ハニーポット分析(2日目:2018/8/9)
ハニーポット分析(2日目:2018/8/9)を書いていきたいと思います。
今回からログをSplunkに取り込んでいるのですが、ログを自動的に正規化してくれるので分析が捗ります。まだまだ、使えてない機能も沢山あると思うので、勉強して分析しやすい環境を作って入ればと思います。
▪️分析結果
1. Honeytrap
検知数:6,950 件
宛先ポート別集計(TOP10)
ポート | サービス | 検知数 |
445 | SMB | 2640 |
23 | TELNET | 1241 |
6969 | Trojan | 227 |
5900 | VNC | 179 |
502 | OpenBlocks IoT Family | 171 |
2323 | TELNET | 109 |
52869 | D-Link, Realtek SDK | 84 |
3306 | MySQL | 78 |
1433 | Microsoft SQL Server | 70 |
3389 | RDP | 50 |
5038 | PBXソフトウェア「Asterisk」 | 50 |
<VNCおよびRDPの通信>
前日の集計と比較して、VNCおよびRDPへの通信が増加していました。
VNCへの通信はペイロードサイズが 0Byteであったため、調査行為と思われます。
RDPでログインする際、Cookie: mstshash=ユーザー名 を利用する仕様らしいため 、よく利用されているユーザー名でログインできないか試している調査段階であると思われます[1][2]。
流石にユーザ名 hello でログインできるとは思いませんが。。。。。
<ポート 6969 >
ポート 6969 はトロイの木馬で利用されるケースが多いとの記事[3]もあり、 検知内容もSSHでログイン可能であるかの通信であったので、 バックドアが動作しているかの調査行為と思われます。
<OpenBlocks IoT Family>
ポート 502 を検索してみると IoTを狙った攻撃であるという記事が多かったため、何かの製品で利用されているか調べて見たところ、OpenBlocks IoT Family という製品が見つかりました[4]。
ただし、D-Linkなどのwget でマルウェアをダウンロードしてくる通信ではなく、/ : ; < = ? J K L など1文字をひたすら送信してくるものであり、攻撃と断定できる通信はありませんでした。
こうして見ると、Honeyportは調査止まりの通信が多いと感じます。
やはり、WoWHoneypotのようにあえて脆弱性なレスポンスを返すような工夫が必要かもしれません。。。。
2. WoWHoneypot
検知数: 204件
宛先パス別集計(TOP10)
パス | 検知数 |
/ | 39 |
/qq.php | 4 |
/phpMyAdmin/phpMyAdmin/index.php | 3 |
/admin/phpMyAdmin/index.php | 3 |
/phpMyAdmin/index.php | 3 |
/cmd.php | 3 |
/claroline/phpMyAdmin/index.php | 2 |
/tools/phpMyAdmin/index.php | 2 |
/www/phpMyAdmin/index.php | 2 |
/admin/PMA/index.php | 2 |
他のログを確認しましたが、PHPMyAdminを狙ったもの、IoTを狙った通信など
目新しいものはありませんでした。
/qq.php および/cmd.php はPOSTでBODY部にコマンドが書いてありましたが、
特に気にするようなコマンドではありませんでした。
<コマンド内容>
cmd=die(md5('PHP'));
本日分は以上となります。
参考サイト:
[1]https://blogs.technet.microsoft.com/junichia/2011/03/24/azure-for-it-proazure-vm-rdp/
[2]http://d.hatena.ne.jp/naablaa/20061217/p1 [3]https://scan.netsecurity.ne.jp/article/2002/08/29/6438.html
[4]https://openblocks.plathome.co.jp/products/obs_iot/common/pdf/OpenBlocks_iot_Handler_Data_Format_v3.1.0_20180420.pdf