おしゃべりラビットフット

noobが這い上がって行く記録

honeypotの記録2

普段頻繁に来ているものと違う検体がやってきたので記事を書く

SHA256: f6833753f32ec2af76d22dad0caad955905d54f4744b0a942547e8d006646e20
ファイル名: 麦块
検出率: 26 / 67
分析日時: 2018-04-22 12:35:35 UTC (2 時間, 2 分前)

 

麦块は中国語で、マインクラフトのことらしい

割れでゲームやるのが数年前まで流行ってましたが危険ですね。

 

virustotal 

メタデータ

 

f:id:xn16h7:20180423003941p:plain

ExifToorはCTFで使ったことあったけど、表層解析ではハッシュ調べて、PE見てパッキングされてるか調べたりfileコマンドでアーキテクチャ調べるくらいだったので、今後は使っていきたい。

 

f:id:xn16h7:20180422234304p:plain

Microsoft visual C++6.0と表示されていた。


 

f:id:xn16h7:20180423001612p:plain

 

こんな感じで雑に静的解析を行った。


動的解析するとたぶん外部との通信が始まるっぽい。

 

作成されるfileリスト

%PROGRAM_FILES%\mckuai\UpConfig.ini
%PROGRAM_FILES%\mckuai\MCHelper.exe
%PROGRAM_FILES%\mckuai\mctip.exe
%PROGRAM_FILES%\mckuai\MCupd.exe
%PROGRAM_FILES%\mckuai\UnInstall.exe
%PROGRAM_FILES%\mckuai\xldl.dll
%PROGRAM_FILES%\mckuai\MCrpc.exe
%APPDATA%\Microsoft\Internet Explorer\Quick Launch\Ao?e.lnk
%PROGRAM_FILES%\mckuai\downloadgame.ini
%APPDATA%\mckuai\config.ini
%HOMEPATH%\Desktop\Ao?e.lnk
%PROGRAM_FILES%\mckuai\mckuai.exe
%PROGRAM_FILES%\mckuai\QQPCDownload45013.exe
%PROGRAM_FILES%\mckuai\Install.log
%PROGRAM_FILES%\mckuai\Install.exe
%PROGRAM_FILES%\mckuai\download\MiniThunderPlatform.exe
%PROGRAM_FILES%\mckuai\download\minizip.dll
%PROGRAM_FILES%\mckuai\download\msvcp71.dll
%PROGRAM_FILES%\mckuai\download\id.dat
%PROGRAM_FILES%\mckuai\download\atl71.dll
%PROGRAM_FILES%\mckuai\download\dl_peer_id.dll
%PROGRAM_FILES%\mckuai\download\download_engine.dll
%PROGRAM_FILES%\mckuai\gtdbengine.dll
%PROGRAM_FILES%\mckuai\GtFunction.dll
%PROGRAM_FILES%\mckuai\GTReport.dll
%PROGRAM_FILES%\mckuai\download\zlib1.dll
%PROGRAM_FILES%\mckuai\download\msvcr71.dll
%PROGRAM_FILES%\mckuai\download\XLBugHandler.dll
%PROGRAM_FILES%\mckuai\download\XLBugReport.exe

こんな感じみたい

実力不足です。新種PLS

honeypotの記録1 Dionaeaで集めた検体を見ていく。

Dionaeaの運用を始めてログもたまってきたので記事書く。

とりあえず検体に関して書いていく。

 

ログとかは低対話型なので高対話型みたいな楽しみ方はできないと感じているけど、そのへんはあまりわからない。

 

virustotalの送信履歴を見るとけっこう検体が送られてきている。

trojanとランサムウェアとワームが多かった。

f:id:xn16h7:20180417221858p:plain

 

SHA256: 8ee91b2466ead71533efa10e10889f34db44764cbf29dd4965d831bf154fc95d

 

検出率: 0 / 59

 

まずは上記のファイルが検出率0となっていたが、これがなんなのか気になったので追ってみる

f:id:xn16h7:20180417222352p:plain

HTMLのようだ。#networkwormのタグが付いていたのでワームかもしれない。

まずはHTMLということでネットワークから切り離してからブラウザで開いて見た。

f:id:xn16h7:20180417233143p:plain

f:id:xn16h7:20180417233956p:plain

中国語っぽいタイトルがある

特にscriptとか怪しいソースはない。

ファイルサーバーと書いてありリンクが貼ってあるリンク先のURLを投げてみる。

 

f:id:xn16h7:20180417235144p:plain

 

 クリックするとマルウェアのダウンロードが始まるのでここで終わる。

踏み台にしようとしたか、

マルウェアを外部からもってくるワームだとW32.Changeupというのがあるが、そういった物の副産物じゃないかと思った。よくわからん

もう少し詳しく調べてみたい。

 

せっかくマルウェアも大量に集まったので次の記事でマルウェア解析をしていく。

 

ファイル拡張子の隠蔽RLO

こんにちはおたくです。

ハニポ運用で検体が集まってきたのでそろそろ解析していきたいところです。

さて、拡張子がexeなのを分かりにくくするという知見を得たので記事にしておきます。

攻撃者側の技術ですが悪用は厳禁です。

セキュリティの参考になれば幸いです。

 

かなり単純なのですがRLO(Right-to-Left Override)

という制御記号を使うだけです

f:id:xn16h7:20180412002959p:plain

hoge.exeというファイルを用意します。

このファイルの拡張子の見た目をtxtにしていく。

f:id:xn16h7:20180412003200p:plain

_txtという文字を追加する。_アンダーバーの後ろにカーソルを置いて

名前の変更→右クリック→Unicode 制御文字の挿入→RLOを選択

以下のようになる。

 

f:id:xn16h7:20180412002921p:plain

 

RLOを悪用してファイル名を偽装したマルウェアはけっこう昔から流通してたらしい。

 

txtファイルでも実行前に注意する必要がありますね。

SSH公開鍵設定

SSH

公開鍵の設定方法備忘録的なものを載せておきます。

やるだけです。 

参考までに 

 

メモ

sudo chown -R dionaea:dionaea /opt/dionaea/ 

ハニーポット構築

はじめに

こんにちは春から社会人になったおたくです。

同期とハニポのお話をしてまた運用したくなったのでついでに記事にした。

以前ラズパイを使ってハニポに挑戦しましたが、今回はさくらのVPSを使うだけなのでかなり楽。

今回導入するのはDionaea (ディオナエア)

蠅捕草 Dionaea muscipula ディオナエア・ムスキプラですね。

 

環境

ubuntu14.04.2

カスタムOSインストールガイド - Ubuntu 14.04 – さくらのサポート情報

 

参考URL

VPSにハニーポット(Dionaea)を入れてみた - Tahoo!!

Dionaeaを改変してNmapによる検出を回避する - sonickun.log

 初期設定はそのまま下の記事を参考にしていけば良い

ufw等でファイアウォールの設定など

honeeepi でハニーポット(Dionaea)を構築する - Qiita

SSH公開鍵設定 - おしゃべりラビットフット

Dionaeaの導入

 

$sudo service dionaea startで起動されるので

nmapを使うと起動前と違いポートが色々解放されていることがわかる。
f:id:xn16h7:20180407154335p:plain 

以下のリンクを参考に nmap に-sV -sS 等オプションを付けて実行していく

 Dionaeaを改変してNmapによる検出を回避する - sonickun.log

【nmap】ポートスキャンを実施する | 日経 xTECH(クロステック)

f:id:xn16h7:20180407163127p:plain

追記:apt-get で導入すると現在は検出されないっぽいというお話を聞いたけど自分の場合は445が検出されてた、複数回実行すると1433も検出されることがあったので、全部変えたほうがいいみたい。

445を見るとDionaeaと検出できてしまっている

honeypotであることは隠したいのでリンクを参考に修正していく。

 nmapがDionaeaのシグネチャを持っているのでスキャン結果とシグネチャを比較して検出しているのでシグネチャが書いてあるファイルをダウンロードして対策を行っていく。

f:id:xn16h7:20180407171250p:plain

f:id:xn16h7:20180407171258p:plain

f:id:xn16h7:20180408205233p:plain

こんな感じでリンク先を参考に同じように修正するだけ。

一通り変更してnmap使うと隠せてるのでたぶん大丈夫なはず。

f:id:xn16h7:20180408205339p:plain

ログの設定

$ sudo vim /opt/dionaea/etc/dionaea/dionaea.cfg

levelsの部分2カ所を下記のように変更する

f:id:xn16h7:20180409222126p:plain

 

 

あとは

DionaeaFR

VirusTotalと連携

等をやっていく

 

ログに関して

/opt/dionaea/var/log 全体ログ

/opt/dionaea/var/bistreams アクセスログ

/opt/dionaea/var/binaries ファイル共有されたファイル

/opt/dionaea/var/wwwroot ftpで共有されたファイル。

 

すぱーはかーが登場する作品

ハッカーやハッキングシーンが登場する作品を思い出しながら、まとめてみた

 

続きを読む

ctf環境

pwn

pip
sudo apt-get install python-pip


peda

apt-get install git
git clone https://github.com/longld/peda.git ~/peda
echo "source ~/peda/peda.py" >> ~/.gdbinit


radare 2

git clone https://github.com/radare/radare2
cd radare2 && sys/install.sh
sys/install.sh

pwntools
pip install pwntools

rp++

mkdir $HOME/bin
wget https://github.com/downloads/0vercl0k/rp/rp-lin-x64 -O $HOME/bin/rp

checksec.sh

cd ~/Download/
wget https://github.com/slimm609/checksec.sh/archive/1.6.tar.gz
tar zxvf 1.6.tar.gz
cp checksec.sh-1.6/checksec $HOME/bin/checksec.sh

ハリネズミpwn
$ sudo apt-get install build-essential gcc-multilib git gdb nasm libc6:i386
$ git clone https://github.com/zachriggle/peda.git ~/peda
$ echo "source ~/peda/peda.py" >> ~/.gdbinit
$ export PATH=$HOME/bin:$PATH
$ mkdir $HOME/bin
$ wget https://github.com/downloads/0vercl0k/rp/rp-lin-x64 -O $HOME/bin/rp
$ chmod +x $HOME/bin/rp
$ wget https://github.com/slimm609/checksec.sh/archive/1.6.tar.gz
$ tar zxvf 1.6.tar.gz
$ cp checksec.sh-1.6/checksec $HOME/bin/checksec.sh

 

Forensics

exiftool

$ sudo apt-get install exiftool

binwalk

$ sudo apt-get install binwalk

foremost

$ sudo apt-get install foremost