www.morihi-soc.net

セキュリティの話題を中心に取扱中

Archive for 11月, 2014

ハニーポット観察記録 番外編 〜IRCBOT はプロセスの名前を騙るのか?〜

without comments

どうも.ハニーポッターです.

最近見たブログ記事「[Perl] 細かすぎて伝わらないPerlと$0変数 – コマンド名偽装(ろば電子が詰まっている)」で,下記のような記述をみかけました.

引用:$0操作はpsコマンドからの隠蔽目的でもよく使われます。具体的には、Perlでマルウェアを書いている人たちの間では、この$0いじりをするのは常套手段でありよく使われる手法です。

ハニーポットでは IRCBOT に感染させようとする攻撃をたくさん検知しています.たとえば Apache MagicaphpMyAdmin など毎日毎日検知します.

私は攻撃検知時に可能な限り IRCBOT のソースコードを入手し,解析をしています.そこで今回は,今までに収集した IRCBOT たちが,どのようなプロセス名を $0 に設定しているのか調査してみました.

Read the rest of this entry »

Written by morihisa

11月 30th, 2014 at 11:49 am

ハニーポット観察記録(23)

without comments

こんにちは.ハニーポッターです.

ハニーポットで Web サーバの設定不備を狙った,プロキシサーバの探索(第三者中継攻撃)を検知しています.第三者中継攻撃は以前から検知していましたが,ここ数ヶ月間は件数が増加しています.

攻撃手法自体は古くからありますが,最近はこの攻撃について語られることが少ないです.そのため Web サーバのアクセスログには記録されているが,どのような攻撃であるのか把握できていないという方もいるのではないでしょうか.今回はこの閉ざされた扉を開けようと思います.

Read the rest of this entry »

Written by morihisa

11月 24th, 2014 at 9:34 pm

ハニーポット観察記録(22)

without comments

こんにちは.(ちょっと良い匂いのする)ハニーポッターです.

今年の9月末に Bash の脆弱性(CVE-2014-6271 等)が公開されました.公開直後から,この脆弱性を狙った攻撃をハニーポットで検知しており,今だに収まる様子がありません.
今回はこの脆弱性を狙った,いともたやすく行われるえげつない行為の一部を紹介します.

Read the rest of this entry »

Written by morihisa

11月 15th, 2014 at 11:18 am