個人蜜罐Cowrie的運營分析
*本文作者:si1ence,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。
0×0 背景
前段時間自己買了臺VPS學習一下如何使用liunx順便部署了一個Cowrie蜜罐系統準備收集點弱密碼和一些病毒檔案分析一下,最近運營了一下蜜罐的效果感覺收穫還是挺多的,最近恰好Pandazhengzheng也有空說要手把手教我走向逆向大佬之路。
0×1 蜜罐配置
Cowrie是一個具有中等互動的SSH蜜罐,安裝在Linux中,它可以獲取攻擊者用於暴力破解的字典、輸入的命令以及上傳或下載的惡意檔案,具體的介紹和部署方式度娘還是有不少,這裡就不湊字數贅述了。
主要使用了Cowrie的預設配置本地監聽了2222埠轉發蜜罐的22埠的流量,本機的ssh已經修改為28726埠:
特地用nmap掃描了一下可以發現22埠是開啟狀態的:
這邊主要設定了2個蜜罐的ssh戶,root密碼難一點用於獲取更多的密碼,admin簡答一些使用者關注登入成功後的行為,配置檔案主要位於cowrie主目錄下的/etc/userdb.txt:
然後大致看了一下cowrie.log的日誌有6W+行的事件日誌:
為了統計資料方便記錄的資料,都統一存放到本地的mysql資料庫,預設有以下幾個資料表:
0×2 SSH暴力破解
系統記錄了2個月前到現在的日誌,累計被爆破了73032次,差不多一天1000多次。
統計了常見的Top20 的爆破的使用者,主要還是admin、root:
統計了常見的Top20 的爆破的密碼,主要還是password,123456這種:
統計了一下爆破次數最多的一些IP地址:
分別對第一和第二這2個IP進行威脅情報查詢都能被識別出惡意IP:
0×3 惡意下載
查詢input資料表記錄了攻擊登入後執行的命令,由於內容比較多這裡只選取了部分關注一下:
簡單的過了一下抽取3種比較典型案例簡單的看了看分別是:
1.Linux.Lady 2.XorDDos 3.DDG挖礦套件
Linux Lady下載連線: http://45.61.136.193/mi3307
病毒雜湊:e25c7aa18ee7c622cbd38ac0d27828c245de0fc0ee08e06bb11ac94fbe841471
本來還拖進IDA看了一下,結果居然搞不出來,此刻再一次流下了沒有技術的淚水。
威脅情報檢出:
Linux XorDDos 下載連線: http://45.61.136.193/s443ls
病毒雜湊:2409fb21fe377f7e12dda392f26d7c93b7715239169d362dd907fe499ab38ee9
詳細分析報告如下: 熊貓正正的XorDDos詳細分析 。
Linux DDGMiner這個最近已經遇見好幾起了還算比較熱門就不多扯淡了。下載連線: http://104.248.181.42:8000/i.sh 。
這個主要是一個Downloader主要功能就3個一目瞭然的那種:
1.根據系統版本下載對於的DDG挖礦病毒樣本 2.加入定時任務做持久化 3.排除異己幹掉其他挖礦的程式
通過對這個104.248.181.42這個IP進行威脅情報分析可以發現這個上面能關聯較多的病毒的樣本主要都幾種在2019年2月-3月份還比較新鮮,更新迭代的速度還是很快的很多連線都已經失效了。
0×4 總結
通過蜜罐這種主動防禦技術記錄攻擊者的一些互動行為與命令,對於收集一些威脅情報與流行的攻擊手法應對殭屍網路等方面還是具有積極的作用。Cowrie這種輕量級功能也是有限興趣愛好者玩玩還好真搞大事情還是有點cover不住,T-Pot多蜜罐平臺在企業實踐的過程當中應該會更具有競爭力一些。
雖然是已知的,還是貼一下IOC:
http://104.248.181.42:8000/i.sh
IP:
104.236.156.211 206.189.94.170 218.206.107.34
*本文作者:si1ence,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。