ハニーポット分析(8/13:6日目)
ハニーポット分析 6日目になります。
WoWHoneypotの分析は時間の関係上、週末にまとめてやろうと考えてます。
▪️Honeytrap分析
検知数: 8864件
ペイロード有 5180件
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
81 | ? | 1,860 | 35.91% | 調査行為 |
445 | SMB | 1,503 | 29.02% | 調査行為 |
3389 | RDP | 175 | 3.38% | 調査行為 |
1433 | Microsoft SQL Server | 86 | 1.66% | 調査行為 |
52869 | D-Link, Realtek SDK | 67 | 1.29% | マルウェアダウンロード (CVE-2014-8361) |
8088 | Asterisk (PBX) Web Configuration utility | 44 | 0.85% | /conf へアクセスできるかの調査行為 |
8545 | JSON RPC | 41 | 0.79% | JSON RPC へアクセスできるかの調査行為 |
8080 | PROXY | 36 | 0.70% | 調査行為 |
137 | NetBIOS 名前解決 | 32 | 0.62% | 調査行為 |
3780 | ? | 32 | 0.62% |
調査行為 |
ポート81宛の通信が増加していました。
GET login.cgi HTTP/1.1
GET / HTTP/1.1
Authorization: Basic YWRtaW46MDA5OTg4
→admin:009988
以前の記事になりますが、IIJ社 Security Diary で同様の通信が紹介されていました。
https://sect.iij.ad.jp/d/2017/09/293589.html
GoAhead Web Server の脆弱性を狙って、Hajimeボットに感染させるものでした。現在も、IoTを狙った攻撃が活発であることから、検知数が増加したと推測してます。
検知数が少ないポートを見てみたところ、1000ポート宛への通信にHTTPリクエストが来ていました。
GET /recordings/ HTTP/1.1
User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3
GET /a2billing/admin/Public/PP_error.php?c=accessdenied HTTP/1.1
User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3 libidn/1.18 libssh2/1.4.2
調査してみたところ、A2billing の脆弱性を狙った通信のようでした。
http://www.asterisk2billing.org/
SQL Injection の脆弱性が存在しますが、本通信はそもそも A2billing が存在するかの調査行為だと思われます。攻撃そのものを観測できないのは残念です。。。
今回の分析は以上となります。