1人CSIRTで運用しているハニーポットにFTPからログインしファイルが2つほど設置されていました。
運用しているハニーポットはFTPに対して容易にログイン可能な状態にしてあります。
そこで攻撃者がファイルをアップロードするとそのファイルはハニーポット内には残りますが
外部から見えるHTTPハニーポットは別のコンピュータとなっているため外部から設置したファイルにはアクセスできない構成になっています。
今回はそこに設置されたファイルがどのようなものだったかのかということを調査しましたのでその調査内容を共有します。
1つ目のファイル[.htaccess]の内容は下図の通りです。
攻撃者の意図としてはGoogle検索からこのサイト(実際にはアクセスできない構成ですが)にアクセスしてきたユーザを「http://testswork.ru/info.zip」にアクセスさせてダウンロードを促すというものであると考えられます。
[info.zip]はこちらにもアップロードされていたので次に2つ目のファイルを調査します。
[info.zip]を展開すると[information.vbe]というファイルが出てきました。.vbeファイルはエンコードされているためそのままでは読むことができませんのでデコードすると下図のような結果となりました。
上記、.vbeを実行すると赤枠で囲われているところにあるURLからファイルをダウンロードしTEMPフォルダに保存した上で実行されます。
このダウンロードされるファイル[tmp2.exe]をfileコマンドで確認したところ下図のように「Nullsoft Installer」で作成された自己展開形式のファイルであることが判明しました。
「Nullsoft Installer」を展開したところ以下のようなツリー構造となりました。
上図にある[pools.txt]の中身を確認したところ仮想通貨のマイニングプールのアドレスが複数記述されていました。
また[NsCpuMiner32.exe][NsCpuMiner64.exe]はそれぞれのCPUアーキテクチャ用の仮想通貨マイニングツールであると考えらえることから、そのファイルを広め侵害したコンピュータのリソースを無断で使用し仮想通貨を得る目的の攻撃であったということが考えられます。
以下は今回の調査対象としたファイルの中から主だったもののファイルのハッシュ値です。
項番 | ファイル名 | MD5 | SHA1 |
1 | info.zip | D865F2548E6C6A59C49B6EA07FCF9C5A | A307AFE969834884D949DDE88198D9C13E060A15 |
2 | information.vbe | 95FEE090A7BE8B4668735AFB4A6C4DA6 | 1C319BE577AF5CCB62C653E0C963F0CDDDBBCD38 |
3 | tmp2.exe | 3E10A74A7613D1CAE4B9749D7EC93515 | B0755D10F0E1195F532C69DEA5EC69D256D7A2B2 |
4 | tftp.exe | D17C0207AA4D1E135AFB48E77655744C | 20054C9E1B05E1FD45C29A350E1FF42C551FE8A5 |
5 | NsCpuCNMiner32.exe | 3AFEB8E9AF02A33FF71BF2F6751CAE3A | FD358CFE41C7AA3AA9E4CF62F832D8AE6BAA8107 |
6 | NsCpuCNMiner64.exe | EEDB9D86AE8ABC65FA7AC7C6323D4E8F | CE1FBF382E89146EA5A22AE551B68198C45F40E4 |
* 上記表内のMD5の値は「VirusTotal」でのスキャン結果へのリンクとなっています。
また、[tmp2.exe]の通信先、通信URLは以下の通りです。
通信先 | 通信先URL |
173.1.185.0 173.1.185.0:21 226.219.195.0 226.219.195.0:21 78.114.63.0 78.114.63.0:21 11.198.242.0 11.198.242.0:21 146.203.99.0 146.203.99.0:21 96.223.255.0 96.223.255.0:21 114.73.168.0 114.73.168.0:21 69.20.46.0 69.20.46.0:21 50.249.83.0 50.249.83.0:21 244.120.234.0 244.120.234.0:21 103.63.136.0 103.63.136.0:21 51.187.172.0 51.187.172.0:21 55.92.97.0 55.92.97.0:21 22.250.222.0 22.250.222.0:21 177.250.222.0 177.250.222.0:21 115.243.225.0 115.243.225.0:21 143.36.52.0 143.36.52.0:21 61.76.11.0 61.76.11.0:21 118.25.38.0 118.25.38.0:21 26.95.247.0 26.95.247.0:21 10.254.74.0 10.254.74.0:21 194.156.224.0 194.156.224.0:21 77.192.132.0 77.192.132.0:21 198.82.168.0 198.82.168.0:21 30.137.64.0 30.137.64.0:21 207.169.113.0 207.169.113.0:21 133.156.118.0 133.156.118.0:21 233.59.142.0 233.59.142.0:21 101.11.180.0 101.11.180.0:21 148.135.181.0 148.135.181.0:21 30.187.231.0 30.187.231.0:21 7.172.107.0 7.172.107.0:21 146.26.38.0 146.26.38.0:21 235.241.221.0 235.241.221.0:21 186.12.229.0 186.12.229.0:21 91.236.120.0 91.236.120.0:21 99.187.175.0 99.187.175.0:21 219.254.187.0 219.254.187.0:21 228.162.59.0 228.162.59.0:21 154.114.211.0 154.114.211.0:21 240.202.97.0 240.202.97.0:21 221.212.55.0 221.212.55.0:21 209.218.192.0 209.218.192.0:21 179.216.23.0 179.216.23.0:21 220.29.220.0 220.29.220.0:21 84.251.34.0 84.251.34.0:21 172.225.159.0 172.225.159.0:21 192.70.80.0 192.70.80.0:21 193.254.237.0 193.254.237.0:21 1.235.122.0 1.235.122.0:21 234.143.212.0 234.143.212.0:21 95.213.73.0 95.213.73.0:21 171.110.160.0 171.110.160.0:21 127.190.158.0 127.190.158.0:21 13.137.252.0 13.137.252.0:21 192.179.24.0 192.179.24.0:21 131.55.195.0 131.55.195.0:21 87.219.115.0 87.219.115.0:21 10.88.80.0 10.88.80.0:21 219.222.183.0 219.222.183.0:21 67.194.128.0 67.194.128.0:21 105.233.147.0 105.233.147.0:21 70.181.251.0 70.181.251.0:21 187.19.174.0 187.19.174.0:21 134.201.175.0 134.201.175.0:21 58.208.34.0 58.208.34.0:21 238.51.95.0 238.51.95.0:21 18.119.152.0 18.119.152.0:21 75.185.123.0 75.185.123.0:21 251.147.30.0 251.147.30.0:21 187.31.168.0 187.31.168.0:21 235.208.59.0 235.208.59.0:21 186.80.185.0 186.80.185.0:21 133.206.49.0 133.206.49.0:21 9.80.109.0 9.80.109.0:21 53.126.121.0 53.126.121.0:21 73.246.207.0 73.246.207.0:21 128.234.156.0 128.234.156.0:21 157.176.76.0 157.176.76.0:21 78.250.221.0 78.250.221.0:21 53.239.145.0 53.239.145.0:21 223.238.86.0 223.238.86.0:21 200.251.196.0 200.251.196.0:21 33.229.28.0 33.229.28.0:21 197.64.191.0 197.64.191.0:21 246.89.40.0 246.89.40.0:21 8.36.46.0 8.36.46.0:21 70.79.108.0 70.79.108.0:21 195.148.73.0 195.148.73.0:21 135.116.165.0 135.116.165.0:21 152.180.141.0 152.180.141.0:21 150.186.239.0 150.186.239.0:21 25.178.14.0 25.178.14.0:21 61.41.148.0 61.41.148.0:21 24.172.234.0 24.172.234.0:21 81.9.171.0 81.9.171.0:21 44.248.155.0 44.248.155.0:21 222.186.39.0 222.186.39.0:21 39.63.181.0 39.63.181.0:21 5.212.246.0 5.212.246.0:21 179.43.125.0 179.43.125.0:21 145.83.149.0 145.83.149.0:21 19.102.87.0 19.102.87.0:21 219.251.18.0 219.251.18.0:21 92.123.37.0 92.123.37.0:21 142.158.33.0 142.158.33.0:21 49.183.181.0 49.183.181.0:21 1.187.76.0 1.187.76.0:21 6.117.22.0 6.117.22.0:21 147.100.203.0 147.100.203.0:21 64.227.98.0 64.227.98.0:21 229.125.78.0 229.125.78.0:21 222.242.194.0 222.242.194.0:21 192.2.81.0 192.2.81.0:21 153.215.55.0 153.215.55.0:21 207.56.89.0 207.56.89.0:21 203.117.86.0 203.117.86.0:21 191.12.64.0 191.12.64.0:21 1.104.149.0 1.104.149.0:21 33.91.7.0 33.91.7.0:21 211.186.2.0 211.186.2.0:21 143.61.7.0 143.61.7.0:21 160.244.54.0 160.244.54.0:21 219.196.29.0 219.196.29.0:21 97.49.77.0 97.49.77.0:21 45.57.88.0 45.57.88.0:21 12.7.28.0 12.7.28.0:21 78.65.255.0 78.65.255.0:21 202.234.144.0 202.234.144.0:21 222.204.111.0 222.204.111.0:21 61.151.225.0 61.151.225.0:21 55.248.25.0 55.248.25.0:21 203.62.102.0 203.62.102.0:21 24.244.35.0 24.244.35.0:21 136.62.121.0 136.62.121.0:21 166.232.92.0 166.232.92.0:21 121.139.243.0 121.139.243.0:21 37.216.21.0 37.216.21.0:21 220.152.36.0 220.152.36.0:21 169.253.217.0 169.253.217.0:21 115.73.219.0 115.73.219.0:21 242.64.199.0 242.64.199.0:21 69.242.188.0 69.242.188.0:21 251.173.244.0 251.173.244.0:21 166.249.241.0 166.249.241.0:21 246.250.10.0 246.250.10.0:21 244.241.5.0 244.241.5.0:21 99.231.34.0 99.231.34.0:21 245.80.87.0 245.80.87.0:21 48.108.28.0 48.108.28.0:21 202.242.66.0 202.242.66.0:21 114.103.252.0 114.103.252.0:21 130.23.162.0 130.23.162.0:21 210.246.212.0 210.246.212.0:21 244.118.118.0 244.118.118.0:21 35.169.18.0 35.169.18.0:21 173.10.174.0 173.10.174.0:21 57.35.94.0 57.35.94.0:21 119.188.13.0 119.188.13.0:21 81.33.163.0 81.33.163.0:21 125.77.118.0 125.77.118.0:21 180.62.246.0 180.62.246.0:21 221.15.6.0 221.15.6.0:21 40.166.215.0 40.166.215.0:21 239.213.112.0 239.213.112.0:21 29.126.156.0 29.126.156.0:21 170.205.63.0 170.205.63.0:21 121.7.151.0 121.7.151.0:21 167.150.233.0 167.150.233.0:21 15.43.34.0 15.43.34.0:21 55.58.238.0 55.58.238.0:21 81.0.2.0 81.0.2.0:21 221.195.236.0 221.195.236.0:21 168.77.196.0 168.77.196.0:21 120.51.145.0 120.51.145.0:21 123.179.72.0 123.179.72.0:21 63.25.116.0 63.25.116.0:21 201.17.215.0 201.17.215.0:21 61.247.223.0 61.247.223.0:21 25.198.176.0 25.198.176.0:21 66.185.229.0 66.185.229.0:21 76.195.190.0 76.195.190.0:21 9.143.248.0 9.143.248.0:21 218.152.109.0 218.152.109.0:21 97.107.105.0 97.107.105.0:21 73.25.174.0 73.25.174.0:21 13.77.157.0 13.77.157.0:21 224.236.113.0 224.236.113.0:21 244.66.147.0 244.66.147.0:21 226.63.151.0 226.63.151.0:21 81.1.86.0 81.1.86.0:21 145.132.213.0 145.132.213.0:21 97.177.49.0 97.177.49.0:21 53.178.54.0 53.178.54.0:21 166.158.87.0 166.158.87.0:21 108.49.107.0 108.49.107.0:21 26.174.182.0 26.174.182.0:21 107.240.47.0 107.240.47.0:21 177.234.47.0 177.234.47.0:21 37.36.27.0 37.36.27.0:21 53.46.27.0 53.46.27.0:21 227.106.199.0 227.106.199.0:21 76.12.199.0 76.12.199.0:21 213.6.153.0 213.6.153.0:21 130.219.190.0 130.219.190.0:21 143.250.223.0 143.250.223.0:21 236.26.176.0 236.26.176.0:21 145.249.149.0 145.249.149.0:21 197.209.39.0 197.209.39.0:21 162.105.76.0 162.105.76.0:21 119.132.3.0 119.132.3.0:21 237.63.61.0 237.63.61.0:21 126.105.99.0 126.105.99.0:21 102.165.72.0 102.165.72.0:21 93.129.250.0 93.129.250.0:21 125.53.154.0 125.53.154.0:21 104.195.33.0 104.195.33.0:21 58.92.116.0 58.92.116.0:21 109.104.165.0 109.104.165.0:21 248.91.129.0 248.91.129.0:21 215.192.16.0 215.192.16.0:21 193.69.14.0 193.69.14.0:21 171.242.83.0 171.242.83.0:21 33.143.237.0 33.143.237.0:21 137.41.155.0 137.41.155.0:21 202.218.25.0 202.218.25.0:21 199.82.177.0 199.82.177.0:21 125.240.50.0 125.240.50.0:21 17.107.228.0 17.107.228.0:21 241.87.161.0 241.87.161.0:21 27.218.212.0 27.218.212.0:21 122.20.229.0 122.20.229.0:21 243.29.248.0 243.29.248.0:21 219.55.11.0 219.55.11.0:21 155.74.209.0 155.74.209.0:21 221.6.234.0 221.6.234.0:21 185.32.231.0 185.32.231.0:21 6.71.218.0 6.71.218.0:21 68.18.27.0 68.18.27.0:21 136.87.41.0 136.87.41.0:21 186.101.63.0 186.101.63.0:21 81.123.196.0 81.123.196.0:21 96.3.140.0 96.3.140.0:21 64.193.177.0 64.193.177.0:21 219.237.37.0 219.237.37.0:21 46.53.132.0 46.53.132.0:21 25.179.25.0 25.179.25.0:21 171.85.84.0 171.85.84.0:21 90.144.184.0 90.144.184.0:21 250.244.106.0 250.244.106.0:21 136.165.87.0 136.165.87.0:21 133.147.247.0 133.147.247.0:21 33.90.235.0 33.90.235.0:21 165.78.223.0 165.78.223.0:21 156.30.120.0 156.30.120.0:21 191.183.163.0 191.183.163.0:21 84.232.24.0 84.232.24.0:21 234.84.20.0 234.84.20.0:21 93.83.203.0 93.83.203.0:21 131.6.243.0 131.6.243.0:21 103.97.34.0 103.97.34.0:21 211.38.26.0 211.38.26.0:21 42.86.121.0 42.86.121.0:21 116.184.212.0 116.184.212.0:21 228.19.220.0 228.19.220.0:21 189.27.247.0 189.27.247.0:21 40.47.51.0 40.47.51.0:21 57.114.32.0 57.114.32.0:21 97.92.171.0 97.92.171.0:21 180.7.174.0 180.7.174.0:21 170.234.146.0 170.234.146.0:21 151.209.234.0 151.209.234.0:21 142.41.56.0 142.41.56.0:21 20.123.238.0 20.123.238.0:21 193.149.130.0 193.149.130.0:21 32.190.231.0 32.190.231.0:21 73.38.249.0 73.38.249.0:21 29.56.20.0 29.56.20.0:21 116.73.208.0 116.73.208.0:21 61.15.51.0 61.15.51.0:21 12.120.82.0 12.120.82.0:21 200.90.25.0 200.90.25.0:21 151.111.146.0 151.111.146.0:21 181.199.47.0 181.199.47.0:21 100.107.142.0 100.107.142.0:21 242.214.157.0 242.214.157.0:21 133.216.105.0 133.216.105.0:21 21.74.0.0 21.74.0.0:21 22.179.169.0 22.179.169.0:21 241.219.186.0 241.219.186.0:21 228.249.121.0 228.249.121.0:21 225.194.168.0 225.194.168.0:21 128.228.221.0 128.228.221.0:21 185.61.158.0 185.61.158.0:21 122.237.157.0 122.237.157.0:21 130.220.247.0 130.220.247.0:21 5.123.214.0 5.123.214.0:21 124.208.113.0 124.208.113.0:21 36.216.92.0 36.216.92.0:21 49.119.138.0 49.119.138.0:21 225.214.133.0 225.214.133.0:21 18.190.40.0 18.190.40.0:21 247.237.24.0 247.237.24.0:21 240.35.237.0 240.35.237.0:21 245.48.48.0 245.48.48.0:21 94.150.52.0 94.150.52.0:21 67.125.106.0 67.125.106.0:21 110.169.14.0 110.169.14.0:21 144.174.50.0 144.174.50.0:21 177.25.104.0 177.25.104.0:21 128.161.34.0 128.161.34.0:21 22.160.24.0 22.160.24.0:21 37.103.6.0 37.103.6.0:21 137.66.98.0 137.66.98.0:21 153.210.132.0 153.210.132.0:21 243.208.181.0 243.208.181.0:21 57.11.78.0 57.11.78.0:21 186.13.89.0 186.13.89.0:21 199.16.199.2 stafftest.ru 199.16.199.3 hrtests.ru 199.16.199.4 profetest.ru 199.16.199.5 testpsy.ru 199.16.199.6 pstests.ru 199.16.199.7 qptest.ru 199.16.199.8 prtests.ru 199.16.199.9 jobtests.ru 199.16.199.10 iqtesti.ru |
http://stafftest.ru/test.html
http://stafftest.ru/stat.html http://stafftest.ru/text.html http://hrtests.ru/test.html http://hrtests.ru/stat.html http://profetest.ru/test.html http://profetest.ru/stat.html http://testpsy.ru/test.html http://testpsy.ru/stat.html http://pstests.ru/test.html http://pstests.ru/stat.html http://qptest.ru/test.html http://qptest.ru/stat.html http://prtests.ru/test.html http://prtests.ru/stat.html http://jobtests.ru/test.html http://jobtests.ru/stat.html http://iqtesti.ru/test.html http://iqtesti.ru/stat.html |