こんにちは。にほんももんがです。それではまたしても古いマルウェアを観察するシリーズをやりたいと思います。

今回はGafgyt（Lizkebab,qbot,Torlus,LizardStresserなどたくさん別名がある）です。Miraiが注目を浴びてからあまり注目されませんが、観測しているとまだまだ生きているみたいです。また、2018年4月に書かれた以下の記事でもまだまだ生きていると報告されていますね。

www.fiercetelecom.com

このマルウェアはたくさん別名があるのですが、掲示板やYoutubeにころがっている動画などを見ると、悪い人たちの間ではqbotで通っていることが多いみたいです。全く別のQbotというマルウェアもあるので、ここではGafgytと呼ぶことにします。

検体情報

• sha256
  • 340ed60806df8656ced7c8989854adc680b2390dc6466a6108f307a0e5750175
• Virustotal

  • https://www.virustotal.com/ja/file/340ed60806df8656ced7c8989854adc680b2390dc6466a6108f307a0e5750175/analysis/

もう一ヶ月ほど前になりますが、今回観察した検体は、2018年5月21日ごろハニーポットにひっかかりました。

stripされていなかったため、radare2で関数一覧を見てみました。

$ radare2 340ed60806df8656ced7c8989854adc680b2390dc6466a6108f307a0e5750175 
Warning: Cannot initialize dynamic strings
 -- Execute a command on the visual prompt with cmd.vprompt
[0x00008190]> aaa
[x] Analyze all flags starting with sym. and entry0 (aa)
[ ] 
[Value from 0x00008000 to 0x0002014c
aav: 0x00008000-0x0002014c in 0x8000-0x2014c
aav: 0x00008000-0x0002014c in 0x2814c-0x2f590
Value from 0x0002814c to 0x0002f590
aav: 0x0002814c-0x0002f590 in 0x8000-0x2014c
aav: 0x0002814c-0x0002f590 in 0x2814c-0x2f590
[x] Analyze len bytes of instructions for references (aar)
[x] Analyze function calls (aac)
[x] Use -AA or aaaa to perform additional experimental analysis.
[x] Constructing a function name for fcn.* and sym.func.* functions (aan)
[0x00008190]> afl
0x00008094    1 24           sym._init
0x000080b0    2 56           sym.__do_global_dtors_aux
0x00008128    1 8            sym.call___do_global_dtors_aux
0x00008130    1 28           sym.frame_dummy
0x00008188    1 8            sym.call_frame_dummy
0x00008190   18 46936 -> 444  entry0
0x000081cc    4 204          sym.init_rand
0x000082a0    3 300          sym.rand_cmwc
0x000083d8   11 304          sym.trim
0x00008508    4 108          sym.printchar
0x00008574   20 388          sym.prints
0x000086f8   18 488          sym.printi
0x000088e0   33 1004         sym.print
0x00008cd0    1 64           sym.zprintf
0x00008d10    1 68           sym.szprintf
0x00008d54    1 200          sym.Heliosprintf
0x00008e1c   29 632          sym.fdpopen
0x000090a4   11 384          sym.fdpclose
0x00009228    9 208          sym.fdgets
0x000092f8    5 124          sym.parseHex
0x00009378   22 424          sym.wildString
0x00009520    4 100          sym.getHost
0x00009584    4 88           sym.uppercase
0x000095dc    4 136          sym.makeRandomStr
0x00009664   19 720          sym.recvLine
0x00009938    1 56           sym.get_telstate_host
0x00009970    6 172          sym.read_until_response
0x00009a1c    7 296          sym.read_with_timeout
0x00009b44    3 112          sym.advance_state
0x00009bb4    1 48           sym.reset_telstate
0x00009be4    1 44           sym.contains_success
0x00009c14    1 44           sym.contains_fail
0x00009c44    5 96           sym.contains_response
0x00009ca4    9 216          sym.contains_string
0x00009d7c   14 640          sym.connectTimeout
0x00009ffc    9 400          sym.listFork
0x0000a194   21 396          sym.negotiate
0x0000a320   13 364          sym.matchPrompt
0x0000a490   25 676          sym.readUntil
0x0000a734   37 1008         sym.GetRandomPublicIP
0x0000ab2c    1 92           sym.GetRandomIP
0x0000ab8c    8 344          sym.csum
0x0000ace4    1 272          sym.tcpcsum
0x0000adf4    1 276          sym.makeIPPacket
0x0000af08    4 76           sym.sclose
0x0000af54    8 332          sym.socket_connect
0x0000b0a0   11 5088 -> 736  sym.StartTheLelz
0x0000c480    6 416          sym.sendSTD
0x0000c624   10 356          sym.sendHTTP
0x0000c790   41 1724         sym.sendUDP
0x0000ce4c   36 1620         sym.sendTCP
0x0000d4bc   98 2956         sym.processCmd
0x0000e084   11 448          sym.initConnection
0x0000e250   21 720          sym.getOurIP
0x0000e534    1 24           sym.getBuild
0x0000e550   83 3100         main
(以下略)
[0x00008190]> 

気になる関数名いくつかで検索してみたところ、以下のように同種の検体を解析している記事が見つかりました。「SSHハニーポットへの典型的な攻撃分析」といった内容の記事です。

www.sohu.com ※捜狐（sohu.com）は中国のポータルサイトです。

この記事で解析されている検体には「UpdateBins」という検体を更新するための関数があるようですが、今回ハニーポットで捕まえたものには存在していませんでした。 （リンクは貼りませんが、適当に検索して見つけたリークされたコードによると、UpdateBins関数はC2からUPDATEコマンドを受け取った際に決め打ちしたアドレスからファイルをwgetしてくるコードがハードコードされているだけでした）

記事内でも言及されているように、gafgytはmiraiと同じく様々なところにソースコードらしきものが転がっており（しかもそれぞれ実装言語が違ったり機能が違ったりする）、検体によってはそれらのコードから機能がさらに追加されていることがあります。2014年ごろから存在が確認されているようなので*1、もはや元のコードと違って当たり前なんでしょうね（とはいえそんなに変わっていないようにも見えるんですけど…）。

ちなみに、IoTSecJP Vol.1*2で観察日記を書いた「Remaiten」はこのgafgytとkaitenという別種のマルウェア両方の特徴を持っているものです。

C2の見つけ方

（100%でない&やり方が雑なのは自戒しつつ）gafgytはパッキングされていない限り、stringsコマンドにかけた結果を適当にIPっぽい文字列を抽出できるようgrepしてやればC2を見つけることができます。

$ strings <ファイル> | grep -e '[0-9]\+\.[0-9]\+\.[0-9]\+\.[0-9]\+:[0-9]\+'

静的解析ができるともう少し書けることがあるのかもしれませんが、今だにアセンブラ読めないのでこのへんで終わります。ジャーキー美味しい。

2018年4月22日（日）に技術書典4で頒布予定の「IoTSecJP Vol.1」について訂正情報がある場合はこちらに記載いたします。

初版訂正情報

2018/04/01：現在訂正情報はありません。

にほんももんがです。 台風が近づいておりますが、本日無事に技術書典3に参加し、本を頒布することができました。

onthesoup.hatenablog.com

サークル参加した中で得た知見がいくつかありましたので、今後はじめてサークル参加する方に向けて知見（というほどでもないかもしれないですが…）を共有します。

準備編

まず、今回（10月22日開催）の技術書典の締め切りは3ヶ月前の7月下旬に締め切りがありました。 私は締め切りギリギリ（7月23日）に申し込み、8月ごろから準備を始めました。

• テーマ決め
• 目次決め
• （悪名高きエクセル方眼紙を使って）スケジュール決め

くらいまでを8月中には行っていました。 この時点では、「9月一杯の土日とシルバーウィークを使って執筆し、10月上旬には入稿する」という予定でした。 とにかく、誰がなんと言おうと当初はそういう予定だったんです。

ネタ収集編

9月初旬、ネタ集めのためいくつかハニーポットを構築・運用し始めます。 以前にも以下の通り運用していたことはありましたが、運用費が家計を直撃していたので（AWSでT-pot運用は月7千円くらいはかかりました。年間8万4千円、帰郷費3回分だなと思うとでかすぎます、ていうかそのお金を学資保険に回したい…）、今回は家計を圧迫しない運用を目指そうといろいろな方法やサービスを比較していました（が、結局大手クラウドサービスが安いし利便性が良いというおもしろくもなんともない結果に…）。

onthesoup.hatenablog.com

ここまでは順調でした。ここまでは。

頒布物制作編

それまではほぼスケジュール通りだったものの、ハニーポット構築後、土日はほぼ寝込む（というか平日も寝込む）という体調不良に10月中旬まで見舞われてしまい、頒布物は絶望的だ…と思いながら布団の中でうんうん唸っていました。

しかし、そこでお布団で横になりながらスマホでちょくちょく原稿を書くという諦めの悪さを発揮し、割増料金にはなってしまいましたがなんとか入稿することができました（この時点で10月18日、つまりイベント4日前でした）。

印刷所さんにめっちゃ迷惑かけてしまった編

しかしながら、印刷所さんに頼んでの印刷ははじめてだったため、データ不備でめちゃくちゃご迷惑をかけてしまいました。 ちなみに利用したのは日光企画さんのオンデマンド平閉じフルカラーセットです。

画像の濃淡がなさすぎる

GCPのコンソールやビューワーのWebインターフェースなどで使われている灰色のラインなどが薄く、そのままの状態ではすべて白に見えてしまうかもしれない、と指摘がありました。

⬇️濃淡薄すぎ画像

⬇️最終的に採用した画像

結局全体的に画像を差し替えさせていただき、ことなきを得ました。

トンボの位置が仕上がりサイズにかぶって入っている（トンボが見えた状態の仕上がりになる）

なぜか「特定のツールでトンボを設定する方法はわかるがどういうトンボが正しい状態か理解していない」という中途半端な理解度でトンボをつけたため（なんちゅう良い加減な）、なんと仕上がり位置から余白（ドブ）を入れずにトンボを入れてしまうというミスを犯していました。

トンボはあくまで仕上がり位置のガイドなので、仕上がり位置+余白3ミリ以上（3ミリよりも多くていい）の外側に入れないといけません。

この「仕上がり位置+3ミリ以上の余白（ドブ）の外側」という指定が最初どういうことかまったくわかっていなかったのですが、これ見てやっと意味を理解しました（遅い）。

Illustrator初期設定(サイズとトリムマーク"トンボ"設定方法)｜Illustrator入稿・印刷データ作成方法/注意点｜印刷通販の【WAVE】

なぜそんな中途半端な知識でトンボを入れたのか今となってはよくわからないのですが、ツールを使うのもはじめて&トンボを入れるのもはじめて&作業日が締め切り日という切羽詰まり具合だったのでそのせいかと思われます…😫

⬇️ダメなトンボ（仕上がりサイズちょうどに入れたためトンボが重なって表示されている）

⬇️正しいトンボ（ずれて表示される）

トンボの位置を修正したはいいが、余白が少なすぎる

上記の図で「おお、正しい位置に入れられた！」と喜び勇んで差し替え入稿をしたわけですが、実際は余白（ドブ）が3mミリに達しておらず（今回はサイズ計算を間違えるというポカ）、「探したらトンボが見えちゃうかも…」と印刷所の方から連絡がありました。

もう差し替えできる期限を過ぎてしまっているため、そのままでお願いします、とお伝えしましたが、そもそもそれまでに適当すぎる原稿を入稿するなって感じです…反省しています。

印刷所の方にはめちゃくちゃご迷惑をかけてしまいましたが、終始丁寧に応対してくださって救われました…。

当日編

その後なんとか入稿が完了し、イベント当日まで時間があったので、電子版のQRコードが入ったチラシを作っていました。

前日にチラシを印刷しようとしたところ、通院や買い物でバタバタしてしまい、「まあ明日でも印刷できるか…」と思い当日を迎え会場に向かいました。

その油断がよくありませんでした…

USBメモリにチラシを入れてきたはずが入っておらず、急遽QRコードを生成してネットプリントを試したのですが、どうしても上下が切れてプリントされてしまったり、「画像が小さすぎます」と言われプリントできなかったりといった事態に見舞われました…。

頒布数が少なく早々に完売してしまったため、電子版の問い合わせを多数いただいていたようなのですが、QRコードがなく「あとでサークルページからリンクたどってください」という不親切な案内をせざるをえなくなりました…前日までに準備は万端にしておけということですね…悲しい…。

その後携帯にQRコードを表示させて置いておくという手段に出ましたが、やはりチラシがあるのとないのとでは違っただろうなぁと感じました。

「コミケとか、なんかみんな当日コピ本印刷&製本とかしてるし大丈夫っしょ」とか思ってましたがあれは全然大丈夫じゃない人たちだったんだなということがわかりました（友人たちに失礼ですが）。

まとめ

反省点がありすぎるサークル参加でしたが、非常に勉強になりました。次回以降はこの反省点を生かします！

本日は購入してくださったみなさま、応援&協力してくださったみなさま、本当にありがとうございました。

経緯

突然ですが、ある日唐突にハニーポットを運用してみたくなりました。 以前IoTマルウェアの記事を書かせていただいた経緯もあり、そういったマルウェアからの攻撃を実際に受けてみたいなと思ったのが動機です。

嘘です。

森久和昭さんの「サイバー攻撃の足跡を分析するハニーポット観察記録」が会社に置いてあって、カッコイイ！とミーハーな気持ちで運用し始めました。

サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録]

• 作者: 森久和昭
• 出版社/メーカー: 秀和システム
• 発売日: 2017/03/30
• メディア: Kindle版
• この商品を含むブログを見る

全くハニーポットについてなにも知らない状態だったので、調べてみたところ、ハニーポットの選定やインストール方法の記事は発見したのですが、運用にいくら位必要なのか明記しているのはあまりなかったので備忘録的に記しておきます。

あくまでも2017年5月31日時点での情報になりますが、これから運用してみようかなという方の参考になればと思います。

運用期間

運用期間は、2017年5月21日（日）17時ごろ 〜 2017年5月31日（水）10時ごろ の約10日間です。

環境

自宅にRaspberryPiが転がっていたのでそいつをハニーポット化してみようかとも思いましたが、自宅のネットワークに手を加えると同居人に鉄拳制裁を喰らうので今回はEC2を利用しました。

ホスティングサービスを利用してハニーポットを構築する前に留意しておくべきなのはサービスの利用規約ですが、AWSの日本語規約は、現時点ではハニーポット運用は明示的に許可されてもいませんし、明示的に禁止されてもいません。

今回の運用中、事業主から注意されるようなことはありませんでしたが、T-potを立てたサーバ自体が侵害されてしまった場合、事業主の判断でインスタンスを止められたり、規約違反としてサービスが利用できなくなる可能性もあります。規約は各ホスティングサービスによって異なりますので確認の上実施ください。

黒彪さんが以下の記事にて各サービスに問い合わせた結果を載せていらっしゃるので、参考にしてください。

blackle0pard.hateblo.jp

今回EC2上に立てた環境は以下の通りです。

T-potの要求スペックが結構高い（ハニーポット+ELKで可視化して見ようと思うとメモリ最低4GB、ボリューム最低64GB）のでこんなことになっております。 別にSSDにする必要はなかったと思うのですが、いい機会なので使ってみました。

T-potのインストールについてはこちらがわかりやすかったので参考にさせていただきました。

qiita.com

上記記事ではElastic IPが割り当てられていますが、Elastic IPは作成すると追加料金がかかったことと（かなり微々たるものではありましたが）、割り当てられるIPが北米のものになってしまったので日本のIP帯にくる攻撃が見たかったため今回は割り当てていません。

このような感じの構成で10日間、運用してみました。

かかった費用

※レートはあくまでもAmazonが管理しているので為替レートを即時反映しているわけではないと思われる

このスペックならそんなもんか〜と思っていたのですが、方々から「高い」と言われるので、日常的にサーバーを運用している人にとっては多分高いんだと思います。SSDをHDDにすればもう少し抑えられそうです。

ちなみにさくらのVPSとかでも料金を見積もってみましたが、メモリ4GB以上/SSDで64GB以上…とするとこんな感じになってしまい、あまり値段的には変わらない感じでした。

ConoHaはもう少し安いようなので、移動しようかなあと検討中です。 ConoHaはハニーポット構築は不可とのことでした。

攻撃を観察してみたい人はハニーポットOKなVPSとかでぽこっとサーバを立てて1週間とか運用してみると楽しいと思います。 インストール時にトラブったんですがそれでも一時間半くらいで導入できました。

install.sh、実行する前にtpotっていうユーザーとグループを作ってたら失敗するし、削除して再度実行したら再実行のこと考えてなくってそのファイルはすでに存在してるだとかそのファイルがないだとかいっていちいち止まるし、最後まで正常実行させるのにめっちゃ時間かかった

— momonga (@nhnmomonga) 2017年5月21日

観測結果

※ポート22は2222へ、23は2223へ転送されるようになってます

23日に急に観測数が跳ね上がっていますが、これは多分Shodanで見つけられるようになったのがその頃くらいからだからなのではないかと思われます。

同じ期間の辻さんのハニーポット情報と結構違うような気がするなぁと思っていましたが、telnetやsshで試行されるユーザー名とパスワードは似た感じ、という印象です。

先週の我が家のハニーポット情報です。
上段、ポート別アクセス数（3時間毎）
中断、試されたIDとパスワード（週を通じCowrieとDionaea毎）
下段、攻撃元の国別件数（3時間毎）
となっております。#1人CSIRT pic.twitter.com/JcwSujno76

— 辻 伸弘(nobuhiro tsuji) (@ntsuji) 2017年5月28日

開けてあるポートもおそらく違うでしょうし（私は全ポート解放はしてません）、どの場所のIP帯かでも違うと思うので、環境差が出てしまった、という感じでしょうか。

その他

T-pot バージョン16-10だと、一部の検体はハニーポット（cowrie）であることを検出していて捕まえられないようです。 まだリリースはされていませんが、17.06ブランチでは修正されているようなので、近々こちらにアップデートする予定です。

github.com