the fault in our shell

September 09, 2020

Tulisan lama saya mengenai honeypot. Secara umum sebagian besar malware yang melakukan serangan merupakan varian dari Mirai. Serangan dilakukan dengan menggunakan brute force kombinasi username/password yang sangat umum ditemui dalam wordlist/dictionary maupun username/password default milik beberapa device IoT.

Setelah mendapatkan akses, malware melakukan fingerprinting, mengunduh dan menjalankan payload. Dari 43 payload unik yang diunduh, terdapat 6 (enam) dari yang bukan merupakan executable. 5 (lima) diantaranya merupakan bash/shell script, sedangkan sisanya merupakan backdoor perl script yang berkomunikasi ke C2 server melalui protocol IRC.

Dikarenakan keterbatasan interaksinya, cowrie tidak mendokumentasikan aktivitas dari payload yang diunduh dan dijalankan, hal ini dapat dijadikan topik penelitian lebih lanjut namun diperlukan penggunaan high interaction honeypot.

Rinciannya dapat dilihat disini: the fault in our shell