TL;dr

・ハニーポットはいいぞ
・実際に解析をしてみよう
・今もHTMLを書き換える攻撃はある

最初に

今回から自分の技術UPして圧倒的成長するために彼女のDionaeaちゃんが捕まえたマルウェアを調理していこうと思います。そのため、間違いなどあると思います。予めご了承ください。 また、何か間違いや以下の情報に関する新しい情報がありましたらぽちゃまのTwitter令和生まれのぽちゃま (@PotyaExe) | Twitterまでご連絡ください。

• 最初に
• 本日調理する獲物
  • 調べてみた。
    • 開いてみた。
• 考察
• 最後に

本日調理する獲物

新春カンファレンスで実際に調理したこいつです。

ということで、こいつが何かというのをVirustotalを使ってみていきましょう。

File type HTML
Magic literalHTML document text
TrID HyperText Markup Language with DOCTYPE (80.6%)
HyperText Markup Language (19.3%)

これは、Virustotalの詳細情報の一部です。上の写真にも書いてあります。 まず、ここでおかしい点があります。 検出率が0ということです。彼女に送られてくるマルウェアを保存するbinariesのフォルダに送られてきたのに、検出率が0というのは考えられにくいです。 間違えて誰かがHTMLだけを送ってきたのでしょうか？"ただの"HTMLを送ってしまったのでしょうか？それはあまり考えられにくいです。 なので、実際に取ってきて中身を見てみましょう。

調べてみた。

中身を見てみるとただのHTMLです。ということは本当にただのHTMLを送られてきた？🤔🤔🤔🤔🤔🤔🤔🤔 もう少し詳しく見てみましょう。

何やら怪しいリンクのHTMLタグがありますね🤔

開いてみた。

ということで、これを実際にローカルで開いてみましょう。

中国語なのかな？のサイトが開かれました。文字化けしていたということも考えると中国語なのかなと思います。 先程のリンクのHTMLタグの中に入っていたサイトを見てみるとgooglecode.com .... と書かれています。しかし、googlecode.comは2016年にサービスが終了しています。 なので、実際にリンクを踏んでも動作しませんでした。調べてみると、トロイの木馬をダウンロードさせられるみたいです。詳しくは以下のサイトを 参考： https://www.spamversand.de/?p=259

考察

脆弱性をついて（何の脆弱性かと言われると勉強不足で例が出せないです。）HTMLの書き換えを行ってトロイの木馬をダウンロードさせる。(ドライブバイダウンロードが行われる)

最後に

これが僕なりの考えた結果です！！！ 何か間違いや新しい情報がありましたら、Twitterまでご連絡ください。 それでは、良いハニーポットライフを！ twitter.com