サーバーで大量のSSHパスワードが試行されていることに気づき、Cowrieハニーポットをインストールして、攻撃者が実際にアクセスした場合の攻撃を確認しました。
自動化されていると思われる多くの攻撃にわたって一貫したパターンを特定しました。有効なユーザー名/パスワードを特定すると、リモートシステムは次のコマンドを送信します。コマンド間の遅延は4秒です。
uname
free -m
ps x
その後、リモートシステムが切断されます。
別の亜種は、1秒あたり2つのコマンドを送信します。これらの3つから開始し、切断する前にcat /proc/cpuinfo
を追加します。
これらの自動攻撃を実行するツール/スクリプト/攻撃フレームワークを特定したいと思います。その行動パターンは誰にもおなじみのように見えますか?私は成功しそうにない候補者を探しました。
第1に、サンドボックス環境で実行されていることをマルウェアが検出したため、発生している動作のパターンが考えられます。使用可能なCPUコアが2つ以下の場合、ほとんどの新しいマルウェアは自動的に終了し、ハニーポットのプロセスはしないbetterで記述されたマルウェアの一部がhoneydまたはその他のよく知られたハニーポットデーモンが実行またはインストールされているかどうかをチェックするため、攻撃者のソフトウェアから見えます。プロセス/ fsの可視性を制限する簡単なオプションは、「firejail」を検索し、カスタムプロファイルを設定する方法です。ヒント:strace出力を解析し、firejailプロファイルに追加して、ホストファイルシステムと実行中のプロセスのリストを非表示/無効にすることができます。
次に、ハニーポットとそのネットワーク接続の間でSnortタップを実行して、攻撃のネットワークトラフィックをほぼリアルタイムでキャプチャしてフィンガープリントします。低コストでのネットワーク監視にRaspberry Piを使用することに幸運がありました。
3番目に、ハニーポットを正当な被害者のように見せるために、ハニーポットに専用のハードウェアを使用することを検討してください。利用可能な安価なオプションについては、「システムオンチップ」(wikiには メーカー のリストがあります)を検索してください。アーキテクチャは合法的な被害者のデスクトップに非常に近いように見えるため、Intelのものはこれについて私が提案するものです。
第4に、メタスプロイトのハニーポットの検出 ソースコード を調べて、ハニーポットの検出率を下げます。
第5に、メタスプロイトリバースシェルのチェックアウト検出 記事 ハニーポット侵入検知後の「カーボンブラック」の使用。ツールを使用してそれらをハッキングするように注意してください。しようとする場合は、犯罪者を特定するために必要な最小限の調査のみを行ってください。彼らが最初にあなたを攻撃したとしても、彼らを再びハッキングするのは犯罪です。