /data/local/tmp に送り込み、com.ufo.miner というAPKをインストールして起動——という一連の手順を粛々と実行していきました。 uname -m 2>/dev/null || getprop ro.product.cpu.abi # CPUアーキ確認 [ARM ELF バイナリ送信] # マルウェア投下 pm path com.ufo.miner # インストール確認 am start -n com.ufo.miner/com.example.test.MainActivity # 起動 投下されたバイナリをVirusTotalで確認したところ、65エンジン中38が検知（trojan.adbminer/ienyf、ファミリー：adbminer / mirai）。 サンプルの特徴 このサンプルはADB.Miner（別名Fbot）と呼ばれる既知のコインマイナーワームです。いくつかの特徴的な動作を持っています。 自己拡散：Miraiの拡散コードを流用しており、感染した端末が次の犠牲者を探してADB/5555番をスキャンし続けます。ワームとして自律的に広がっていくタイプです。 競合排除：ps | grep で動いている他のマイナープロセスを見つけ、kill で排除します。リソースを独占するために競合するマルウェアを蹴落とします。 サンドボックス検知：detect-debug-environment タグが確認されており、解析環境を検知して動作を変える仕組みが内蔵されています。 偽装：マイニング用APKのパッケージ名はVirusTotalの検体ページで確認できます。 サンプル情報 種別 値 SHA256 71ecfb7bbc015b2b192c05f726468b6f08fcc804c093c718b950e688cc414af5 ファイルサイズ 225.78 KB アーキテクチャ ARM ELF VT 検知率 38/65（58%） 攻撃元IPの詳細情報（GreyNoise / VirusTotalで確認できます）： ...