【観測記録 #005】Feo Prest /24— ASN特化型 SSH ブルートフォースの観測

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 観測の発端 Honeypot VPS は WebARENA Indigo を使っています。理由はシンプルに二点。 安い。 備え付けFWがよさげ。 それ以上でも以下でもないのですが、ある日、興味をそそられる試行を見かけました。 SSH ハニーポット(Cowrie)に対する試行で username: arena 明らかにサーバインフラの背景を考慮して試行しているので、面白いなぁと思い記事化します。 あと、いつもは 分析:私 + claude code 執筆:Claude code レビュー/修正:Claude code でやってますが、たまには生身の人間がメインで書いてみます。タイポしまくるのでレビューはしてもらうけど。 観測サマリ 項目 値 観測期間 2026-05-06 〜 2026-06-04(23日間) 観測ハニーポット Cowrie (T-Pot VPS) 対象イベント cowrie.login.failed 主要観測対象 username.keyword: "arena" への試行 全期間 arena 試行数 697 件 ISP数 10 ユニーク source_ip 117 IPs 全体の傾向 1か月ぐらいの目線で見ると、ピーク→徐々に縮小の傾向が見られました。 当方は「SSHブルートフォースはだいたい単純に辞書を参照してひたすら回す。」みたいな認識でして、流行り廃りがあるとは思っていませんでした。 2026-05-06以前はカウント無かったため、この辺りで辞書に載った or ASN辺りからインフラ把握して辞書に組み込むナニカ が公開されたんだろうなと妄想しています。 ASN/ISPを見てみる まずASNのorganizationを見てみました。(ASNはGeo IPから引っ張ってきてます。) ...

June 5, 2026 · 2 分 · 乳酸菌

【観測記録 #004】RedTail クリプトマイナーをCowrieで捕捉 — ルーマニア系DiicotのSSH侵入手法を追う

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。(2026/03/29〜30 観測データ) Cowrie(SSHハニーポット)で、クリプトマイナーマルウェア「RedTail」のサンプルを複数捕捉しました。2日間で22セッションのSSHログイン成功が確認され、各セッションで共通した侵入後の操作が観測されています。 今回は特に2点に注目します。Diicot帰属の根拠となる mdrfckr シグネチャと、バイナリに埋め込まれたXMRigをbase64のマジックバイトで抽出する手順です。 1. 攻撃の流れ ① SSH ブルートフォース → ログイン成功 攻撃者は複数のIPアドレスから root アカウントへの辞書攻撃を仕掛け、ハニーポットへのログインに成功しています。攻撃元は世界各地に分散しており、単一の攻撃者が複数の踏み台(侵害済みホストやVPS)を使い回してるっぽいです。 ② ログイン直後の操作 ログイン成功後、攻撃者は定型的な一連のコマンドを実行しました。Cowrieのログから確認できた操作を順に見ていきます。 持続化(Persistence) まず .ssh ディレクトリのイミュータブルフラグを解除したうえで、攻撃者自身のSSH公開鍵を authorized_keys に追記します。これにより、パスワードなしでいつでもSSH接続できるバックドアが設置されます。 今回植え付けられた公開鍵のコメント欄には mdrfckr という文字列がありました。ルーマニア語のスラングに由来するとされており、Diicotキャンペーンでの使用が複数報告されている既知のIoCです。 その後 echo "root:<ランダム生成パスワード>" | chpasswd でrootパスワードを変更します。セッションごとに異なるパスワードが使われており、自動生成されたものだと思います。 競合マルウェアの排除 他の攻撃者が置いたマイナーを名指しで停止・削除します。 攻撃者も競合社会で生きてますね。犯罪者なので同情はしませんけど。 # 競合スクリプトの停止 pkill -9 secure.sh pkill -9 auth.sh # c3pool系マイナーの無効化を試みる systemctl disable c3pool_miner systemctl stop c3pool_miner c3pool_miner はc3poolのインストーラがsystemdサービスとして登録するコンポーネントで、スクリプトはこのサービス名を名指しで停止・無効化しようとしています。対象ホストにc3poolが存在しない場合は単に無視されます。 crontabのエントリも丸ごとクリアする仕組みになっていて、wget・curl・base64 -d などの文字列を含む行を検出・削除する関数が組み込まれており、他マルウェアの再起動仕掛けを潰す設計になっています。 システム偵察(Discovery) マイナーを動かすためにホストのスペックを確認します。 uname -a cat /proc/cpuinfo | grep "model name" free -m df -h ③ RedTail 本体の展開 アーキテクチャ判定(x86_64 / i686 / arm8 / arm7)に応じたバイナリを展開します。ファイル名はランダムな文字列で保存・実行し、実行後は redtail.* のファイルを削除して痕跡を消します。 ...

March 31, 2026 · 2 分 · 乳酸菌